FAQ | Murrelektronik

Processo

Em resumo, ainda não chegamos lá, mas estamos investindo muitos recursos para alcançar a conformidade com a norma IEC 62443-4-1. O esforço atual está focado em ampliar e complementar os processos já existentes para garantir a qualidade de nossos produtos, de modo que eles também atendam aos requisitos específicos da IEC 62443-4-1.

Atualmente, estamos focados em cumprir os requisitos das seguintes leis, normas e padrões:

CRA (Lei de Resiliência Cibernética)
IEC 62443
IEC 29147
IEC 30111
IEC 27036
Lei de Senhas da Califórnia (Projeto de Lei SB-327 do Senado da Califórnia de 2020)

A Murrelektronik estabeleceu processos que abrangem proativamente todos os aspectos das tarefas que executamos. Os projetos utilizam esses processos padrão e os adaptam conforme necessário. Isso corresponde ao Nível 3 (“definido”) de acordo com o CMMI.

Sim. O processo de desenvolvimento de todos os novos produtos desenvolvidos a partir de 2024 inclui a consideração de aspectos de segurança cibernética por meio do desenvolvimento de modelos de ameaças relevantes.

Sim. O processo de desenvolvimento de todos os novos produtos desenvolvidos a partir de 2024 inclui o desenvolvimento de um conceito de defesa em profundidade para neutralizar todos os riscos identificados na modelagem de ameaças.

Sim. Os testes e a validação de segurança são parte integrante dos testes e da validação abrangentes que realizamos em nossos produtos desenvolvidos a partir de 2024.

Sim. Estabelecemos padrões de codificação, e eles são atualizados continuamente para refletir os requisitos mais recentes, incluindo aqueles derivados de considerações de segurança cibernética.

Sim. O desenvolvimento de novos produtos inclui a definição dos requisitos de segurança como parte da fase de concepção do desenvolvimento.

Estamos implementando os requisitos especificados na norma IEC 62443-4-1 (SM-9 e SM-10) e na norma IEC 27036. Atualmente, estamos focados em definir os processos e adquirir as ferramentas necessárias para dar suporte a essa tarefa.

Produtos

Recomendamos seguir alguns passos. Não é possível dar uma resposta curta e concisa que abranja todas as situações e todos os produtos. As fontes mais importantes a consultar são:

O capítulo sobre cibersegurança na documentação do produto, que se tornou um elemento padrão na documentação de produtos mais recentes, também está presente nesses itens
As diretrizes gerais de cibersegurança são abordadas nos seguintes documentos:

Diretrizes Gerais de Segurança Cibernética

Essas informações podem ser encontradas no capítulo sobre cibersegurança da documentação do produto correspondente, que é um item padrão na documentação de novos produtos desenvolvidos a partir de 2024.

PSIRT

A forma mais direta de entrar em contato com a Murrelektronik PSIRT é através do seguinte endereço de e-mail: psirt@murrelektronik.de

Nosso processo de tratamento de vulnerabilidades é iniciado quando uma vulnerabilidade é relatada, seja por uma fonte externa, seja por meio do monitoramento interno contínuo realizado por partes interessadas internas (P&D, testes, etc.) ou por provedores de serviços de teste externos que atuam em nome da Murrelektronik.

O relatório é recebido e uma avaliação inicial é realizada. A PSIRT coordena esse processo interna e externamente, mantendo comunicação com todas as partes interessadas.

Quando a vulnerabilidade é verificada e analisada, a PSIRT coordena-se com todas as partes interessadas para desenvolver uma solução.

Para uma descrição mais detalhada, consulte nosso documento "Processo de Tratamento de Vulnerabilidades".

Você pode se inscrever para receber atualizações sobre o CERT@VDE, onde publicamos todos os nossos avisos, aqui.

Os comunicados que publicamos normalmente contêm a maioria ou todos os seguintes elementos:

ID de aconselhamento
Data e hora da publicação inicial, e histórico de revisões, caso haja atualizações no aviso.
Título: Incluindo informações suficientes (por exemplo, sobre o produto afetado) para permitir que o leitor decida rapidamente se o aviso é relevante.
Visão geral: uma breve descrição geral da vulnerabilidade.
Produtos afetados: incluindo nome(s) do(s) produto(s), hardware afetado e versão(ões) do firmware e, se aplicável, uma maneira segura de testar a presença da vulnerabilidade.
Descrição: contendo detalhes suficientes para permitir que os usuários avaliem seus riscos sem facilitar ou aumentar a probabilidade de exploração. A classe e a pontuação CVSS podem ser incluídas na descrição.
Impacto: Incluir as potenciais consequências caso a vulnerabilidade descoberta seja explorada e os cenários de ataque que ela possibilita.
Gravidade: Classificação da vulnerabilidade de acordo com o Sistema Comum de Pontuação de Vulnerabilidades (CVSS).
Remediação: As medidas que os usuários podem tomar para reduzir ou impedir a exploração da vulnerabilidade (soluções alternativas) e as medidas necessárias para remover a vulnerabilidade (por exemplo, instalando correções ou atualizações de software).
Referências a informações relacionadas, como avisos ou CVEs (Vulnerabilidades e Exposições Comuns).
Reconhecimento dos responsáveis pela denúncia da vulnerabilidade, se aplicável.
Informações de contato da Murrelektronik PSIRT
Termos de uso: Termos relativos a direitos autorais e redistribuição.

Os avisos de segurança publicados pela Murrelektronik podem ser acessados por diversos canais:

Site: Nossa página da PSIRT contém uma lista com os avisos mais recentes e ativos. Ela também inclui um link para o arquivo de todos os avisos publicados.
CERT@VDE: Publicamos nossos avisos no banco de dados CERT@VDE database.

Sim. Fornecemos nossos avisos de segurança no formato CSAF. Ao baixar os avisos, você pode escolher entre um arquivo PDF legível por humanos e um arquivo CSAF legível por máquina.

Você sempre pode encontrar a versão mais recente do firmware ou software do produto específico que está usando na seção "downloads" deste produto em nossa loja online.

Os avisos de segurança publicados também contêm todos os links e instruções necessários para instalar atualizações ou correções relacionadas à segurança.

Processo

Os processos de desenvolvimento na Murrelektronik estão em conformidade com a norma IEC 62443-4-1?

Quais são os padrões de cibersegurança que a Murrelektronik segue ou pretende seguir?

Qual o nível de maturidade de processos que a Murrelektronik atinge de acordo com o Capability Maturity Model Integration (CMMI)?

Você desenvolve modelos de ameaças ao desenvolver novos produtos? Eles estão disponíveis para revisão?

Você adota uma estratégia de defesa em profundidade ao desenvolver novos produtos?

Os componentes e aplicativos passam por validação e testes de segurança?

A Murrelektronik possui padrões de codificação seguros?

Os requisitos de cibersegurança estão definidos e documentados?

Como a Murrelektronik gerencia componentes de terceiros e de código aberto usados ​​em seus produtos?

Produtos

Quais são as diretrizes para maximizar a segurança dos produtos Murrelektronik na minha aplicação?

Qual o nível de segurança (SL) que o produto que adquiri da Murrelektronik atende?

Quais são os recursos de segurança implementados por este produto ME específico que eu uso ou pretendo usar?

PSIRT

Como posso entrar em contato com a Equipe de Resposta a Incidentes de Segurança de Produtos da Murrelektronik?

O que acontece quando uma vulnerabilidade é descoberta em um produto da Murrelektronik?

Como posso receber notificações automáticas quando a Murrelektronik publicar um novo aviso?

Que tipo de informação posso esperar encontrar em um aviso de segurança publicado?

Onde posso encontrar uma lista de avisos de segurança recentes e antigos relacionados a Murrelektronik?

Os avisos de segurança da Murrelektronik são publicados no formato CSAF?

Onde posso obter atualizações de segurança para meu Murrelektronik?