Security Incident Management

Veiligheidshiaten in software zijn niet 100% te voorkomen. Daarom is het belangrijk dat wij gebruikers en beheerders tijdig over deze hiaten informeren, zodat ze de vereiste tegenmaatregelen kunnen treffen voordat er schade kan ontstaan. Om ervoor te zorgen dat dit naar behoren werkt, is het van belang om een passend management, met inbegrip van een Product Security Incident Response Team (PSIRT), in het bedrijf te organiseren.

Een Security Advisory geeft informatie over een bestaand veiligheidshiaat in een van onze producten en bestaat normaliter uit:

• de beschrijving van de zwakke plek,
• een inschatting van de kriticiteit van de zwakke plek in de vorm van een CVSS*-score,
• een opsomming van de betroffen producten inclusief de versie,
• mogelijke tegenmaatregelen en eventueel dankbetuigingen aan degenen die de zwakke plek aan ons hebben gemeld.

*Het CVSS (Common Vulnerability Scoring System) is een wereldwijd erkende standaardprocedure voor de beoordeling van de kriticiteit van een zwakke plek. Momenteel is CVSS er in de versie 3.0. CVSSv3 definieert een score van 0-10. 0 betekent de laagste kriticiteit en 10 de hoogste.

Hier vindt u de actuele Security Advisories.

Security Advisories

De security-experts van Pilz PSIRT analyseren, beoordelen en bewerken potentiële zwakke plekken in de veiligheid en security-incidenten die betrekking hebben op producten en oplossingen van Pilz. Als een zwakke plek eenmaal is bevestigd, publiceert Pilz PSIRT Security Advisories met aanwijzingen voor het oplossen van deze zwakke plek.

Wij willen veiligheidsexperts, onafhankelijke onderzoekers, klanten en andere betrokkenen stimuleren om veiligheidsproblemen met onze producten en oplossingen te melden. Alleen zo kunnen wij verdere activiteiten gezamenlijk bespreken, met elkaar afstemmen en de security van onze producten en oplossingen verbeteren. Om onze klanten en niet-betrokkenen geen risico's te laten lopen, verzoeken wij om een gecoördineerde publicatie van zwakke plekken, waarbij ons PSIRT wordt betrokken.

De security-specialisten van het Pilz PSIRT behandelen en beoordelen alle meldingen over mogelijke zwakke plekken in de security van producten van Pilz. Als u vragen over de security van onze producten of infrastructuur hebt of als u veiligheidsgaten wilt melden, neemt u contact op met onze security-experts van het PSIRT. Stel uw vragen of melding aan het PSIRT in het Duits of Engels op. U kunt een eerste reactie normaliter binnen twee werkdagen (CET) verwachten.

Meld security-problemen met betrekking tot onze producten, oplossingen en online diensten aan:

PSIRT contact

Voeg de volgende informatie toe aan uw melding:

• Artikelnummer van het getroffen product
• Apparaat- en firmware (voor zover aanwezig)
• Eventueel exploit of andere gegevens die ons helpen het probleem te reconstrueren
• Informatie over de vraag of de kwetsbaarheid al is gepubliceerd (door u of een andere instantie)

1. Analyseren: ons PSIRT onderzoekt de gemelde zwakke plek en verzoekt de melder zo nodig om verdere informatie. Houd er rekening mee dat het onderzoek afhankelijk van de complexiteit van de zwakke plek en de aard van het product enkele dagen tot weken kan duren. Los hiervan geven wij de melder uiterlijk na 15 werkdagen de eerste reactie.

2. Maatregelen definiëren: afhankelijk van de ernst van de zwakke plek en evt. andere randvoorwaarden worden updates voorbereid. In het geval van een ernstige zwakke plek bereidt Pilz een Security Advisory voor. Gedurende het proces informeren wij de melder regelmatig over de status.

3. Publiceren: het voorbereide Security Advisory en eventuele bijbehorende patches worden hier gepubliceerd en zijn voor elke klant beschikbaar om te downloaden. Voor het downloaden moet u zich aanmelden met uw gebruikersnaam. Mocht u nog geen profiel hebben, dan kunt u zich hier gratis registreren. Houd er rekening mee dat, afhankelijk van de ernst van een zwakke plek, patches mogelijk alleen in het kader van de productspecifieke releasecyclus beschikbaar worden gesteld.

Security Advisories