希马安全策略

Reporting of Security Incidents

 

如今,工业装置面临前所未有的风险。几年前,只需确保工业装置的功能安全性就已足够。然而,当前的现实情况为工业设施带来新的挑战:经营者现在必须防止工业装置遭受网络攻击。希马为工业自动化提供高质量的安全产品。安全是功能安全的先决条件,希马在其组织、产品、解决方案和服务中也非常注重安全。通用性产品不能预测所有问题。因此,希马假设在安全开发过程中不能检测到所有漏洞。 我们的目标是实现并保持希马产品和解决方案的高度安全性。为了确保这一点,希马保持与安全社区成员(主要是客户、集成商和最终用户)、安全科学家和黑客等保持交流。 以下产品安全事件响应团队(PSIRT)联系方式:

  1. 标准支持 support@hima.com
  2. 邮件 psirt@hima.com
  3. 匿名合规通道he'g

什么是PSIRT?

产品安全事件响应团队(PSIRT)

希马PSIRT是希马集团核心跨学科团队,负责管理希马产品和解决方案中的潜在安全漏洞。

此团队是由网络安全和产品专家组成。希马非常感谢向我们反馈的所有关于潜在缺陷、弱点或漏洞的业内精英。PSIRT调查并提供解决方案,并尽最大努力在合理时间内修复漏洞,与相关功能安全影响协调。

希马PSIRT协调并保持与内部和外部所有相关人员的沟通,以便对任何安全相关问题及时响应。

为什么要报告漏洞? 我们鼓励所有人对所有希马产品和解决方案提供反馈。无需保密协议,所有数据(包含个人数据)将严格保密。报告漏洞使供应商能够修复这些漏洞,并告知客户解决方法和修复方法。这种方法有助于希马提高希马产品和解决方案的稳健性和可靠性。 最重要的是,希马客户能够管理安全风险。

如何报告漏洞? 我们恳请所有人报告希马产品和解决方案的任何安全相关漏洞。PSIRT收到的信息越全面、准确和详细,执行效率就越高。请参阅“建议内容” 希马提供4种联系方式:

Standard Support support@hima.com
E-mail to psirt@hima.com / Public Key
Indirect via our Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/
Whistlerblower System (anonymous)

英语和德语都可。

谁将收到报告?
希马确保报告可供相关专家使用,以解决所述问题。希马员工才有权访问 报告,外部人员将无法访问。
希马确保报告方的联系信息保密,除非报告方明确要求披露联系信息。

报告将如何处理?
希马PSIRT是希马集团的核心跨学科团队。希马PSIRT将审查报告的漏洞对希马产品和解决方案的影响和相关性。

希马反馈 周期是多久?

希马通常可以在2个工作日内确认报告的漏洞。

这个问题需要多长时间才能解决?

希马亮点之一是要求安全和安保开发过程必须与工业要求同步,所以缓解措施或修复的时间通常比其他部门更长。如果被拒绝,希马将与报告方保持密切联系。

希马组件和系统是作为关键设备的一部分提供的,希马要求报告方协调信息披露。这是为了避免披露,直到适当的措施、解决方法或实际修复可用。

公众如何得知结果?

如果存在严重漏洞,将请求CVE,并在我们的合作伙伴平台上发布安全建议CERT@VDE.中、低临界性将在发布说明中随下一个产品版本一起发布。客户可以注册RSS/Atom,也可以直接查找希马产品和解决方案(https://cert.vde.com/de/advisories/vendor/hima/)。
I在极少数情况下(如功能安全受到威胁),我们将尽快直接联系受影响的客户。

并负责的权衡是否和何时报告漏洞。在极少数情况下,希马还可能会对不影响希马产品和解决方案的漏洞进行汇总。

咨询中包含什么?

咨询反应相关记录事实。

以下是信息指南(所有信息都是自愿填写)

联系人(姓名、公司、电子邮件、电话、国家/地区)
问题描述(效果、复制、日志文件、pcap、CWE-ID、CVE-ID等)
受影响产品名称(HIMax(CPU、COM、IO)、HIMatrix、HIQuad、OPC-UA、,SILworX…)
受影响产品的软件版本
受影响产品序列号
可附加备注
披露(是否计划披露,或漏洞是否已经披露?)
我们是否可以与您联系?

为什么要报告漏洞? 我们鼓励所有人对所有希马产品和解决方案提供反馈。无需保密协议,所有数据(包含个人数据)将严格保密。报告漏洞使供应商能够修复这些漏洞,并告知客户解决方法和修复方法。这种方法有助于希马提高希马产品和解决方案的稳健性和可靠性。 最重要的是,希马客户能够管理安全风险。

如何报告漏洞? 我们恳请所有人报告希马产品和解决方案的任何安全相关漏洞。PSIRT收到的信息越全面、准确和详细,执行效率就越高。请参阅“建议内容” 希马提供4种联系方式:

Standard Support support@hima.com
E-mail to psirt@hima.com / Public Key
Indirect via our Partner CERT@VDE: https://cert.vde.com/helper/reportvuln/
Whistlerblower System (anonymous)

英语和德语都可。

谁将收到报告?
希马确保报告可供相关专家使用,以解决所述问题。希马员工才有权访问 报告,外部人员将无法访问。
希马确保报告方的联系信息保密,除非报告方明确要求披露联系信息。

报告将如何处理?
希马PSIRT是希马集团的核心跨学科团队。希马PSIRT将审查报告的漏洞对希马产品和解决方案的影响和相关性。

希马反馈 周期是多久?

希马通常可以在2个工作日内确认报告的漏洞。

这个问题需要多长时间才能解决?

希马亮点之一是要求安全和安保开发过程必须与工业要求同步,所以缓解措施或修复的时间通常比其他部门更长。如果被拒绝,希马将与报告方保持密切联系。

希马组件和系统是作为关键设备的一部分提供的,希马要求报告方协调信息披露。这是为了避免披露,直到适当的措施、解决方法或实际修复可用。

公众如何得知结果?

如果存在严重漏洞,将请求CVE,并在我们的合作伙伴平台上发布安全建议CERT@VDE.中、低临界性将在发布说明中随下一个产品版本一起发布。客户可以注册RSS/Atom,也可以直接查找希马产品和解决方案(https://cert.vde.com/de/advisories/vendor/hima/)。
I在极少数情况下(如功能安全受到威胁),我们将尽快直接联系受影响的客户。

并负责的权衡是否和何时报告漏洞。在极少数情况下,希马还可能会对不影响希马产品和解决方案的漏洞进行汇总。

咨询中包含什么?

咨询反应相关记录事实。

以下是信息指南(所有信息都是自愿填写)

联系人(姓名、公司、电子邮件、电话、国家/地区)
问题描述(效果、复制、日志文件、pcap、CWE-ID、CVE-ID等)
受影响产品名称(HIMax(CPU、COM、IO)、HIMatrix、HIQuad、OPC-UA、,SILworX…)
受影响产品的软件版本
受影响产品序列号
可附加备注
披露(是否计划披露,或漏洞是否已经披露?)
我们是否可以与您联系?

优势

您的安全关键系统可依赖希马网络安全

3 levels for reliable cybersecurity

希马IT安全提供三个级别的保护:硬件、操作系统、网络以及工程。

联系希马

Cybersecurity
HIMA_Phone
+ 49 (0) 6202 709 0

The requirements imposed on IT security are in a constant state of flux. Consequently, our cybersecurity experts are on the cutting edge of developments and know precisely how cybersecurity and functional safety must interact.