Kısa cevap: Henüz tam olarak bu noktada değiliz; ancak IEC 62443-4-1 standardına uyum sağlamak için önemli ölçüde kaynak ayırıyoruz. Mevcut çalışmalar, ürünlerimizin kalitesini garanti altına alan mevcut süreçleri genişletmeye ve tamamlamaya odaklanmıştır; böylece bu süreçler IEC 62443-4-1’in özel gereksinimlerini de karşılayacak şekilde geliştirilmektedir.

Şu anda aşağıdaki yasa, standart ve normların gerekliliklerini karşılamaya odaklanıyoruz:

• CRA (Cyber Resilience Act)
• IEC 62443
• IEC 29147
• IEC 30111
• IEC 27036
• California Password Law (2020 California Senato Yasası SB-327)

Murrelektronik, gerçekleştirdiğimiz tüm faaliyetleri proaktif şekilde kapsayan süreçler oluşturmuştur. Projeler bu standart süreçleri kullanır ve gerektiğinde uyarlamalar yapar. Bu, CMMI’ye göre Seviye 3 (“tanımlı”) seviyesine karşılık gelir.

Evet. 2024 ve sonrasında geliştirilen tüm yeni ürünler için ürün geliştirme süreci, ilgili tehdit modellerinin oluşturulması yoluyla siber güvenlik unsurlarını kapsamaktadır.

Evet. 2024 ve sonrasında geliştirilen tüm yeni ürünler için ürün geliştirme süreci, tehdit modellemesinde belirlenen tüm risklere karşı katmanlı savunma (defense-in-depth) yaklaşımının geliştirilmesini içerir.

Evet. Güvenlik testleri ve doğrulama, 2024 ve sonrasında geliştirilen ürünlerimiz için yürüttüğümüz kapsamlı test ve doğrulama süreçlerinin standart bir parçasıdır.

Evet. Kodlama standartlarımız oluşturulmuştur ve siber güvenlik gereksinimleri de dahil olmak üzere en güncel ihtiyaçları yansıtacak şekilde sürekli olarak güncellenmektedir.

Evet. Yeni ürün geliştirme süreci, geliştirme sürecinin konsept aşamasında güvenlik gereksinimlerinin tanımlanmasını içerir.

IEC 62443-4-1 (SM-9 ve SM-10) ve IEC 27036 standartlarında belirtilen gereksinimleri uygulamaktayız. Şu anda bu süreci desteklemek için gerekli süreçlerin tanımlanması ve uygun araçların devreye alınmasına odaklanıyoruz.

Önerdiğimiz birkaç adım bulunmaktadır. Tüm durumları ve tüm ürünleri kapsayan kısa ve net bir cevap vermek mümkün değildir. Kontrol edilmesi gereken en önemli kaynaklar şunlardır:

1. Ürün dokümantasyonunda yer alan siber güvenlik bölümü (yeni ürünlerde dokümantasyonun standart bir parçası haline gelmiştir)
2. Aşağıdaki belgelerde yer alan genel siber güvenlik yönergeleri:

• Genel Siber Güvenlik Yönergeleri

Bu bilgi, ilgili ürün dokümantasyonunda yer alan siber güvenlik bölümünde bulunabilir. Bu bölüm, 2024 ve sonrasında geliştirilen yeni ürünlerin dokümantasyonunun standart bir parçasıdır.

Bu bilgi, ilgili ürün dokümantasyonunda yer alan siber güvenlik bölümünde bulunabilir. Bu bölüm, 2024 ve sonrasında geliştirilen yeni ürünlerin dokümantasyonunun standart bir parçasıdır.

Murrelektronik PSIRT ile iletişime geçmenin en doğrudan yolu şu e-posta adresini kullanmaktır: psirt@murrelektronik.de

Bir güvenlik açığı bildirildiğinde — ister harici bir kaynaktan ister kurum içi paydaşların (Ar-Ge, test vb.) sürekli izleme faaliyetleri ya da Murrelektronik adına çalışan harici test hizmet sağlayıcıları aracılığıyla — güvenlik açığı yönetim sürecimiz başlatılır.

Bildirim alındıktan sonra onaylanır ve ilk değerlendirme yapılır. PSIRT, bu sürecin hem iç hem dış koordinasyonundan sorumludur ve tüm paydaşlarla iletişimi sürdürür.

Güvenlik açığı doğrulanıp analiz edildikten sonra PSIRT, çözüm geliştirmek üzere tüm paydaşlarla koordinasyon sağlar.

Daha detaylı bilgi için “Vulnerability Handling Process” dokümanımıza başvurabilirsiniz.

Tüm güvenlik duyurularımızı yayımladığımız CERT@VDE platformu üzerinden güncellemeleri takip etmek için abone olabilirsiniz, burada.

Yayımladığımız güvenlik duyuruları genellikle aşağıdaki unsurların çoğunu veya tamamını içerir:

1. Duyuru ID’si
2. İlk yayımlanma tarihi ve saati ile varsa güncellemeler için revizyon geçmişi
3. Başlık: Okuyucunun duyurunun kendisiyle ilgili olup olmadığını hızlıca anlayabilmesi için yeterli bilgi (örneğin etkilenen ürün hakkında)
4. Genel Bakış: Güvenlik açığının kısa ve genel açıklaması
5. Etkilenen ürünler: Ürün adı(ları), etkilenen donanım ve firmware sürümleri ve varsa güvenlik açığının mevcut olup olmadığını test etmek için güvenli yöntemler.
6. Açıklama: Kullanıcıların risklerini değerlendirebilmesi için yeterli detay içerir, ancak güvenlik açığının istismarını kolaylaştırmayacak şekilde hazırlanır. Açıklamada sınıf ve CVSS skoru da yer alabilir.
7. Etkisi: Güvenlik açığının istismar edilmesi durumunda oluşabilecek potansiyel sonuçlar ve mümkün olan saldırı senaryoları.
8. Şiddet: Güvenlik açığının Common Vulnerability Scoring System (CVSS)’e göre sınıflandırılması.
9. Giderim: Kullanıcıların güvenlik açığının istismarını azaltmak veya önlemek için alabileceği önlemler (geçici çözümler) ve güvenlik açığını ortadan kaldırmak için gerekli adımlar (örn. yazılım yamaları veya güncellemeler).
10. İlgili referanslar: İlgili güvenlik duyuruları veya CVE (Common Vulnerabilities and Exposures) gibi kaynaklara yönlendirmeler.
11. Varsa güvenlik açığını bildiren kişilere teşekkür.
12. Murrelektronik PSIRT iletişim bilgileri.
13. Kullanım şartları: Telif hakkı ve yeniden dağıtım koşulları.

Murrelektronik tarafından yayımlanan güvenlik duyurularına çeşitli kanallar üzerinden erişebilirsiniz:

• Murrelektronik tarafından yayımlanan güvenlik duyurularına çeşitli kanallar üzerinden erişebilirsiniz:
• CERT@VDE: Güvenlik duyurularımızı CERT@VDE veri tabanında da yayımlıyoruz.

Evet. Güvenlik duyurularımızı CSAF formatında sunuyoruz. Duyuruları indirirken insan tarafından okunabilir PDF dosyası ile makine tarafından okunabilir CSAF dosyası arasında seçim yapabilirsiniz.

Kullandığınız ürüne ait en güncel firmware veya yazılım sürümünü, online mağazamızdaki ilgili ürünün “download” bölümünde her zaman bulabilirsiniz.

Yayımlanan güvenlik duyuruları, güvenlikle ilgili güncellemeleri veya yamaları yüklemek için gerekli tüm bağlantı ve talimatları da içerir.