FAQ | Murrelektronik

Processo

Al momento non ancora, tuttavia stiamo investendo molte risorse per ottenere la conformità alla norma IEC 62443-4-1 quanto prima. L'impegno attuale è incentrato su ampliamento e integrazione dei processi già in atto per garantire la qualità dei nostri prodotti, in modo che soddisfino anche i requisiti specifici della norma IEC 62443-4-1.

Attualmente ci stiamo concentrando sul rispetto dei requisiti previsti dalle seguenti leggi, standard e norme:

CRA (Cyber Resilience Act)
IEC 62443
IEC 29147
IEC 30111
IEC 27036
Legge della California sulle password (2020 California Senat Bill SB-327)

Murrelektronik ha stabilito processi che coprono in modo proattivo tutti gli aspetti delle attività che svolgiamo. I progetti utilizzano questi processi standard e li adattano secondo necessità. Ciò corrisponde al livello 3 ("definito") secondo CMMI.

Sì. Il processo di sviluppo di tutti i nuovi prodotti sviluppati a partire dal 2024 prevede la presa in considerazione degli aspetti relativi alla cybersecurity attraverso lo sviluppo di modelli di minaccia pertinenti.

Sì. Il processo di sviluppo di tutti i nuovi prodotti sviluppati nel 2024 o successivamente prevede l'elaborazione di un concetto di difesa in profondità per contrastare tutti i rischi individuati nella modellizzazione delle minacce.

Sì. I controlli e le convalide di sicurezza sono parte integrante dei test e delle convalide approfonditi che eseguiamo sui nostri prodotti sviluppati nel 2024 o successivamente.

Sì. Abbiamo stabilito standard di codifica che vengono costantemente aggiornati per tenere conto dei requisiti più recenti, compresi quelli derivanti da considerazioni relative alla cybersecurity.

Sì. Durante lo sviluppo di nuovi prodotti, i requisiti di sicurezza vengono definiti già nella fase di progettazione.

Stiamo implementando i requisiti specificati nella norma IEC 62443-4-1 (SM-9 e SM-10) e i requisiti della norma IEC 27036. Attualmente ci stiamo concentrando sulla definizione dei processi e sull'acquisizione degli strumenti necessari per supportare questo compito.

Prodotti

Ci sono diversi passaggi che consigliamo di seguire. Non è possibile fornire una risposta breve e concisa che copra tutte le situazioni e tutti i prodotti. Le fonti più importanti da consultare sono:

Il capitolo sulla cybersecurity nella documentazione di prodotto, che è diventato parte integrante della documentazione dei prodotti più recenti.
Le linee guida generali sulla cybersecurity contenute nei seguenti documenti:

Linee guida generali sulla cybersecurity

Queste informazioni sono disponibili nel capitolo dedicato alla cybersecurity nella documentazione relativa al prodotto stesso, che è parte integrante della documentazione dei nuovi prodotti sviluppati a partire dal 2024.

PSIRT

Il modo più diretto per contattare il PSIRT di Murrelektronik è scrivere, in inglese, a questo indirizzo e-mail: psirt@murrelektronik.de

Il nostro processo di gestione delle vulnerabilità viene avviato quando viene segnalata una vulnerabilità, sia da una fonte esterna che attraverso il monitoraggio interno continuo effettuato da soggetti interni (R&S, test, ecc.) o da fornitori di servizi di test esterni che agiscono per conto di Murrelektronik.

La segnalazione viene presa in carico e viene effettuata una valutazione iniziale. Il PSIRT coordina questo processo sia esternamente che internamente e mantiene la comunicazione con tutte le parti coinvolte.

Una volta verificata e analizzata la vulnerabilità, il PSIRT coordina tutte le parti coinvolte per sviluppare misure correttive.

Per una descrizione più dettagliata, consulta il nostro documento “Processo di gestione delle vulnerabilità”.

È possibile registrarsi per ricevere gli aggiornamenti su CERT@VDE, dove pubblichiamo tutte le nostre segnalazioni, qui.

Gli avvisi che pubblichiamo contengono normalmente quasi tutti o tutti i seguenti elementi:

ID avviso
Data e ora della pubblicazione iniziale e cronologia delle revisioni se vengono apportati aggiornamenti all'avviso.
Titolo: include informazioni sufficienti (ad esempio sul prodotto interessato) per consentire al lettore di valutare rapidamente se l'avviso è pertinente.
Panoramica: una breve descrizione generale della vulnerabilità.
Prodotti interessati: inclusi nome/i del/i prodotto/i, versione/i hardware e firmware interessate e, se applicabile, un modo sicuro per verificare la presenza della vulnerabilità.
Descrizione: contiene solo i dettagli necessari agli utenti per valutare i rischi, senza facilitare o rendere più probabile lo sfruttamento della vulnerabilità. La classe e il punteggio CVSS possono essere inclusi nella descrizione.
Impatto: include le potenziali conseguenze dello sfruttamento della vulnerabilità individuata e gli scenari di attacco che essa rende possibili.
Gravità: classificazione della vulnerabilità secondo il Common Vulnerability Scoring System (CVSS).
Rimedio: le misure che gli utenti possono adottare per ridurre o prevenire lo sfruttamento della vulnerabilità (soluzioni alternative) e le misure necessarie per rimuovere la vulnerabilità (ad esempio installando patch o aggiornamenti software).
Riferimenti a informazioni correlate, come avvisi correlati o CVE (Common Vulnerabilities and Exposures).
Riferimento ai segnalatori della vulnerabilità, se applicabile.
Informazioni di contatto del PSIRT di Murrelektronik.
Condizioni d'uso: condizioni relative al copyright e alla ridistribuzione.

È possibile accedere agli avvisi di sicurezza pubblicati da Murrelektronik tramite diversi canali:

Sito web: la nostra pagina web PSIRT contiene un elenco degli avvisi più recenti e attivi. Contiene anche un link all'archivio di tutti gli avvisi pubblicati.
CERT@VDE: pubblichiamo i nostri avvisi nel database CERT@VDE.

Sì. I nostri avvisi di sicurezza sono pubblicati in formato CSAF. In fase di download, è possibile scegliere tra file PDF leggibile dall'utente e file CSAF leggibile dal computer.

È sempre possibile trovare l'ultima versione del firmware o del software del prodotto specifico che si sta utilizzando nella sezione "download" di tale prodotto nel nostro online shop.

Gli avvisi di sicurezza pubblicati contengono anche tutti i link e le istruzioni necessari per installare gli aggiornamenti o le patch relativi alla sicurezza.

Processo

I processi di sviluppo di Murrelektronik sono conformi alla norma IEC 62443-4-1?

Quali sono gli standard di sicurezza informatica a cui Murrelektronik si conforma o intende conformarsi?

Qual è il livello di maturità dei processi raggiunto da Murrelektronik secondo il Capability Maturity Model Integration (CMMI)?

Durante lo sviluppo di nuovi prodotti, create modelli di minaccia? Sono disponibili per la verifica?

Quando sviluppate nuovi prodotti, elaborate un concetto di difesa in profondità (defence-in-depth)?

I componenti e le applicazioni sono sottoposti a verifiche e test di sicurezza?

Murrelektronik dispone di standard di crittografia sicuri?

I requisiti della cybersecurity sono definiti e documentati?

In che modo Murrelektronik gestisce i componenti di terze parti e open source utilizzati nei propri prodotti?

Prodotti

Quali sono le linee guida per massimizzare la sicurezza dei prodotti Murrelektronik nella mia applicazione?

Quale livello di sicurezza (SL) soddisfa il prodotto che ho acquistato da Murrelektronik?

Quali caratteristiche di sicurezza sono implementate nel prodotto ME specifico che utilizzo o intendo utilizzare?

PSIRT

Come posso contattare il Product Security Incident Response Team di Murrelektronik?

Cosa succede quando viene rilevata una vulnerabilità in un prodotto Murrelektronik?

Come posso ricevere una notifica automatica quando Murrelektronik pubblica un nuovo avviso?

Quali informazioni posso trovare in un avviso di sicurezza?

Dove posso trovare un elenco degli avvisi di sicurezza, più o meno recenti, relativi a Murrelektronik?

Gli avvisi di sicurezza Murrelektronik sono pubblicati in formato CSAF?

Dove posso trovare gli aggiornamenti di sicurezza per il mio prodotto Murrelektronik?