Stručná odpověď zní: zatím tam ještě nejsme, avšak do dosažení souladu s normou IEC 62443-4-1 investujeme značné množství zdrojů. Současné úsilí je zaměřeno na rozšiřování a doplnění již existujících procesů zajišťujících kvalitu našich produktů tak, aby zároveň podporovaly specifické požadavky normy IEC 62443-4-1.

Aktuálně se soustředíme na naplňování požadavků těchto zákonů, norem a standardů:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• California Password Law (2020 California Senat Bill SB-327)

Murrelektronik disponuje zavedenými procesy, které systematicky pokrývají veškeré vykonávané činnosti. Projekty tyto standardní procesy používají a v případě potřeby je upravují. To odpovídá úrovni 3 („defined“) dle CMMI.

Ano. Proces vývoje všech nových produktů vyvíjených od roku 2024 zahrnuje zohlednění kybernetické bezpečnosti prostřednictvím tvorby příslušných modelů hrozeb.

Ano. Proces vývoje všech nových produktů vyvíjených od roku 2024 zahrnuje vytvoření konceptu vícevrstvé obrany (defense-in-depth) k minimalizaci všech rizik identifikovaných v rámci modelování hrozeb.

Ano. Bezpečnostní testování a ověřování jsou standardní součástí rozsáhlého testování a validace, které provádíme u našich produktů vyvíjených od roku 2024.

Ano. Máme zavedené standardy pro programování, které jsou průběžně aktualizovány tak, aby zohledňovaly nejnovější požadavky, včetně těch vyplývajících z kybernetické bezpečnosti.

Ano. Vývoj nových produktů zahrnuje definování požadavků na bezpečnost již v konceptuální fázi vývoje.

Implementujeme požadavky specifikované v normách IEC 62443‑4‑1 (SM‑9 a SM‑10) a požadavky normy IEC 27036. V současnosti se zaměřujeme na definování procesů a získání potřebných nástrojů k podpoře této činnosti.

Existuje několik kroků, které doporučujeme. Není možné poskytnout krátkou a stručnou odpověď, která by pokryla všechny situace a všechny produkty. Nejdůležitější zdroje k prověření jsou:

1. Kapitola o kybernetické bezpečnosti v dokumentaci produktu, která se stala standardní součástí dokumentace novějších produktů.
2. Obecná doporučení pro kybernetickou bezpečnost, která jsou uvedena v následujících dokumentech:

• Obecná doporučení pro kybernetickou bezpečnost

Tyto informace lze najít v kapitole o kybernetické bezpečnosti v příslušné dokumentaci produktu, která je standardní součástí dokumentace nových produktů vyvíjených od roku 2024.

Tyto informace lze najít v kapitole o kybernetické bezpečnosti v příslušné dokumentaci produktu, která je standardní součástí dokumentace nových produktů vyvíjených od roku 2024.

Nejpřímější způsob, jak kontaktovat PSIRT Murrelektronik, je prostřednictvím této e-mailové adresy: psirt@murrelektronik.de

Náš proces řešení zranitelností začíná ve chvíli, kdy je zranitelnost nahlášena – buď z externího zdroje, nebo prostřednictvím kontinuálního interního monitoringu prováděného interními pracovníky (R&D, testování apod.) či externími poskytovateli testovacích služeb, kteří jednají jménem Murrelektronik.

Nahlášení je potvrzeno a probíhá počáteční posouzení. PSIRT koordinuje tento proces jak navenek, tak interně, a udržuje komunikaci se všemi zúčastněnými stranami.

Jakmile je zranitelnost ověřena a analyzována, PSIRT koordinuje se všemi zúčastněnými stranami vývoj opatření k nápravě.

Pro podrobnější popis si, prosím, prostudujte náš dokument „Proces řešení zranitelností“.

Můžete se přihlásit k odběru aktualizací na CERT@VDE, kde zveřejňujeme všechna naše bezpečnostní doporučení, zde.

Zveřejněná bezpečnostní doporučení obvykle obsahují většinu nebo všechny z následujících prvků:

1. Identifikátor doporučení (Advisory ID)
2. Datum a čas prvního zveřejnění a historii revizí, pokud byla doporučení aktualizována.
3. Název: obsahující dostatek informací (například o postiženém produktu), aby si čtenář mohl rychle ověřit, zda je doporučení pro něj relevantní.
4. Přehled: krátký obecný popis zranitelnosti.
5. Postižené produkty: zahrnující název produktu/-ů, postižené verze hardwaru a firmwaru a v případě potřeby bezpečný způsob, jak otestovat přítomnost zranitelnosti.
6. Popis: obsahující právě tolik detailů, aby uživatelé mohli posoudit své riziko, aniž by se zvýšila pravděpodobnost nebo snadnost zneužití. Popis může zahrnovat také třídu zranitelnosti a skóre CVSS.
7. Dopad: zahrnuje možné důsledky v případě zneužití objevené zranitelnosti a scénáře útoků, které tato zranitelnost umožňuje.
8. Závažnost: klasifikace zranitelnosti podle systému hodnocení Common Vulnerability Scoring System (CVSS).
9. Náprava: kroky, které mohou uživatelé podniknout ke snížení nebo prevenci zneužití zranitelnosti (dočasná opatření), a kroky potřebné k odstranění zranitelnosti (např. instalací softwarových záplat nebo aktualizací).
10. Odkazy na související informace, například na příbuzná doporučení nebo záznamy CVE (Common Vulnerabilities and Exposures).
11. Uznání osob, které zranitelnost nahlásily, pokud je to relevantní.
12. Kontaktní informace na tým Murrelektronik PSIRT
13. Podmínky použití: podmínky týkající se autorských práv a dalšího šíření.

Bezpečnostní doporučení zveřejněná společností Murrelektronik jsou přístupná prostřednictvím několika kanálů:

• Webová stránka: Na naší stránce PSIRT najdete seznam nejnovějších a aktuálních doporučení. Obsahuje také odkaz na archiv všech zveřejněných doporučení.
• CERT@VDE: Naše bezpečnostní doporučení zveřejňujeme v databázi CERT@VDE database. 

Ano. Naše bezpečnostní doporučení poskytujeme ve formátu CSAF. Při stahování doporučení si můžete vybrat mezi formátem PDF pro čtení lidmi a formátem CSAF pro strojové zpracování.

Nejnovější verzi firmwaru nebo softwaru konkrétního produktu, který používáte, vždy najdete v sekci „Download“ tohoto produktu v našem online obchodě.

Zveřejněná bezpečnostní doporučení také obsahují všechny odkazy a pokyny potřebné k instalaci bezpečnostních aktualizací nebo záplat.