Stručne povedané, ešte nie sme úplne pripravení, ale investujeme veľa zdrojov, aby sme dosiahli súlad s normou IEC 62443-4-1. Súčasné úsilie sa zameriava na rozšírenie a doplnenie procesov, ktoré sa už používajú na zabezpečenie kvality našich produktov, aby podporovali aj špecifické požiadavky normy IEC 62443-4-1.

V súčasnosti sa zameriavame na splnenie požiadaviek nasledujúcich zákonov, štandardov a noriem:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• Kalifornský zákon o heslách (2020 California Senat Bill SB-327)

Spoločnosť Murrelektronik zaviedla procesy, ktoré proaktívne pokrývajú všetky aspekty nami vykonávaných úloh. Projekty využívajú tieto štandardné procesy a v prípade potreby ich prispôsobujú. To zodpovedá úrovni 3 („definované“) podľa CMMI.

Áno. Proces vývoja všetkých nových produktov, ktoré budú vyvinuté v roku 2024 alebo neskôr, zahŕňa zohľadnenie aspektov kybernetickej bezpečnosti prostredníctvom vývoja príslušných modelov hrozieb.

Áno. Proces vývoja všetkých nových produktov, ktoré budú vyvinuté v roku 2024 alebo neskôr, zahŕňa vývoj koncepcie hlbokej obrany s cieľom riešiť všetky riziká identifikované v modelovaní hrozieb.

Áno. Bezpečnostné testovanie a validácia sú štandardnou súčasťou rozsiahlych testov a validácií, ktoré vykonávame na našich produktoch vyvinutých v roku 2024 alebo neskôr.

Áno. Stanovili sme štandardy kódovania, ktoré sú priebežne aktualizované, aby zohľadňovali najnovšie požiadavky vrátane tých, ktoré vyplývajú z hľadísk kybernetickej bezpečnosti.

Áno. Pri vývoji nových produktov sa bezpečnostné požiadavky stanovujú už vo fáze návrhu.

Pracujeme na implementácii požiadaviek normy IEC 62443-4-1 (SM-9 a SM-10) a požiadaviek normy IEC 27036. V súčasnosti sa zameriavame na definovanie procesov a obstaranie potrebných nástrojov na podporu tejto úlohy.

Existuje viacero krokov, ktoré odporúčame. Nie je možné dať stručnú a výstižnú odpoveď, ktorá by pokryla všetky situácie a všetky produkty. Najdôležitejšie zdroje, ktoré je potrebné skontrolovať, sú:

1. Kapitola o kybernetickej bezpečnosti v dokumentácii k produktu, ktorá je v súčasnosti štandardnou súčasťou nových produktov
2. Všeobecné zásady kybernetickej bezpečnosti, ktoré sú obsiahnuté v nasledujúcich dokumentoch:

• Všeobecné zásady kybernetickej bezpečnosti

Tieto informácie nájdete v kapitole o kybernetickej bezpečnosti v príslušnej dokumentácii k produktu, ktorá je štandardnou súčasťou dokumentácie nových produktov vyvinutých od roku 2024.

Tieto informácie nájdete v kapitole o kybernetickej bezpečnosti v príslušnej dokumentácii k produktu, ktorá je štandardnou súčasťou dokumentácie nových produktov vyvinutých od roku 2024.

Najrýchlejšie sa s tímom PSIRT spoločnosti Murrelektronik spojíte prostredníctvom tejto e-mailovej adresy: psirt@murrelektronik.de

Náš proces riešenia slabých miest sa spustí, keď je nahlásené slabé miesto, buď z externého zdroja, alebo prostredníctvom nepretržitého interného monitorovania, ktoré vykonávajú interní pracovníci (výskum a vývoj, testovanie atď.) alebo externí poskytovatelia testovacích služieb v mene spoločnosti Murrelektronik. 

Správu vezmeme na vedomie a vykoná sa jej prvé posúdenie. Tím PSIRT je koordinátorom tohto procesu smerom navonok aj dovnútra a udržiava komunikáciu so všetkými zúčastnenými stranami. 

Po overení a analýze slabých miest tím PSIRT koordinuje so všetkými zúčastnenými stranami vypracovanie nápravných opatrení.

Podrobnejší opis nájdete v našom dokumente „Vulnerability Handling Process” (Proces riešenia zraniteľností).

Môžete sa prihlásiť na odber aktualizácií na CERT@VDE, kde uverejňujeme všetky naše informácie, tu.

Informácie, ktoré zverejňujeme, zvyčajne obsahujú väčšinu alebo všetky z nasledujúcich prvkov: 

1. ID informácie
2. Dátum a čas prvého zverejnenia, ako aj história zmien, ak boli informácie aktualizované.
3. Názov: obsahuje dostatočné informácie (napr. o príslušnom produkte), aby sa čitateľ mohol rýchlo rozhodnúť, či je upozornenie relevantné.
4. Prehľad: stručný všeobecný opis bezpečnostnej medzery.
5. Dotknuté produkty: vrátane názvu produktu/názvov produktov, dotknutej verzie hardvéru a firmvéru a prípadne bezpečnej metódy na otestovanie prítomnosti slabého miesta.
6. Opis: Obsahuje práve toľko podrobností, aby používatelia mohli posúdiť riziká bez toho, aby sa zjednodušila alebo zvýšila pravdepodobnosť zneužitia slabého miesta. Trieda a skóre CVSS môžu byť zahrnuté do opisu.
7. Dopad: uvedenie možných dôsledkov, ak je zistená zraniteľnosť zneužitá, a scenárov útoku, ktoré umožňuje.
8. Stupeň závažnosti: klasifikácia slabého miesta podľa systému Common Vulnerability Scoring System (CVSS).
9. Nápravné opatrenia: kroky, ktoré môžu používatelia podniknúť na zníženie alebo zabránenie zneužitia slabého miesta (obchádzajúce riešenia), a kroky potrebné na odstránenie slabého miesta (napr. inštaláciou softvérových záplat alebo aktualizácií).
10. Odkazy na súvisiace informácie, ako sú súvisiace upozornenia alebo CVE (Common Vulnerabilities and Exposures).
11. V prípade potreby potvrdenie osôb, ktoré nahlásili slabé miesto.
12. Kontaktné informácie tímu PSIRT spoločnosti Murrelektronik
13. Podmienky používania: podmienky kopírovania a ďalšieho šírenia. 

Bezpečnostné upozornenia uverejnené spoločnosťou Murrelektronik sú dostupné prostredníctvom viacerých kanálov:

• Webová stránka: na našej webovej stránke tímu PSIRT nájdete zoznam najaktuálnejších a najaktívnejších upozornení. Obsahuje tiež odkaz na archív všetkých uverejnených upozornení.
• CERT@VDE: naše upozornenia vkladáme do CERT@VDE databázy. 

Áno. Naše bezpečnostné upozornenia sú k dispozícii vo formáte CSAF. Pri sťahovaní bezpečnostných upozornení máte na výber medzi ľudsky čitateľným súborom PDF a strojovo čitateľným súborom CSAF.

Najnovšiu verziu firmvéru alebo softvéru pre svoj produkt nájdete vždy v sekcii „Download“ daného produktu v našom internetovom obchode.

Zverejnené bezpečnostné upozornenia obsahujú aj všetky odkazy a pokyny, ktoré potrebujete na inštaláciu bezpečnostných aktualizácií alebo záplat.