PSIRT

Le segnalazioni di potenziali vulnerabilità di sicurezza sono incoraggiate da tutti, oltre che dai nostri clienti diretti, ad esempio da esperti di sicurezza, tecnici dei CERT (Computer Emergency Response Teams), autorità, associazioni industriali, fornitori, progettisti e operatori di impianti.

La segnalazione al PSIRT di AUMA avviene tramite l'indirizzo e-mail PSIRT@auma.com creato a tale scopo.

Poiché alcuni dei nostri prodotti sono utilizzati in infrastrutture critiche, vi chiediamo di coordinare con noi la divulgazione delle vulnerabilità di sicurezza. Questo serve a evitare di mettere a rischio la sicurezza dei sistemi fino a quando i nostri team di sviluppo non avranno definito e reso disponibili le contromisure adeguate per correggerle o attenuarle.

Non è necessario alcun accordo di non divulgazione (NDA) o altro contratto per collaborare con noi alla divulgazione delle vulnerabilità di sicurezza. Il nostro obiettivo è quello di collaborare con chi effettua la segnalazione in modo affidabile e professionale quando si tratta di potenziali vulnerabilità di sicurezza relative a prodotti e servizi AUMA.

Vi preghiamo di fornirci le seguenti informazioni nella vostra segnalazione via e-mail per velocizzare l'elaborazione:

• Nome di chi effettua la segnalazione: Se desiderate rimanere anonimi, rispetteremo i vostri interessi
• Dati di contatto: Email e numero di telefono a cui possiamo contattarla per qualsiasi domanda o feedback
• Affiliazione: Nome dell'organizzazione (ad es. nome della società)
• Tipo di vulnerabilità della sicurezza: Descrizione del tipo di vulnerabilità di sicurezza (ad es. XSS, buffer overflow, dati di accesso codificati)
• Cause della vulnerabilità di sicurezza: Descrizione di come la vulnerabilità di sicurezza può essere innescata (strumenti, processi, procedure, prove).
• Prodotto interessato: In quali prodotti o servizi AUMA è stata individuata la vulnerabilità di sicurezza? Includete tutte le informazioni disponibili, come il nome del prodotto con il numero d'ordine e di serie, la versione del firmware o del software, il sistema operativo dei componenti coinvolti, se applicabile; per i servizi, indicate la rispettiva posizione (ad es. URL).
• Impatto della vulnerabilità di sicurezza: Descrivete come un malintenzionato potrebbe sfruttare la vulnerabilità di sicurezza e quale impatto avrebbe.
• Valutazione CVSS: Valutazione della vulnerabilità di sicurezza secondo il Common Vulnerability Scoring System (CVSS), se noto.
• Riservatezza delle vulnerabilità di sicurezza: La vulnerabilità di sicurezza è già stata divulgata o è prevista la divulgazione?
•  

Vi preghiamo di inviare la segnalazione in tedesco o in inglese.

Poiché le informazioni sulle vulnerabilità della sicurezza sono fondamentali, vi chiediamo di inviarci queste informazioni in forma crittografata. Vi preghiamo di utilizzare la seguente chiave PGP per crittografare le informazioni inviate a PSIRT@auma.com.

AUMA PSIRT Public Keys

Potete scaricare la nostra chiave PGP qui:

Fingerprint: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analisi e soluzione

Al ricevimento della segnalazione viene avviata una procedura di elaborazione standardizzata. Il PSIRT di AUMA conferma la ricezione della segnalazione della vulnerabilità, valuta e analizza le informazioni fornite e coordina le indagini e le attività necessarie per trovare una soluzione, in stretto coordinamento con chi ha segnalato la vulnerabilità.

Divulgazione

La pubblicazione delle istruzioni di sicurezza per i prodotti e i servizi AUMA avviene tramite la piattaforma di sicurezza informatica CERT@VDE, accessibile al pubblico, creata appositamente per le aziende del settore dell'automazione industriale per coordinare le vulnerabilità di sicurezza.

Linee guida per la sicurezza