Ohjelmistojen turvallisuutta on mahdoton tehdä aukottomaksi. Siksi on tärkeää, että käyttäjille ja järjestelmänvalvojille kerrotaan ajoissa näistä haavoittuvuuksista, jotta he voivat ryhtyä tarvittaviin vastatoimiin ennen kuin vahinkoja syntyy. Jotta tämä toimisi säädellysti, on tärkeää perustaa yritykseen vastaava johtoryhmä sekä Product Security Incident Response Team (PSIRT).
Security Incident Management
Miksi Incident Management on tarpeen?
Mikä on Security Advisory?
Security-Advisory tiedottaa tuotteissamme todetuista turvallisuusaukoista ja koostuu tyypillisesti seuraavista:
- haavoittuvuuden kuvaus,
- haavoittuvuuden kriittisyyden arviointi CVSS*-pistemääränä,
- luettelo kyseeseen tulevista tuotteista ja versioista,
- mahdolliset vastatoimet sekä kiitos sille, joka ilmoitti haavoittuvuudesta.
*CVSS (Common Vulnerability Scoring System) on maailmanlaajuisesti tunnustettu menettely haavoittuvuuden kriittisyyden arvioinnille. CVSS:n nykyversio on 3.0. CVSSv3 määrittää pistemäärän 0-10. 0 tarkoittaa alinta ja 10 korkeinta kriittisyyttä.
Täältä löydät ajankohtaiset Security Advisoryt.
Pilz Product Security Incident Response Team
Pilz PSIRT:n turvallisuusasiantuntijat analysoivat, arvioivat ja käsittelevät potentiaalisia turvallisuushaavoittuvuuksia sekä Pilz-tuotteisiin ja ratkaisuihin liittyviä turvallisuustapahtumia. Kun haavoittuvuus todetaan, Pilz PSIRT julkaisee Security Advisoryn, jossa on korjausohjeet.
Kannustamme turvallisuusasiantuntijoita, riippumattomia tutkijoita, asiakkaita ja muita toimijoita ilmoittamaan meille tuoteisiimme ja palveluihimme liittyvät turvallisuusongelmat. Vain silloin voimme sopia yhteisistä jatkotoimenpiteistä ja parantaa tuotteidemme ja ratkaisujemme turvallisuutta. Asiakkaittemme ja ulkopuolisten turvallisuuden takaamiseksi pyydämme, että haavoittuvuudet julkaistaan koordinoidusti PSIRTin johdolla.
Pilz Incident Management -prosessi
Ilmoita tuotteisiimme ja ratkaisuihimme liittyvät turvallisuusongelmat PGP Public Key:llä salattuna osoitteeseen: security@pilz.com
Liitä mukaan seuraavat tiedot:
- Tuotteen asianumero
- Laite- ja varusohjelma (mikäli on)
- Mahd. haavoittuvuus tai muita tietoja, jotka auttavat meitä toistamaan ongelman
- Tieto onko haavoittuvuus jo julkaistu (ilmoittajan tai muiden toimesta)
1. Analysointi: PSIRT-tiimimme tutkii ilmoitetun haavoittuvuuden ja pyytää tarvittaessa lisätietoja ilmoittajilta. Huomaa, että tutkimus voi kestää päivistä viikkoihin haavoittuvuuden ja tuotteen monimutkaisuudesta riippuen. Tästä riippumatta annamme ilmoittajalle raportin viimeistään 15 arkipäivän kuluttua ilmoituksesta.
2. Toimenpiteiden määrittely: Haavoittuvuuden vakavuudesta ja muista tekijöistä riippuen luodaan päivityksiä. Vakavan haavoittuvuuden yhteydessä Pilz laatii Security Advisoryn. Prosessin aikana tiedotamme jatkuvasti ilmoittajaa sen tilasta.
3. Julkaisu: Valmis Security Advisory ja mahdolliset päivitykset julkaistaan täällä ja ovat kaikkien asiakkaiden ladattavissa. Latausta varten sinun on kirjauduttava sisään käyttäjätunnuksellasi. Jos sinulla ei vielä ole profiilia, voit rekisteröityä ilmaiseksi täällä. Huomaa, että haavoittuvuuden vakavuudesta riippuen päivitykset saatetaan julkaista tuotekohtaisen julkaisuaikataulun mukaan.
Lisätietoa Security 4.0:sta
Yhteystiedot
Pilz Skandinavien K/S, sivuliike Suomessa
Elannontie 5
01510 Vantaa
Finland
Puhelin: +358 10 3224030
Sähköposti: pilz.fi@pilz.dk
Tekninen tuki
Puhelin: +358 10 3224030 / +45 74436332
Sähköposti: support.fi@pilz.dk