Det korte svaret er at vi ikke er helt der ennå, men vi investerer mye ressurser for å oppnå samsvar med IEC 62443-4-1. Den nåværende innsatsen fokuserer på å utvide og utfylle prosessene som allerede er på plass for å garantere kvaliteten på produktene våre, slik at de også støtter de spesifikke kravene i IEC 62443-4-1.

Vi fokuserer for tiden på å oppfylle kravene i følgende lover, standarder og normer:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• California Password Law (2020 California Senat Bill SB-327)

Murrelektronik har etablerte prosesser som proaktivt dekker alle aspekter av oppgavene vi utfører. Prosjektene bruker disse standardprosessene og skreddersyr dem der det er nødvendig. Dette tilsvarer nivå 3 ("definert") i henhold til CMMI.

Ja. Produktutviklingsprosessen for alle nye produkter utviklet i eller etter 2024 inkluderer hensyn til cybersikkerhetsaspekter gjennom utvikling av relevante trusselmodeller.

Ja. Produktutviklingsprosessen for alle nye produkter utviklet i eller etter 2024 inkluderer utvikling av et konsept for dybdeforsvar for å motvirke alle risikoene som er identifisert i trusselmodelleringen.

Ja. Sikkerhetstesting og validering er en standard del av den omfattende testingen og valideringen vi utfører på produktene våre utviklet i eller etter 2024.

Ja. Vi har etablert kodestandarder, og de oppdateres kontinuerlig for å gjenspeile de nyeste kravene, inkludert de som er utledet av hensyn til nettsikkerhet.

Ja. Utviklingen av nye produkter inkluderer definering av sikkerhetskrav som en del av konseptfasen i utviklingen.

Vi implementerer kravene spesifisert i IEC 62443-4-1 (SM-9 og SM-10) og kravene i IEC 27036. Vi fokuserer for tiden på å definere prosessene og anskaffe de nødvendige verktøyene for å støtte denne oppgaven.

Det er flere trinn vi anbefaler. Det er ikke mulig å gi et kort og konsist svar som dekker alle situasjoner og alle produkter. De viktigste kildene å sjekke er:

1. Kapittelet om cybersikkerhet i produktdokumentasjonen, som har blitt en standard del av dokumentasjonen for nyere produkter
2. De generelle retningslinjene for cybersikkerhet som dekkes i følgende dokumenter:

• Generelle retningslinjer for cybersikkerhet 

Denne informasjonen finner du i kapittelet om cybersikkerhet i den tilhørende produktdokumentasjonen, som er en standard del av dokumentasjonen for nye produkter utviklet i eller etter 2024.

Denne informasjonen finner du i kapittelet om cybersikkerhet i den tilhørende produktdokumentasjonen, som er en standard del av dokumentasjonen for nye produkter utviklet i eller etter 2024.

Den mest direkte måten å nå Murrelektronik PSIRT på er ved å bruke denne e-postadressen: psirt@murrelektronik.de

Vår prosess for håndtering av sårbarheter startes når en sårbarhet rapporteres, enten fra en ekstern kilde eller gjennom kontinuerlig intern overvåking utført av interne interessenter (FoU, test osv.) eller av eksterne testtjenesteleverandører som opptrer på vegne av Murrelektronik.

Rapporten blir bekreftet, og en innledende vurdering finner sted. PSIRT er koordinator for denne prosessen eksternt og internt, og de opprettholder kommunikasjonen med alle interessenter.

Når sårbarheten er bekreftet og analysert, koordinerer PSIRT med alle interessenter for å utvikle tiltak.

For en mer detaljert beskrivelse, se dokumentet vår "Prosess for håndtering av sårbarhete".

Du kan abonnere på oppdateringer på CERT@VDE, der vi publiserer alle våre råd, her.

Rådene vi publiserer inneholder vanligvis de fleste eller alle av følgende elementer:

1. Rådgivende ID
2. Dato og klokkeslett for første publisering, og en revisjonshistorikk hvis det er gjort oppdateringer i veiledningen.
3. Tittel: inkluderer nok informasjon (for eksempel om det berørte produktet) til at leseren raskt kan avgjøre om meldingen er relevant.
4. Oversikt: en kort generell beskrivelse av sårbarheten.
5. Berørte produkter: inkludert produktnavn, berørt maskinvare- og fastvareversjon(er) og hvis aktuelt en sikker måte å teste for tilstedeværelsen av sårbarheten.
6. Beskrivelse: inneholder akkurat nok detaljer til at brukerne kan vurdere risikoen sin uten å gjøre utnyttelse enklere eller mer sannsynlig. Klassen og CVSS-poengsummen kan inkluderes i beskrivelsen.
7. Konsekvens: Å inkludere de potensielle konsekvensene hvis den oppdagede sårbarheten utnyttes og angrepsscenariene den muliggjør.
8. Alvorlighetsgrad: En klassifisering av sårbarheten i henhold til Common Vulnerability Scoring System (CVSS).
9. Utbedring: Tiltakene brukere kan ta for å redusere eller forhindre utnyttelse av sårbarheten (midlertidige løsninger) og tiltakene som kreves for å fjerne sårbarheten (f.eks. ved å installere programvareoppdateringer eller -oppdateringer).
10. Referanser til relatert informasjon, som relaterte råd eller CVE (vanlige sårbarheter og eksponeringer).
11. Bekreftelse på melding fra de som rapporterte sårbarheten, hvis aktuelt.
12. Kontaktinformasjon til Murrelektronik PSIRT
13. Bruksvilkår: Vilkår for opphavsrett og videredistribusjon.

Sikkerhetsrådene publisert av Murrelektronik kan nås via flere kanaler:

• Nettsted: PSIRT-nettsiden vår har en liste over de nyeste og mest aktive rådene. Den inneholder også en lenke til arkivet over alle publiserte råd.
• CERT@VDE: Vi legger ut våre råd i CERT@VDE databasen. 

Ja. Vi tilbyr sikkerhetsrådene våre i CSAF-format. Når du laster ned rådene, kan du velge mellom en menneskelig lesbar PDF-fil og en maskinlesbar CSAF-fil.

Du finner alltid den nyeste fastvare- eller programvareversjonen for det spesifikke produktet du bruker under "nedlasting"-delen av dette produktet i nettbutikken vår.

De publiserte sikkerhetsrådene inneholder også alle lenkene og instruksjonene du trenger for å installere sikkerhetsrelaterte oppdateringer eller oppdateringer.