PSIRT

Anmälningar om potentiella säkerhetsbrister är välkomna från alla – både från våra kunder, men även från t.ex. säkerhetsexperter, forskare, CERTs (Computer Emergency Response Teams), myndigheter, branschorganisationer, leverantörer, anläggningsplanerare eller anläggningsägare.

Du skickar din anmälan till vår särskilda e-postadress för detta ändamål: PSIRT@auma.com.

Eftersom vissa av våra produkter används i kritisk infrastruktur vill vi be dig att samordna offentliggörandet av säkerhetsbrister med oss. Detta för att undvika att äventyra säkerhetssituationen i anläggningar innan våra utvecklingsteam har tagit fram och tillgängliggjort lämpliga motåtgärder för att åtgärda eller begränsa dem.

Det krävs inget sekretessavtal (NDA) eller annat avtal för att arbeta med oss vid rapporterandet av säkerhetsbrister. Vårt mål är att arbeta med varje uppgiftslämnare på ett förtroendefullt och professionellt sätt när det gäller potentiella säkerhetsbrister i AUMA:s produkter och tjänster.

Vänligen ge oss följande information i ditt e-postmeddelande för att påskynda hanteringen:

• Uppgiftslämnarens namn: Om du önskar vara anonym kommer vi att respektera dina intressen
• Kontaktuppgifter: E-postadress och telefonnummer där vi kan nå dig vid frågor eller för att ge dig information
• Tillhörighet: Namnet på din organisation (t.ex. företagsnamn)
• Säkerhetsbristens typ: Beskrivning av säkerhetsbristens typ (t.ex. XSS, buffertspill, fast konfigurerade inloggningsuppgifter)
• Faktor/omständighet som utlöser säkerhetsbristen: Beskrivning hur säkerhetsbristen kan utlösas (verktyg, processer, procedurer, anvisning hur det kan reproduceras)
• Berörd produkt: I vilka AUMA-produkter eller -tjänster har säkerhetsbristen upptäckts? Ange all information som du har tillgång till, t.ex. produktnamn med order- och serienummer, firmware- eller programvaruversion, operativsystem hos de berörda komponenterna (i förekommande fall), och vid tjänster anger du den aktuella platsen (t.ex. URL)
• Konsekvenser av säkerhetsbristen: Beskriv hur en angripare skulle kunna utnyttja säkerhetsbristen och vilka konsekvenser detta skulle få.
• CVSS-utvärdering: Utvärdering av säkerhetsbristen enligt Common Vulnerability Scoring System (CVSS) – om denna information är känd.
• Sekretess kring säkerhetsbrister: Har säkerhetsbristen redan offentliggjorts eller finns det planer på att offentliggöra den?
•  

Din anmälan om säkerhetsbrister kan du skicka in på tyska eller engelska.

Eftersom information om säkerhetsbrister är kritisk vill vi be dig att skicka denna information till oss i krypterad form. Använd följande PGP-nyckel för att kryptera den information som du skickar till PSIRT@auma.com.

AUMA PSIRT Public Keys

Här kan du ladda ner vår PGP Key:

Fingerprint: 64F97ED5674E7BF923018ED87788765AF3FF7089

Analys och lösning

När vi tagit emot en anmälan inleds en standardiserad bearbetningsprocess. AUMA PSIRT kommer att bekräfta mottagandet av den rapporterade säkerhetsbristen, bedöma och analysera den tillhandahållna informationen samt samordna nödvändiga undersökningar och aktiviteter för att hitta en lösning – detta görs i nära samarbete med den som rapporterat säkerhetsbristen.

Offentliggörande

Publiceringen av säkerhetsanvisningar för AUMA:s produkter och tjänster sker på den publika IT-säkerhetsplattformen CERT@VDE som är särskilt framtagen för företag inom industriautomation för att koordinera säkerhetsbrister.

Säkerhetsriktlinjer