PSIRT

Сообщения о потенциально слабых местах в безопасности может присылать любой человек – помимо наших непосредственных клиентов это могут быть эксперты по безопасности, научные сотрудники группы CERT (Computer Emergency Response Teams), организации, промышленные союзы, поставщики, проектировщики и эксплуатанты оборудования.

Сообщение в систему AUMA PSIRT можно отправить по специальному адресу электронной почты PSIRT@auma.com.

Так как некоторые изделия нашего производства используются в критической инфраструктуре, мы просим Вас согласовывать объявление обнаруженных слабых мест в безопасности с нами. Это позволит избежать опасных ситуаций на установке до тех пор, пока наша команда разработчиков не подберет и не предоставит подходящие контрмеры для устранения проблемы или ее смягчения.

Для совместной работы с нами над выявление слабых мест в безопасности не требуется ни соглашение о конфиденциальности (NDA), ни какой-либо другой договор. Наша цель – это доверительное и профессиональное сотрудничество с конкретными осведомителями в рамках обращения с потенциально слабыми местами в безопасности в отношении продукции и услуг компании AUMA.

Для более быстрой обработки запроса просим предоставлять следующую информации в электронном письме:

• Имя осведомителя: Если Вы хотите сделать это анонимно, мы с уважением отнесемся к Вашему пожеланию
• Контактная информация: Электронная почта и номер телефона, по которым мы можем отправить Вам ответы или вопросы
• Принадлежность: Название вашей организации (например, название компании)
• Вид слабого места в безопасности: Описание вида слабого места в безопасности (например, XSS, переполнение буфера, полностью закодированные данные доступа)
• Первопричина слабого места в безопасности: Описание того, как может проявиться слабое место в безопасности (инструменты, процессы, операции, подтверждения)
• Затронутое изделие: В каких изделиях или услугах компании AUMA обнаружены слабые места в безопасности? Введите всю информацию, которая у Вас есть: обозначение изделия с серийным номером и номером заказа, версия программного или микропрограммного обеспечения, при необходимости операционная система затронутых компонентов; укажите конкретное местоположение для услуг (например, URL)
• Влияние слабого места в безопасности: Опишите, как злоумышленник может воспользоваться слабым местом в безопасности и к каким последствиям это может привести.
• Анализ CVSS: Анализ слабого места в безопасности по системе Common Vulnerability Scoring System (CVSS) - если известно.
• Секретность слабых мест в безопасности: Слабое место в безопасности уже раскрыто или это только планируется?
•  

Отправьте нам сообщение на немецком или на английском языке.

Так как информация о слабых местах в безопасности является критической, просим Вас отправлять информацию в зашифрованном виде. С этой целью используйте следующий PGP-ключ для шифрования информации, которую планируется передавать в PSIRT@auma.com.

Открытые ключи AUMA PSIRT

Здесь Вы можете скачать наш ключ PGP:

Отпечаток пальца: 64F97ED5674E7BF923018ED87788765AF3FF7089

Анализ и решение

После получения сообщения запускается стандартизированный процесс обработки. AUMA PSIRT подтверждает получение сообщения о слабом месте в безопасности, оценивает полученные подтверждения и проводит анализ, а также координацию необходимых исследований и мероприятий для поиска решения – это происходит в тесном сотрудничестве с осведомителем.

Раскрытие информации

Публикация правил техники безопасности для продукции и услуг компании AUMA осуществляется посредством общедоступной It-платформы CERT@VDE, которая была создана для координации слабых мест в безопасности специально для предприятий в области промышленной автоматизации.

Директивы по безопасности