Bezpieczny cykl życia produktu

Bezpieczeństwo przemysłowe zaczyna się od etapu opracowywania produktu. Aby mieć pewność, że nasze rozwiązania produktowe są bezpieczne i chronione, dbamy o ustanowienie kompletnego cyklu życia produktu, który uwzględnia w możliwy do zweryfikowania sposób kwestie ochrony. Do dyspozycji klienta jest nasz zespół PSIRT, który odpowiada za nieprzerwane zarządzanie bezpieczeństwem, ale także noty bezpieczeństwa oraz bezpieczne procesy obejmujące cały cykl życia produktu.

Bezpieczeństwo to „ruchomy cel”, co oznacza, że potrzeby zmieniają się w trakcie cyklu życia produktu. Cyberprzestępcy opracowują coraz lepsze metody obchodzenia zabezpieczeń. W zabezpieczeniach produktów odkrywane są nowe słabe punkty, które mogą być celem ataków. Sytuacja zagrożenia może też ulec zmianie – na przykład w związku z nowym oprogramowaniem.
 
Z tego powodu środki ochrony przed cyberzagrożeniami i manipulacjami muszą być regularnie weryfikowane. Odpowiedzialność za to ponoszą przede wszystkim operatorzy instalacji. Producenci maszyn i podzespołów powinni niezwłocznie informować operatorów o nowych problemach związanych z bezpieczeństwem. Aby klienci mogli usuwać słabe punkty, muszą posiadać aktualizacje oprogramowania urządzeń. Jeśli w proces zaangażowani są integratorzy systemów, pełnią oni rolę pośrednika pomiędzy producentem a operatorem. Ważne jest, aby wszystkie zaangażowane strony pozostawały w ścisłej współpracy przez cały cykl życia produktu. 

Firma Pilz jest ekspertem w dziedzinie bezpieczeństwa. Zależy nam, aby nasze produkty były nie tylko bezpieczne, ale także odpowiednio chronione. Dlatego zleciliśmy firmie TÜV Süd zbadanie naszych procesów wytwarzania produktów i przetestowanie ich w oparciu o normę IEC 62443-4-1 – „Bezpieczny proces planowania cyklu życia” (proces SDL). W ramach tego podejścia analizuje się zabezpieczenia, już na etapie projektowania nowego produktu. Ma to na celu wykrycie wszystkich zagrożeń dla bezpieczeństwa produktu poprzez ich modelowanie i – w najlepszym przypadku – eliminację już na etapie projektowania.

Wynik audytu: Proces tworzenia produktów w firmie Pilz spełnia wymagania normy i jest zgodny z procesem SDL. Z tego powodu możemy śmiało oznajmić, że jest nie tylko bezpieczny, ale również odpowiednio chroniony!

Według TÜV Süd, procesy wytwarzania są traktowane w firmie Pilz z należytą starannością i umożliwiają bezproblemową późniejszą certyfikację produktów.

Firma Pilz dostarcza nie tylko sprzęt, ale także oprogramowanie. Nie można w 100% zapobiec lukom bezpieczeństwa w oprogramowaniu. Dlatego ważne jest, aby użytkownicy i administratorzy byli informowani odpowiednio wcześnie o wykrytych lukach, tak aby mogli podjąć niezbędne środki zaradcze, zanim dojdzie do jakichkolwiek szkód. Nasze produkty spełniają najbardziej rygorystyczne wymagania w tym zakresie, a dzięki naszym usługom masz pewność, że Twój zakład jest właściwie zabezpieczony i chroniony. Dlatego też firma Pilz bierze kwestie bezpieczeństwa pod uwagę już na etapie opracowywania produktów. Niemniej nie można w 100% zapobiec powstawaniu luk bezpieczeństwa w oprogramowaniu. Z tego powodu z należytą powagą traktujemy wszelkie zgłoszenia w ramach zarządzania incydentami. Użytkownicy i administratorzy muszą być informowani odpowiednio wcześnie o wykrytych lukach, tak aby mogli podjąć niezbędne środki zaradcze, zanim dojdzie do jakichkolwiek szkód. Tylko w ten sposób możemy zadbać o bardzo wysoką jakość naszych produktów. W tym celu ważne jest ustanowienie w firmie odpowiedniego systemu zarządzania, w tym zespołu reagowania na incydenty związane z bezpieczeństwem produktów (PSIRT). Noty bezpieczeństwa zespołu PSIRT  firmy Pilz zawierają zalecane działania mające na celu wyeliminowanie słabych punktów.

Nota bezpieczeństwa informuje o istniejących lukach w zabezpieczeniach naszych produktów i zazwyczaj obejmuje:

• Opis słabego punktu;
• Ocenę CVSS* powagi problemu związanego ze słabym punktem;
• Listę produktów wraz z podaniem wersji;
• Potencjalne środki zaradcze a w uzasadnionych przypadkach potwierdzenie dla osób, które dokonały zgłoszenia.

*CVSS (Common Vulnerability Scoring System) to uznana na świecie standardowa procedura oceny powagi problemu związanego ze słabymi punktami. System CSVV jest obecnie dostępny w wersji 3.0. CVSSv3 określa wynik w skali 0–10. Najniższa krytyczność oceniana jest na 0, a najwyższa na 10.

Tutaj znajdziesz aktualne noty dotyczące bezpieczeństwa.

Noty bezpieczeństwa

Czym zajmuje się zespół PSIRT firmy Pilz?

Eksperci ds. bezpieczeństwa z zespołu PSIRT analizują i oceniają potencjalne słabe punkty oraz incydenty związane z bezpieczeństwem produktów i rozwiązań firmy Pilz, a także zarządzają nimi. Gdy wykrycie słabego punktu zostanie potwierdzone, firma Pilz publikuje notę bezpieczeństwa z uwagami, jak wyeliminować problem.

Chcemy zachęcić ekspertów ds. bezpieczeństwa, niezależnych badaczy, klientów i inne strony do zgłaszania nam wszelkich problemów związanych z bezpieczeństwem naszych produktów i rozwiązań. Tylko w ten sposób możemy wspólnie omawiać dalsze działania, koordynować je i poprawiać bezpieczeństwo naszych produktów i rozwiązań. Aby zagwarantować bezpieczeństwo u naszych klientów i wszelkich niepowiązanych stron trzecich prosimy o skoordynowaną publikację słabych punktów i zaangażowanie naszego zespołu PSIRT.

Jak skontaktować się z naszym zespołem PSIRT:

Specjaliści z zespołu PSIRT zapoznają się z każdym zgłoszeniem dotyczącym luk w zabezpieczeniach produktów i dokonują jego oceny. W razie jakichkolwiek pytań dotyczących bezpieczeństwa naszych produktów lub infrastruktury lub w celu zgłoszenia luk w zabezpieczeniach prosimy o kontakt z naszymi pracownikami. Komunikacja z PSIRT odbywa się w języku niemieckim lub angielskim. Pierwszą odpowiedź można zazwyczaj uzyskać w ciągu dwóch dni roboczych (CET).

Prosimy o zgłaszanie wszelkich problemów związanych z bezpieczeństwem naszych produktów, rozwiązań i usług online do:

Zespół PSIRT

Prosimy o podanie w zgłoszeniu następujących informacji:

• Numer katalogowy produktu
• Urządzenie i oprogramowanie sprzętowe (jeśli dostępne)
• Opis lub dane, które pomogą nam odtworzyć problem
• Informacja, czy słaby punkt został już opublikowany (przez samego zgłaszającego lub kogoś innego)

1. Analiza: Nasz zespół PSIRT bada zgłoszony słaby punkt, a w razie potrzeby zwraca się do zgłaszającego o dodatkowe informacje. Należy pamiętać, że badanie może trwać od kilku dni do kilku tygodni w zależności od stopnia złożoności słabego punktu i rodzaju produktu. Niemniej jednak, przekażemy zgłaszającemu informację zwrotną najpóźniej po 15 dniach roboczych.

2. Określenie środków: W zależności od powagi problemu związanego ze słabym punktem i (w stosownych przypadkach) innych uwarunkowań, zostaną przygotowywane aktualizacje produktu. W przypadku poważnego problemu związanego ze słabym punktem firma Pilz przygotuje notę bezpieczeństwa. W trakcie tego procesu regularnie informujemy zgłaszającego o statusie sprawy.

3. Publikacja: Końcowa nota bezpieczeństwa i wszelkie związane z nią poprawki zostaną opublikowane tutaj i będą dostępne do pobrania dla każdego klienta. Aby je pobrać, musisz się zalogować. Jeśli nie posiadasz jeszcze konta, możesz zarejestrować się tutaj bezpłatnie. Należy pamiętać, że w zależności od powagi problemu związanego ze słabym punktem, poprawki mogą być wydawane wyłącznie w ramach typowego cyklu produktu.