PSIRT

Meldingen over potentiële kwetsbare punten in de beveiliging zijn uitdrukkelijk welkom, van iedereen - daarmee bedoelen we naast onze directe klanten onder andere bijvoorbeeld ook security experts, wetenschappers CERT’s (Computer Emergency Response Teams), overheden, industriebonden, leveranciers, installatieplanners of -exploitanten.

Een melding aan het AUMA PSIRT kunt u sturen via het speciaal hiervoor aangemaakte e-mailadres PSIRT@auma.com.

Aangezien onze producten in kritieke infrastructuren gebruikt worden, verzoeken we u om het openbaar maken van zwakke punten in de beveiliging met ons af te stemmen. Hierdoor wordt vermeden dat de security-situatie in installaties in gevaar komt, tot onze ontwikkelingsteams geschikte tegenmaatregelen voor het verhelpen of afzwakken gedefinieerd en beschikbaar gemaakt hebben.

Om met ons t.b.v. zwakke punten in de beveiliging samen te werken is geen geheimhoudingsovereenkomst (NDA) of een ander contract nodig. We willen bij de omgang met potentiële kwetsbaarheden in de beveiliging die samenhangen met AUMA producten en diensten in vertrouwen en professioneel met de betreffende melder samenwerken.

Als u ons in uw e-mailbericht de volgende informatie beschikbaar stelt, kunnen we de inhoud ervan sneller verwerken.

• Naam van de melder: Als u anoniem wilt blijven, respecteren we dat
• Contactgegevens: E-mail en telefoonnummer, waarop we u voor vragen of terugmeldingen kunnen bereiken
• Uw relatie: Naam van uw organisatie (bijv. bedrijfsnaam)
• Soort kwetsbaarheid in de beveiliging: Beschrijving van de soort kwetsbaarheid in de beveiliging (bijv. XSS, bufferoverloop, vast gecodeerde toegangsdata)
• Trigger van het zwakke punt in de beveiliging: Beschrijving van wat de trigger van het zwakke punt kan zijn (tools, processen, bewijzen)
• Betreffende product: In welke AUMA producten of diensten is het zwakke punt in de beveiliging ontdekt? Voeg alle informatie toe die u beschikbaar heeft, zoals productbenaming met opdracht- en serienummer, firmware- en softwareversie, evt. besturingssysteem van de deelnemende componenten, geef bij diensten de betreffende locatie (bijv. URL) aan
• Effect van de kwetsbaarheid in de beveiliging: Beschrijf hoe een aanvaller de kwetsbaarheid zou kunnen benutten en welk effect dit zou hebben.
• CVSS beoordeling: Beoordeling van de kwetsbaarheid in de beveiliging conform Common Vulnerability Scoring System (CVSS) - indien bekend.
• Vertrouwelijkheid van zwakke punten in de beveiliging: Is het zwakke punt in de beveiliging al geopenbaard of zijn er plannen voor openbaarmaking?
•  

Stuur ons uw melding in het Duits of het Engels.

Aangezien informatie over zwakke punten in de beveiliging gevoelig is, verzoeken we u vriendelijk deze informatie versleuteld te versturen. Gebruik hiervoor de volgende PGP-sleutel voor het versleutelen van de informatie die u naar PSIRT@auma.com stuurt.

AUMA PSIRT Public Keys

Hier kunt u onze PGP Key downloaden:

Vingerafdruk: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analyse en oplossing

Na ontvangst van de melding start er een standaard verwerkingsproces. Het AUMA PSIRT zal de ontvangst van de gemelde kwetsbaarheid in de beveiliging bevestigen, de doorgegeven informatie beoordelen en analyseren en noodzakelijk onderzoek en activiteiten voor het vinden van een oplossing coördineren - dit gebeurt in nauwe samenwerking met de melder van het zwakke punt in de beveiliging.

Openbaarmaking

Het openbaar maken van veiligheidsinstructies voor AUMA producten en diensten gebeurt via het voor iedereen toegankelijke IT-veiligheidsplatform CERT@VDE dat speciaal voor bedrijven in de industriële automation gemaakt is om zwakke punten in de beveiliging te coördineren.

Security-richtlijnen