Secure Product Lifecycle

Män i kostym sitter vid ett bord

Industrial security börjar redan vid produktutvecklingen. För att våra produktlösningar på Pilz ska vara safe och secure tänker vi på en heltäckande produktlivscykel som bevisligen tar hänsyn till security i vårt företag. Vi finns där för dig med allt från PSIRT-teamet, som garanterar kontinuerlig hantering av security, till Security Advisories och säkra processer för produktlivscykeln.

 

Security är ett ”moving target”, dvs. security förändras under livscykeln för en produkt. Angripare utvecklar ständigt bättre metoder för att komma runt skyddsåtgärder. Nya svaga punkter upptäcks i produkter som erbjuder ny angreppspotential. Hotläget kan också förändras genom t.ex. ny programvara.
 
Därför måste åtgärder mot cyberhot eller manipulation kontrolleras regelbundet. Ansvaret för detta ligger främst hos anläggningsoperatörerna. Maskintillverkare och komponenttillverkare ska informera operatörerna direkt om nya säkerhetsproblem. De måste tillhandahålla motsvarande uppdateringar för programvaran i deras enheter så att kunderna kan åtgärda svaga punkter. Om systemintegratörer också är en del av processen fungerar de som kontaktpunkt mellan tillverkare och operatörer. Det är viktigt att alla som är inblandade i hela produktlivscykeln har ett nära samarbete. 

Produktutveckling hos Pilz i enlighet med standard för industrial security

Pilz är expert på säkerhet. Det är viktigt för oss att våra produkter inte bara är säkra, utan även secure. Därför gav vi TÜV Süd i uppdrag att granska våra utvecklingsprocesser och kontrollera dem utifrån standarden IEC 62443-4-1. Den definierar säker utveckling av produkter, den s.k. ”Security Development Lifecycle-processen” (SDL-processen). Denna strategi tar hänsyn till möjliga security-egenskaper redan när en ny produkt utformas. Den ska se till att alla security-risker i en produkt upptäcks med hjälp av hotmodellering och helst åtgärdas i produkten under utvecklingsprocessen.

Resultatet av granskningen: Pilz utveckling uppfyllde kraven i standarden och lever upp till SDL-processen. Därför kan vi nu med säkerhet säga: Pilz utvecklar inte bara safe, utan även secure!

Enligt TÜV Süd tar Pilz utvecklingen av säkrare produkter i enlighet med IEC 62443-4-1 på stort allvar och skapar en fast grund för kommande produktcertifieringar.

TÜV Süd-logotyp

Hantering av svaga punkter inom security

Förutom maskinvara tillverkar Pilz även programvarulösningar. Säkerhetsbrister i programvara kan inte undvikas helt. Därför är det viktigt att informera användare och administratörer om bristerna i god tid så att de kan vidta de motåtgärder som krävs innan skador uppstår. Vi ställer de högsta kvalitetskraven på våra produkter och tjänster. Därför tar Pilz hänsyn till security redan under utvecklingsarbetet för sina egna produkter. Trots det kan säkerhetsbrister i programvara inte undvikas helt. Därför tar vi rapporter om möjliga svaga punkter angående Incident Management på mycket stort allvar. Användare och administratörer måste informeras om bristerna i god tid så att de kan vidta de motåtgärder som krävs innan skador uppstår. Det är det enda sättet för oss att kunna hålla kvaliteten hos våra produkter på en fortsatt hög nivå. För att detta ska fungera på ett konsekvent sätt är det viktigt att upprätta motsvarande hantering inklusive ett Product Security Incident Response Team (PSIRT) i företaget. PSIRT-teamet hos Pilz  ger rekommendationer i form av Security Advisories som hjälper dig att åtgärda upptäckta svaga punkter.

En nyckel med en gul rand

Vad är en Security Advisory?

En Security Advisory informerar om en befintlig säkerhetsbrist i någon av våra produkter och består vanligtvis av:

  • en beskrivning av den svaga punkten
  • en bedömning av den svaga punktens allvarlighetsgrad i form av ett CVSS Score*
  • en lista över berörda produkter inklusive version
  • möjliga motåtgärder och i förekommande fall ett tack till dem som rapporterat den svaga punkten till oss.


*CVSS (Common Vulnerability Scoring System) är en internationellt erkänd standardmetod för att bedöma allvarlighetsgraden hos en svag punkt. Den aktuella versionen av CVSS är version 3.0. I CVSS version 3 definieras ett resultat (score) från 0–10. 0 är den lägsta allvarlighetsgraden och 10 är den högsta.

Security Advisory i utskriftformat

Här hittar du aktuella Security Advisories.

Security Advisories

Pilz Product Security Incident Response Team (PSIRT)

Vad gör Pilz PSIRT?

Security-experterna i Pilz PSIRT analyserar, bedömer och hanterar potentiella svaga punkter och security-incidenter i samband med produkter och lösningar från Pilz. Om en svag punkt kan bekräftas publicerar Pilz PSIRT Security Advisories med anvisningar om hur den svaga punkten kan åtgärdas.

Vi vill uppmuntra säkerhetsexperter, oberoende forskare, kunder och andra aktörer att rapportera säkerhetsproblem i våra produkter och lösningar. Det är det enda sättet för oss att diskutera tillsammans hur vi ska gå vidare, göra avstämningar och förbättra security för våra produkter och lösningar. För att inte utsätta våra kunder och andra parter för några risker vill vi att svaga punkter ska publiceras på ett koordinerat sätt genom vårt PSIRT.

Så här kontaktar du Pilz PSIRT:

Security-specialisterna i Pilz PSIRT hanterar och bedömer alla rapporter om möjliga svaga punkter i fråga om security i Pilz-produkter. Om du har frågor om security som rör våra produkter eller vår infrastruktur eller om du vill rapportera säkerhetsbrister kan du kontakta våra security-experter i PSIRT. Skriv ditt meddelande till PSIRT på tyska eller engelska. Det första svaret kommer i regel inom två arbetsdagar (centraleuropeisk tid).

Rapportera security-problem med våra produkter, lösningar och onlinetjänster till:

PSIRT-kontakt

Bifoga följande information i din rapport:

  • Artikelnummer för den berörda produkten
  • Enhets- och firmwareversion (om tillgängligt)
  • Eventuell attackmetod eller andra data som hjälper oss återskapa problemet
  • Information om huruvida sårbarheten redan har publicerats (av dig eller någon annan)

Pilz Incident Management-process

1. Analysera: Vårt PSIRT undersöker den svaga punkt som rapporterats och begär vid behov mer information från rapportören. Observera att undersökningen kan ta allt från några dagar till flera veckor beroende på hur komplex den svaga punkten är och vilken typ av produkt det rör sig om. Oavsett detta skickar vi det första svaret till rapportören senast 15 arbetsdagar efter den första återkopplingen.

2. Definiera åtgärder: Beroende på hur allvarlig den svaga punkten är och eventuella andra randvillkor tar vi fram uppdateringar. Vid en mycket allvarlig svag punkt tar Pilz fram en Security Advisory. Under processen informerar vi regelbundet rapportören om statusen.

3. Publicera: När Security Advisory och eventuella tillhörande patchar är färdiga publiceras de här och blir tillgängliga för nedladdning för alla kunder. För att ladda ner material måste du logga in med ditt användarnamn. Om du inte har någon profil ännu kan du registrera dig kostnadsfritt här. Observera att patchar eventuellt publiceras först inom ramarna för nästa utgivningscykel för produkten, beroende på hur allvarlig den svaga punkten är.

En man med kostym står framför ett hologram

Få en överblick om industrial security

Ny teknik som sakernas internet, artificiell intelligens och robotteknik innebär möjligheter, men även risker. Läs mer om lagkrav och upptäck vårt industrial security-sortiment!

Överblick över industrial security inom maskinsäkerhet
Kontakta

Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden

Telefon: +46 300 13990
E-post: pilz.se@pilz.dk

Teknisk support

Telefon: +46 300 13990 / +45 74436332
E-post: support.se@pilz.dk