Группа реагирования на происшествия в области кибербезопасности продукции компании Pilz (PSIRT)

Эксперты по информационной безопасности группы PSIRT компании Pilz анализируют, оценивают и контролируют потенциальные уязвимости и происшествия в области информационной безопасности, связанные с изделиями и решениями компании Pilz. Если наличие уязвимости подтверждено, компания Pilz публикует Рекомендации по информационной безопасности, разработанные группой PSIRT, с указанием порядка устранения данной уязвимости.

Мы просим экспертов по информационной безопасности, независимых исследователей, клиентов и прочие лица сообщать нам обо всех проблемах информационной безопасности нашей продукции и решений. Это единственный способ, с помощью которого мы можем совместно обсудить дальнейшие действия, скоординировать их и повысить информационную безопасность нашей продукции и решений. Чтобы предотвратить опасность для наших клиентов и незадействованных третьих лиц, мы просим скоординированно публиковать информацию об уязвимостях с привлечением нашей PSIRT.

Специалисты по информационной безопасности группы PSIRT компании Pilz контролируют и анализируют все сообщения о возможных уязвимостях информационной безопасности изделий. Если у вас имеются вопросы по информационной безопасности наших изделий или инфраструктуры, или сообщения о недостатках в системе информационной безопасности, свяжитесь со специалистами группы PSIRT. Пожалуйста, оставляйте ваши сообщения для PSIRT на немецком или английском языках. Обычно вы получаете подтверждение о получении в течение четырех рабочих дней (CET).

Сообщайте обо всех проблемах информационной безопасности наших изделий, решений и онлайн-сервисов:

Контактное лицо PSIRT

PGP-Открытый ключ

В сообщении укажите следующую информацию:

1. Имя лица, подающего отчет
2. Контактные данные (эл. почта, телефон)
3. Наименование компании
4. Название и номер изделия (если применимо), на которое распространяется действие уязвимости
5. Версия прошивки или программного обеспечения
6. Описание воздействия уязвимости
7. Описание того, как можно использовать уязвимость (пожалуйста, не присылайте нам код эксплойта без запроса)
8. Указание о том, публиковалась ли информация об уязвимости ранее (вами или иными лицами)

Совместно с другими компаниями мы публикуем наши рекомендации по информационной безопасности через платформу CERT VDE.

CERT@VDE

1. Анализ:

Наша группа PSIRT изучает обнаруженную уязвимость и, при необходимости,
запрашивает дополнительную информацию у отправителя. Следует отметить, что исследование может занять от нескольких дней до нескольких недель в зависимости от сложности выявленной уязвимости и типа продукции. Несмотря на это, во всех случаях срок предоставления ответа отправителю не должен превышать 15 рабочих дней.

2. Определение мер:

Обновления подготавливаются с учетом степени серьезности уязвимости и, при необходимости, прочих пограничных условий. В случае серьезных уязвимостей компания Pilz подготавливает Рекомендации по информационной безопасности. В ходе этого процесса компания регулярно информирует отправителя о ходе работ.

3. Публикация:

Окончательная версия рекомендаций по информационной безопасности и любые связанные с ней обновления в сфере информационной безопасности для затронутой прошивки или программного обеспечения будут опубликованы здесь и будут доступны для загрузки каждому клиенту. Для их загрузки войдите в систему, используя имя пользователя. Если у вас еще нет учетной записи, вы можете бесплатно зарегистрироваться, перейдя по ссылке. Помните, что обновления в сфере информационной безопасности выпускаются только в контексте типового цикла выпуска продукции, с учетом степени серьезности выявленной уязвимости.

Рекомендация по информационной безопасности — это уведомление о выявленной уязвимости информационной безопасности в одном из наших продуктов. Она обычно включает в себя:

• подробное описание уязвимости,
• оценка его критичности на основе балла CVSS,
• обзор затронутых изделий и номеров их версий,
• рекомендуемые меры по устранению уязвимости,
• и, если применимо, указание лиц или организаций, которые довели проблему до нашего сведения.