Turvallinen tuotteen elinkaari

Pukumiehet istuvat pöydän ääressä

Industrial Security alkaa tuotekehityksestä. Varmistaaksemme, että Pilzin tuoteratkaisut ovat turvallisia, kiinnitämme huomiota kokonaisvaltaiseen tuotteen elinkaareen, jossa Security otetaan yrityksessämme todistettavasti huomioon. Tukenasi ovat mm. PSIRT-tiimimme, joka varmistaa jatkuvan Security-hallinnan, turvallisuustiedotteet ja tuotteen elinkaaren kestävät turvalliset prosessit.

 

Security on ”moving target“ ts. se muuttuu tuotteen elinkaaren aikana. Hyökkääjät kehittävät jatkuvasti parempia menetelmiä torjuntatoimenpiteiden ohitukseen. Tuotteista löydetään uusia haavoittuvuuksia, jotka tarjoavat hyökkäysmahdollisuuksia. Tai uhkatilanne muuttuu, esimerkiksi uuden ohjelmiston vuoksi.
 
Kyberuhkien tai -manipulaation torjuntatoimenpiteitä on sen vuoksi tarkistettava säännöllisesti. Vastuu on ensisijaisesti laitteiston omistajalla. Koneenrakentajien ja komponenttivalmistajien on tiedotettava omistajia välittömästi uusista turvallisuusongelmista. Niiden on tuotettava päivityksiä ohjelmilleen, jotta asiakkaat voivat poistaa haavoittuvuudet. Jos prosessiin liittyy myös järjestelmäintegraattoreita, ne toimivat omistajan ja valmistajan välillä. Tärkeintä on, että kaikki osapuolet tekevät yhteistyötä koko tuotteen elinkaaren ajan. 

Pilzin tuotekehitys Industrial Security -standardin mukaisesti

Pilz on turvallisuuden asiantuntija. Meille on tärkeää, että tuotteemme ovat paitsi turvallisia myös suojattuja. Siksi annoimme TÜV Südille tehtäväksi tarkastella tuotekehitysprosessejamme lähemmin ja testata ne standardin IEC 62443-4-1 mukaisesti. Siinä määritellään turvallinen tuotekehitys, "Security Development Lifecycle process" (SDL-prosessi). Tässä lähestymistavassa otetaan huomioon mahdolliset turvaominaisuudet jo uutta tuotetta suunniteltaessa. Sen tarkoituksena on varmistaa, että kaikki tuotteen turvallisuusriskit tunnistetaan uhkamallinnuksen avulla ja että ne mieluiten otetaan huomioon tuotteessa kehitysprosessin aikana.

Tarkastuksen tulos: Pilzin tuotekehitys täyttää standardin vaatimukset ja vastaa SDL-prosessia. Voimme siis nyt sanoa varmuudella: Pilzin tuotekehitystyö tapahtuu turvallisesti ja suojatusti!

TÜV Südin mukaan turvallisten tuotteiden kehittämiseen IEC 62443-4-1:n mukaan suhtaudutaan Pilzillä erittäin vakavasti, ja se luo vankan perustan myöhemmille tuotesertifioinneille.

TÜV Süd -logo

Security haavoittuvuuksien hallinta

Laitteistojen lisäksi Pilz valmistaa myös ohjelmistoratkaisuja. Ohjelmistojen turvallisuutta on mahdoton tehdä aukottomaksi. Siksi on tärkeää, että käyttäjille ja järjestelmänvalvojille kerrotaan ajoissa näistä haavoittuvuuksista, jotta he voivat ryhtyä tarvittaviin vastatoimiin ennen kuin vahinkoja syntyy. Asetamme tuotteillemme ja palveluillemme korkeimmat laatuvaatimukset. Tämän vuoksi huomioimme Securityn jo tuotekehitysvaiheessa. Ohjelmiston haavoittuvuuksia on kuitenkin mahdoton välttää täysin. Siksi suhtaudumme erittäin vakavasti ilmoituksiin mahdollisista haavoittuvuuksista Incident Managementin vuoksi. Käyttäjille ja järjestelmänvalvojille on kerrottava ajoissa näistä haavoittuvuuksista, jotta he voivat ryhtyä tarvittaviin vastatoimiin ennen kuin vahinkoja syntyy. Vain sillä tavalla voimme varmistaa, että tuotteidemme laatu pysyy jatkossakin korkealla tasolla. Jotta tämä toimisi säädellysti, on tärkeää perustaa yritykseen vastaava johtoryhmä sekä Product Security Incident Response Team (PSIRT). Pilzin  PSIRT-tiimi antaa turvallisuustiedotteina toimintasuosituksia, joiden avulla voit korjata havaitut haavoittuvuudet.

Avain, jossa on keltainen raita

Mikä on Security Advisory?

Security-Advisory tiedottaa tuotteissamme todetuista turvallisuusaukoista ja koostuu tyypillisesti seuraavista:

  • haavoittuvuuden kuvaus,
  • arvio haavoittuvuuden kriittisyydestä CVSS*-pistemäärän muodossa,
  • luettelo tuotteista, joita ongelma koskee, versio mukaan lukien,
  • mahdolliset vastatoimet ja tarvittaessa kiitokset niille, jotka ilmoittivat haavoittuvuudesta meille.


*CVSS (Common Vulnerability Scoring System) on maailmanlaajuisesti tunnustettu menettely haavoittuvuuden kriittisyyden arvioinnille. CVSS:n nykyversio on 3.0. CVSSv3 määrittää pistemäärän 0-10. 0 Tarkoittaa alinta ja 10 korkeinta kriittisyyttä.

Security Advisory painettuna

Täältä löydät ajankohtaiset Security Advisoryt.

Security Advisoryt eli turvallisuustiedotteet

Pilz Product Security Incident Response Team (PSIRT)

Mitä Pilz PSIRT tekee?

Pilz PSIRT:n turvallisuusasiantuntijat analysoivat, arvioivat ja käsittelevät potentiaalisia turvallisuushaavoittuvuuksia sekä Pilz-tuotteisiin ja ratkaisuihin liittyviä turvallisuustapahtumia. Kun haavoittuvuus todetaan, Pilz PSIRT julkaisee Security Advisoryn, jossa on korjausohjeet.

Kannustamme turvallisuusasiantuntijoita, riippumattomia tutkijoita, asiakkaita ja muita toimijoita ilmoittamaan meille tuoteisiimme ja palveluihimme liittyvät turvallisuusongelmat. Vain silloin voimme sopia yhteisistä jatkotoimenpiteistä ja parantaa tuotteidemme ja ratkaisujemme turvallisuutta. Asiakkaittemme ja ulkopuolisten turvallisuuden takaamiseksi pyydämme, että haavoittuvuudet julkaistaan koordinoidusti PSIRTin johdolla.

Näin tavoitat Pilz PSIRT:n:

Pilz PSIRT-tiimin Security-asiantuntijat käsittelevät ja analysoivat kaikki Pilz-tuotteiden mahdollisia haavoittuvuuksia koskevat ilmoitukset. Jos sinulla on kysyttävää Securitystä, jotka koskevat Pilzin tuotteita tai infrastruktuuria tai haluat ilmoittaa turvallisuushaavoittuvuuden, käänny PSIRT-tiimin Security-asiantuntijoiden puoleen. Kirjoita PSIRT-tiimille saksaksi tai englanniksi. Ensimmäisen vastauksen saat tyypillisesti kahden työpäivän sisällä.

Ilmoita tuotteisiimme, ratkaisuihimme ja verkkopalveluihimme liittyvistä Security-ongelmista:

PSIRT-yhteystiedot

Liitä seuraavat tiedot ilmoitukseesi:

  • Kyseisen tuotteen osanumero
  • Laite ja laiteohjelmisto (jos saatavilla)
  • Tarvittaessa exploit tai muut tiedot, jotka auttavat meitä toistamaan ongelman
  • Tieto siitä, onko haavoittuvuus jo julkaistu (sinun tai jonkin muun organisaation toimesta)

Pilz Incident Management -prosessi

1. Analysointi: PSIRT-tiimimme tutkii ilmoitetun haavoittuvuuden ja pyytää tarvittaessa lisätietoja ilmoittajilta. Huomaa, että tutkimus voi kestää päivistä viikkoihin haavoittuvuuden ja tuotteen monimutkaisuudesta riippuen. Tästä riippumatta annamme ilmoittajalle raportin viimeistään 15 arkipäivän kuluttua ilmoituksesta.

2. Toimenpiteiden määrittely: Haavoittuvuuden vakavuudesta ja muista tekijöistä riippuen luodaan päivityksiä. Vakavan haavoittuvuuden yhteydessä Pilz laatii Security Advisoryn. Prosessin aikana tiedotamme jatkuvasti ilmoittajaa sen tilasta.

3. Julkaisu: Valmis Security Advisory ja mahdolliset päivitykset julkaistaan täällä ja ovat kaikkien asiakkaiden ladattavissa. Latausta varten sinun on kirjauduttava sisään käyttäjätunnuksellasi. Jos sinulla ei vielä ole profiilia, voit rekisteröityä ilmaiseksi täällä. Huomaa, että haavoittuvuuden vakavuudesta riippuen päivitykset saatetaan julkaista tuotekohtaisen julkaisuaikataulun mukaan.

Pukumies seisoo hologrammin edessä

Hanki näkemys Industrial Securitystä

Uudet teknologiat, kuten esineiden internet, tekoäly ja robotiikka, tarjoavat mahdollisuuksia, mutta myös riskejä. Lue lisää Lakisääteisistä vaatimuksista ja tutustu Industrial Security -valikoimaamme!

Yleiskatsaus Industrial Securitystä koneturvallisuudessa
Yhteystiedot

Pilz Skandinavien K/S, sivuliike Suomessa
Elannontie 5
01510 Vantaa
Finland

Puhelin: +358 10 3224030
Sähköposti: pilz.fi@pilz.dk

Tekninen tuki

Puhelin: +358 10 3224030 / +45 74436332
Sähköposti: support.fi@pilz.dk