PSIRT

A potenciális biztonsági hiányosságok bejelentését mindenkor kifejezetten örömmel vesszük – saját, közvetlen ügyfeleinktől csakúgy, mint például biztonsági szakértőktől, tudósoktól, számítógépes vészhelyzetekre reagáló csoportoktól (CERT), hatóságoktól, ipari szövetségektől, szállítóktól, berendezéstervezőktől vagy -üzemeltetőktől.

Az AUMA PSIRT felé az erre a célra létrehozott PSIRT@auma.com címen lehet bejelentést tenni.

Mivel egyes termékeinket kritikus infrastruktúrákban használják, szeretnénk kérni, hogy egyeztessék velünk a biztonsági hiányosságok nyilvánosságra hozatalát. Ennek célja a berendezések biztonságát fenyegető helyzetek elkerülése, amíg fejlesztőcsapataink meghatározzák és rendelkezésre bocsátják a kiküszöbölésükre vagy enyhítésükre szolgáló ellenintézkedéseket.

A biztonsági hiányosságok nyilvánosságra hozatalában való együttműködéshez sem titoktartási megállapodás (NDA), sem más szerződés nem szükséges. Célunk, hogy az AUMA termékekkel és szolgáltatásokkal összefüggő potenciális biztonsági hiányosságok kezelésében bizalommal és szakszerűen működjünk együtt a mindenkori bejelentőkkel.

Kérjük, hogy a gyorsabb ügyintézés érdekében küldje el nekünk e-mailben tett bejelentésében a következő információkat:

• Bejelentő neve: Ha szeretné megőrizni névtelenségét, tiszteletben tartjuk az érdekeit
• Elérhetőségek: E-mail címe és telefonszáma, amelyen kérdés, illetve visszajelzés esetén elérhetjük Önt
• Kapcsolódás: Az Ön szervezetének neve (pl. cég neve)
• A biztonsági hiányosság jellege: A biztonsági hiányosság jellegének leírása (pl. XSS, puffer túlcsordulás, állandó kódolású hozzáférési adatok)
• A biztonsági hiányosság kiváltó oka: A biztonsági hiányosság kiváltási lehetőségének leírása (eszközök, folyamatok, igazolások)
• Érintett termék: Melyik AUMA termékekben vagy szolgáltatásokban fedezték fel a biztonsági hiányosságot? Kérjük, adjon meg minden rendelkezésére álló információt, például a termékmegnevezést a rendelési és sorozatszámmal, firmware- vagy szoftververzióval, adott esetben az érintett részegységek operációs rendszerével, és szolgáltatások esetén adja meg a mindenkori helyet (pl. URL-címet)
• A biztonsági hiányosság hatása: Kérjük, írja le, hogyan használhatná ki egy támadó a biztonsági hiányosságot, és ez milyen hatással járna.
• CVSS-értékelés: A biztonsági hiányosság Common Vulnerability Scoring System (CVSS) szerinti értékelése – amennyiben ismert.
• Biztonsági hiányosságok bizalmassága: Nyilvánosságra hozták már a biztonsági hiányosságot, vagy tervben van a nyilvánosságra hozatala?
•  

Kérjük, bejelentését német vagy angol nyelven küldje el nekünk.

Mivel a biztonsági hiányosságokkal kapcsolatos információk kritikusak, kérjük, hogy az információkat kódoltan küldje el nekünk. A PSIRT@auma.com címre küldött információk titkosítására használja a következő PGP-kulcsot.

AUMA PSIRT nyilvános kulcsok

Itt töltheti le PGP-kulcsunkat:

Ujjlenyomat: 64F97ED5674E7BF923018ED87788765AF3FF7089

Elemzés és megoldás

A bejelentés beérkezése után szabványos ügyintézési folyamat veszi kezdetét. Az AUMA PSIRT visszaigazolja a bejelentett biztonsági hiányosság beérkezését, értékeli és elemzi a továbbított tudnivalókat, és koordinálja a megoldáskereséshez szükséges vizsgálatokat és tevékenységeket – szorosan egyeztetve a biztonsági hiányosság bejelentőjével.

Közzététel

Az AUMA termékekkel és szolgáltatásokkal kapcsolatos biztonsági tudnivalók nyilvánosságra hozatala a nyilvánosan hozzáférhető CERT@VDE platformon keresztül történik, amelyet kimondottan az ipari automatizáció területén működő vállalatok biztonsági hiányosságainak koordinálása céljából hoztak létre.

Biztonsági irányelvek