Security Incident Management

Ohjelmistojen turvallisuutta on mahdoton tehdä aukottomaksi. Siksi on tärkeää, että käyttäjille ja järjestelmänvalvojille kerrotaan ajoissa näistä haavoittuvuuksista, jotta he voivat ryhtyä tarvittaviin vastatoimiin ennen kuin vahinkoja syntyy. Jotta tämä toimisi säädellysti, on tärkeää perustaa yritykseen vastaava johtoryhmä sekä Product Security Incident Response Team (PSIRT).

Security-Advisory tiedottaa tuotteissamme todetuista turvallisuusaukoista ja koostuu tyypillisesti seuraavista:

• haavoittuvuuden kuvaus,
• haavoittuvuuden kriittisyyden arviointi CVSS*-pistemääränä,
• luettelo kyseeseen tulevista tuotteista ja versioista,
• mahdolliset vastatoimet sekä kiitos sille, joka ilmoitti haavoittuvuudesta.

*CVSS (Common Vulnerability Scoring System) on maailmanlaajuisesti tunnustettu menettely haavoittuvuuden kriittisyyden arvioinnille. CVSS:n nykyversio on 3.0. CVSSv3 määrittää pistemäärän 0-10. 0 tarkoittaa alinta ja 10 korkeinta kriittisyyttä.

Täältä löydät ajankohtaiset Security Advisoryt.

Security Advisoryt

Pilz PSIRT:n turvallisuusasiantuntijat analysoivat, arvioivat ja käsittelevät potentiaalisia turvallisuushaavoittuvuuksia sekä Pilz-tuotteisiin ja ratkaisuihin liittyviä turvallisuustapahtumia. Kun haavoittuvuus todetaan, Pilz PSIRT julkaisee Security Advisoryn, jossa on korjausohjeet.

Kannustamme turvallisuusasiantuntijoita, riippumattomia tutkijoita, asiakkaita ja muita toimijoita ilmoittamaan meille tuoteisiimme ja palveluihimme liittyvät turvallisuusongelmat. Vain silloin voimme sopia yhteisistä jatkotoimenpiteistä ja parantaa tuotteidemme ja ratkaisujemme turvallisuutta. Asiakkaittemme ja ulkopuolisten turvallisuuden takaamiseksi pyydämme, että haavoittuvuudet julkaistaan koordinoidusti PSIRTin johdolla.

Pilz PSIRT-tiimin Security-asiantuntijat käsittelevät ja analysoivat kaikki Pilz-tuotteiden mahdollisia haavoittuvuuksia koskevat ilmoitukset. Jos sinulla on kysyttävää Securitystä, jotka koskevat Pilzin tuotteita tai infrastruktuuria tai haluat ilmoittaa turvallisuushaavoittuvuuden, käänny PSIRT-tiimin Security-asiantuntijoiden puoleen. Kirjoita PSIRT-tiimille saksaksi tai englanniksi. Ensimmäisen vastauksen saat tyypillisesti kahden työpäivän sisällä.

Ilmoita tuotteisiimme, ratkaisuihimme ja verkkopalveluihimme liittyvistä tietoturvaongelmista:

PSIRT-yhteystiedot

Liitä seuraavat tiedot ilmoitukseesi:

• Tuotteen asianumero
• Laite- ja varusohjelma (mikäli on)
• Mahd. haavoittuvuus tai muita tietoja, jotka auttavat meitä toistamaan ongelman
• Tieto onko haavoittuvuus jo julkaistu (ilmoittajan tai muiden toimesta)

1. Analysointi: PSIRT-tiimimme tutkii ilmoitetun haavoittuvuuden ja pyytää tarvittaessa lisätietoja ilmoittajilta. Huomaa, että tutkimus voi kestää päivistä viikkoihin haavoittuvuuden ja tuotteen monimutkaisuudesta riippuen. Tästä riippumatta annamme ilmoittajalle raportin viimeistään 15 arkipäivän kuluttua ilmoituksesta.

2. Toimenpiteiden määrittely: Haavoittuvuuden vakavuudesta ja muista tekijöistä riippuen luodaan päivityksiä. Vakavan haavoittuvuuden yhteydessä Pilz laatii Security Advisoryn. Prosessin aikana tiedotamme jatkuvasti ilmoittajaa sen tilasta.

3. Julkaisu: Valmis Security Advisory ja mahdolliset päivitykset julkaistaan täällä ja ovat kaikkien asiakkaiden ladattavissa. Latausta varten sinun on kirjauduttava sisään käyttäjätunnuksellasi. Jos sinulla ei vielä ole profiilia, voit rekisteröityä ilmaiseksi täällä. Huomaa, että haavoittuvuuden vakavuudesta riippuen päivitykset saatetaan julkaista tuotekohtaisen julkaisuaikataulun mukaan.

Security Advisoryt