L’Industrial Security inizia già in fase di sviluppo del prodotto. Per fare in modo che le nostre soluzioni di prodotto siano “safe & secure”, teniamo in massima considerazione il ciclo di vita completo del prodotto che, per la nostra azienda, implica profonda attenzione all’aspetto della security. Siamo qui per te: dal team PSIRT che si occupa ininterrottamente della gestione della security ai Security Advisory fino ai processi sicuri per il ciclo di vita del prodotto.
La security è un “moving target”, ovvero un “bersaglio mobile”: significa quindi che il suo obbiettivo cambia col cambiare del ciclo di vita di un prodotto. Gli hacker sviluppano sempre nuovi metodi per violare le misure di sicurezza. Nei prodotti vengono individuate nuove vulnerabilità che rappresentano potenziali punti deboli di attacco. Oppure la situazione di minaccia cambia, ad esempio attraverso nuovi software.
Per questa ragione, le misure adottate contro minacce informatiche o manipolazioni/manomissioni devono essere verificate a cadenza periodica. La responsabilità ricade principalmente sugli utilizzatori degli impianti. I costruttori di macchine e componenti devono informare subito gli utilizzatori in merito a nuovi problemi di sicurezza. Occorre che siano disponibili i relativi aggiornamenti per i software dei dispositivi in modo tale che i clienti possano eliminare le vulnerabilità. I system integrator, eventualmente coinvolti nel processo, fungono da intermediari tra i costruttori e gli utilizzatori. Questo presuppone tuttavia una stretta collaborazione tra le parti per tutto il ciclo di vita dei prodotti.
Pilz è esperta in sicurezza. Per noi è importante che i prodotti non siano solo ‘safe’ ma anche ‘secure’. Per questa ragione Pilz ha incaricato l’ente ispettivo TÜV Süd di esaminare con attenzione i processi di sviluppo e di verificarli sulla base della norma IEC 62443-4-1. Quest’ultima definisce lo sviluppo sicuro dei prodotti, il “Processo Security Development Lifecycle” (processo SDL). L’approccio descritto include le eventuali caratteristiche e proprietà in materia di security già nella fase embrionale di progettazione del nuovo prodotto. Ha il compito di garantire che tutti i rischi connessi alla security di un prodotto siano individuati con l’ausilio di una modellazione delle minacce e idealmente eliminati dal prodotto durante il processo di sviluppo.
L’esito dell’audit: la procedura di sviluppo Pilz ha soddisfatto i requisiti della norma e risponde al processo SDL. Ora possiamo quindi affermarlo con... sicurezza: Pilz sviluppa non solo in modo ‘safe’ ma anche ‘secure’!
Secondo quanto rilevato da TÜV Süd, Pilz tiene in massima considerazione lo sviluppo di prodotti sicuri in conformità alla norma IEC 62443-4-1 realizzando così una base solida per le successive certificazioni di prodotto.
Oltre all’hardware, Pilz è anche produttore di soluzioni software. Non è possibile escludere al 100% le falle di sicurezza nel software. Pertanto, è importante informarne tempestivamente utenti e amministratori per consentire loro di adottare le necessarie contromisure prima che possano causare danni. I prodotti e i servizi Pilz devono soddisfare requisiti qualitativi molto elevati. Per questo motivo, l’aspetto della Security è per Pilz di fondamentale importanza già nella fase di sviluppo dei prodotti. Ciononostante, non è possibile escludere al 100% il verificarsi di falle nella sicurezza dei software: per questa ragione ogni notifica riguardante eventuali vulnerabilità è considerata con la massima attenzione ai fini dell’Incident Management. Utenti e amministratori devono essere tempestivamente informati di queste falle nella sicurezza per consentire loro di adottare le necessarie contromisure prima che possano causare danni. Solo in questo modo Pilz può garantire e mantenere a un livello costantemente elevato la qualità dei prodotti. Al fine di assicurare il funzionamento corretto di tale processo, è necessario implementare in azienda un sistema di gestione che preveda anche un team dedicato a tale compito, il Product Security Incident Response Team (PSIRT). Il team PSIRT di Pilz fornisce, attraverso i Security Advisory, raccomandazioni su come agire per eliminare le vulnerabilità individuate.
Un Security Advisory contiene informazioni relative a una falla esistente nella sicurezza in un prodotto Pilz e, normalmente, include quanto segue:
*Il CVSS (Common Vulnerability Scoring System) è un sistema di misurazione standard, riconosciuto a livello internazionale, utilizzato per valutare la criticità di una vulnerabilità. Attualmente, il CVSS è in uso nella versione 3.0. Il CVSSv3 assegna ad ogni vulnerabilità un punteggio da 0 a 10, dove 0 indica la criticità più bassa e 10 indica la criticità più alta.
Qui sono disponibili i Security Advisory attuali.
Cosa fa il team PSIRT Pilz?
Gli esperti di sicurezza informatica PSIRT di Pilz analizzano, valutano ed elaborano potenziali falle della sicurezza, così come incidenti legati alla sicurezza di prodotti e soluzioni Pilz. Se viene confermata una vulnerabilità, il team PSIRT di Pilz pubblica i Security Advisory contenenti le istruzioni per eliminare tale vulnerabilità.
Desideriamo incoraggiare esperti di sicurezza, ricercatori indipendenti, clienti e altri soggetti a comunicarci i problemi di sicurezza relativi a prodotti e soluzioni Pilz. Solo così facendo è possibile discutere e definire insieme altre attività per migliorare il livello di sicurezza di prodotti e soluzioni Pilz. Per non mettere in pericolo i nostri clienti e tutti coloro che sono coinvolti, auspichiamo una pubblicazione coordinata delle vulnerabilità con il coinvolgimento del team PSIRT Pilz.
Come contattare il team PSIRT Pilz?
Gli specialisti di sicurezza informatica del team Pilz PSIRT elaborano e valutano tutte le comunicazioni relative a possibili vulnerabilità dei prodotti Pilz. Per qualsiasi domanda in tema di Security relativa a prodotti o infrastruttura Pilz oltre che per segnalare eventuali lacune di sicurezza, puoi rivolgerti ai nostri esperti del team PSIRT. La comunicazione con il PSIRT deve essere in inglese o tedesco. I tempi di risposta sono di norma due giorni lavorativi (CET).
Per comunicare problemi di security relativi a prodotti, soluzioni o servizi online Pilz rivolgersi a:
Inserisci le seguenti informazioni nel tuo messaggio:
1. Analisi: il team PSIRT analizza la vulnerabilità notificata e, se necessario, richiede ulteriori informazioni all’autore della notifica. Si prega di considerare che l’analisi, a seconda della complessità della vulnerabilità e al tipo di prodotto, può richiedere alcuni giorni o settimane. Indipendentemente da questa tempistica, Pilz invia un primo feedback all’autore della richiesta al più tardi entro 15 giorni lavorativi.
2. Definizione di misure: in base al grado di severità della vulnerabilità e ad eventuali altre condizioni secondarie, si approntano gli aggiornamenti. In caso di vulnerabilità grave Pilz prepara un avviso sulla sicurezza, il cosiddetto Security Advisory. Durante tutto il processo, l’autore viene regolarmente aggiornato sulla situazione.
3. Pubblicazione: una volta pronto il Security Advisory ed eventualmente le relative patch, si procede alla loro pubblicazione in questa sezione rendendoli disponibili per il download a tutti i clienti. Per poter eseguire il download è necessario che l’utente abbia precedentemente fatto il login. Se l’utente non dispone ancora di un proprio profilo procedere con la registrazione gratuita. Si precisa che, in base alla gravità della vulnerabilità, vengono rilasciate delle patch, eventualmente solo in virtù del ciclo di release del prodotto.
Pilz GmbH & Co. KG
Felix-Wankel-Straße 2
73760 Ostfildern
Germania
Telefono: +49 711 3409-0
E-mail: info@pilz.de
Gewerbepark Hintermättli
5506 Mägenwil
Schweiz
Telefono: +41 62 889 79 30
E-mail: pilz@pilz.ch
Telefono: +41 62 889 79 32
E-mail: techsupport@pilz.ch
