Det korta svaret är att vi inte är helt där ännu, men vi investerar mycket resurser för att uppnå överensstämmelse med IEC 62443-4-1. Den nuvarande insatsen är inriktad på att utvidga och komplettera de processer som redan finns för att garantera kvaliteten på våra produkter så att de också uppfyller de specifika kraven i IEC 62443-4-1.

Vi fokuserar för närvarande på att uppfylla kraven i följande lagar, standarder och normer:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• Kaliforniens lösenordslag (2020 California Senat Bill SB-327)

Murrelektronik har etablerat processer som proaktivt täcker alla aspekter av de uppgifter vi utför. Projekten använder dessa standardprocesser och anpassar dem efter behov. Detta motsvarar nivå 3 (”definierad”) enligt CMMI.

Ja. Produktutvecklingsprocessen för alla nya produkter som utvecklas under eller efter 2024 innefattar att ta hänsyn till cybersäkerhetsaspekter genom utveckling av relevanta hotmodeller.

Ja. Produktutvecklingsprocessen för alla nya produkter som utvecklas under eller efter 2024 omfattar utvecklingen av ett djupgående försvarskoncept för att motverka alla risker som identifierats i hotmodelleringen.

Ja. Säkerhetstestning och validering är en standarddel av den omfattande testning och validering som vi utför på våra produkter som utvecklats under eller efter 2024.

Ja. Vi har fastställt kodningsstandarder som kontinuerligt uppdateras för att återspegla de senaste kraven, inklusive sådana som härrör från cybersäkerhetsaspekter.

Ja. Utvecklingen av nya produkter innefattar att definiera säkerhetskraven som en del av utvecklingskonceptfasen.

Vi implementerar kraven som anges i IEC 62443-4-1 (SM-9 och SM-10) och kraven i IEC 27036. För närvarande fokuserar vi på att definiera processerna och skaffa de verktyg som behövs för att stödja denna uppgift.

Vi rekommenderar flera steg. Det är inte möjligt att ge ett kort och koncist svar som täcker alla situationer och alla produkter. De viktigaste källorna att kontrollera är:

1. Kapitlet om cybersäkerhet i produktdokumentationen, som har blivit en standarddel av dokumentationen för nyare produkter.
2. De allmänna riktlinjerna för cybersäkerhet som behandlas i följande dokument:

• Allmänna riktlinjer för cybersäkerhet

Denna information finns i kapitlet om cybersäkerhet i motsvarande produktdokumentation, som är en standarddel av dokumentationen för nya produkter som utvecklats under eller efter 2024.

Denna information finns i kapitlet om cybersäkerhet i motsvarande produktdokumentation, som är en standarddel av dokumentationen för nya produkter som utvecklats under eller efter 2024.

Det enklaste sättet att kontakta Murrelektronik PSIRT är via e-postadressen: psirt@murrelektronik.de

Vår process för hantering av sårbarheter inleds när en sårbarhet rapporteras, antingen från en extern källa eller genom kontinuerlig intern övervakning som utförs av interna intressenter (FoU, testning etc.) eller av externa testtjänstleverantörer som agerar på uppdrag av Murrelektronik. 

Rapporten bekräftas och en första bedömning görs. PSIRT samordnar denna process externt och internt och upprätthåller kommunikationen med alla berörda parter. 

När sårbarheten har verifierats och analyserats samordnar PSIRT med alla berörda parter för att ta fram åtgärder.

För en mer detaljerad beskrivning, se vårt dokument ”Process för hantering av sårbarheter”.

Du kan prenumerera på uppdateringar från CERT@VDE, där vi publicerar alla våra råd, här.

De råd vi publicerar innehåller normalt sett de flesta eller alla av följande element:

1. Rådgivnings-ID
2. Datum och tidpunkt för den första publiceringen samt en revisionshistorik om rådgivningen har uppdaterats.
3. Titel: innehålla tillräcklig information (till exempel om den berörda produkten) för att läsaren snabbt ska kunna avgöra om rekommendationen är relevant.
4. Översikt: en kort allmän beskrivning av sårbarheten.
5. Berörda produkter: inklusive produktnamn, berörd hårdvara och firmwareversioner samt, om tillämpligt, ett säkert sätt att testa förekomsten av sårbarheten.
6. Beskrivning: innehåller precis tillräckligt med detaljer för att användarna ska kunna bedöma sina risker utan att utnyttjande blir enklare eller mer sannolikt. Klass och CVSS-poäng kan inkluderas i beskrivningen.
7. Konsekvenser: Inkludera de potentiella konsekvenserna om den upptäckta sårbarheten utnyttjas och de attackscenarier som detta möjliggör.
8. Allvarlighetsgrad: En klassificering av sårbarheten enligt Common Vulnerability Scoring System (CVSS).
9. Åtgärder: De åtgärder som användarna kan vidta för att minska eller förhindra utnyttjandet av sårbarheten (tillfälliga lösningar) och de åtgärder som krävs för att eliminera sårbarheten (t.ex. genom att installera programkorrigeringar eller uppdateringar).
10. Hänvisningar till relaterad information, såsom relaterade råd eller CVE (Common Vulnerabilities and Exposures).
11. Tack till de som rapporterat sårbarheten, om tillämpligt.
12. Kontaktuppgifter till Murrelektronik PSIRT
13. Användarvillkor: Villkor för upphovsrätt och vidare distribution. 

De säkerhetsmeddelanden som publiceras av Murrelektronik kan nås via flera kanaler: 

• Webbplats: På vår PSIRT-webbsida finns en lista med de senaste och mest aktuella rekommendationerna. Den innehåller också en länk till arkivet med alla publicerade rekommendationer.
• CERT@VDE: Vi publicerar våra råd i CERT@VDE databasen. 

Ja. Vi tillhandahåller våra säkerhetsråd i CSAF-format. När du laddar ner råden kan du välja mellan en läsbar PDF-fil och en maskinläsbar CSAF-fil.

Du hittar alltid den senaste firmware- eller programvaruversionen för den specifika produkt du använder under avsnittet ”nedladdning” för den produkten i vår webbutik.

De publicerade säkerhetsmeddelandena innehåller också alla länkar och instruktioner du behöver för att installera säkerhetsrelaterade uppdateringar eller korrigeringar.