PSIRT

Informacje o potencjalnych lukach bezpieczeństwa może zgłosić każdy – oprócz naszych bezpośrednich klientów są to między innymi np. eksperci ds. bezpieczeństwa, naukowcy CERT (Computer Emergency Response Team), organy władzy, związki przemysłowe, dostawcy, projektanci lub operatorzy instalacji.

Zgłoszenie do AUMA PSIRT jest przesyłane na specjalny adres e-mail PSIRT@auma.com.

Ponieważ niektóre z naszych produktów są stosowane w krytycznych infrastrukturach, prosimy o wcześniejsze uzgodnienie z nami ujawnienia luk bezpieczeństwa. Należy tu uniknąć sytuacji zagrażających bezpieczeństwu w instalacjach, aż nasz zespół ekspertów opracuje i udostępni odpowiednie przeciwdziałania usuwające lub redukujące negatywny skutek problemów.

Współpraca z nami w zakresie wykrywania luk bezpieczeństwa nie wymaga podpisania deklaracji poufności (NDA) ani jakiejkolwiek innej umowy. Naszym celem jest poufna i profesjonalna współpraca z każdą osobą zgłaszającą potencjalne luki bezpieczeństwa związane z produktami i usługami AUMA.

W zgłoszeniu e-mail prosimy udostępnić nam następujące informacje, które przyspieszą rozpatrzenie sprawy:

• Nazwisko zgłaszającego: Jeżeli chcesz pozostać anonimowy, respektujemy Twoje interesy.
• Dane kontaktowe: E-mail i numer telefonu, pod którym możemy kierować do Ciebie ewentualne pytania.
• Przynależność: Nazwa organizacji (np. nazwa firmy)
• Rodzaj luki bezpieczeństwa: Opis rodzaju luki bezpieczeństwa (np. XSS, przepełnienie bufora, zakodowane na stałe dane dostępowe)
• Czynnik wyzwalający lukę bezpieczeństwa: Opis, jak luka bezpieczeństwa jest wyzwalana (narzędzia, procesy, procedury, dokumenty)
• Dotknięty produkt: W jakich produktach lub usługach AUMA wykryto lukę bezpieczeństwa? Dołącz wszystkie dostępne informacje, jak nazwa produktu z numerem zamówienia i numerem seryjnym, wersja firmware lub oprogramowania, wzgl. system operacyjny odpowiednich komponentów, w przypadku usług należy podać lokalizację (np. adres URL).
• Skutek luki bezpieczeństwa: Opisz, jak haker mógłby wykorzystać lukę bezpieczeństwa i jakie byłyby tego konsekwencje.
• Ocena CVSS: Ocena luki bezpieczeństwa zgodnie z systemem CVSS (Common Vulnerability Scoring System) – o ile jest dostępna.
• Poufność luk bezpieczeństwa: Czy ujawniono już lukę bezpieczeństwa, czy istnieje zamiar ujawnienia?
•  

Prosimy przesłać nam swoje zgłoszenie w języku niemieckim lub angielskim.

Ponieważ informacje o lukach bezpieczeństwa mają krytyczny charakter, prosimy przesyłać nam te informacje w sposób zaszyfrowany. Użyj do tego poniższego klucza PGP do szyfrowania informacji przesyłanych na adres PSIRT@auma.com.

AUMA PSIRT Public Keys

Tu możesz pobrać nasz klucz PGP:

Odcisk palca: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analiza i rozwiązanie

Po otrzymaniu zgłoszenia inicjowana jest ustandaryzowana procedura przetwarzania. Zespół AUMA PSIRT potwierdza odbiór zgłoszonej luki bezpieczeństwa, ocenia i analizuje przesłane informacje oraz koordynuje wymagane badania i działania na rzecz znalezienia rozwiązania – następuje to w ścisłej konsultacji z osobą zgłaszającą lukę bezpieczeństwa.

Ujawnienie

Opublikowanie informacji dotyczących bezpieczeństwa produktów i usług AUMA następuje poprzez ogólnie dostępną platformę bezpieczeństwa IT CERT@VDE, którą utworzono w celu koordynowania luk bezpieczeństwa, szczególnie dla przedsiębiorstw z sektora automatyki przemysłowej.

Wytyczne dotyczące bezpieczeństwa