Az Egyesült Államok kibervédelmi szervezete, a Cybersecurity & Infrastructure Security Agency (CISA) mostantól a Festo biztonsági közleményeit is közzéteszi hivatalos honlapján. A CISA weboldala az Egyesült Államokban a sebezhetőségek és elhárítási lehetőségek legfőbb hiteles forrása, és egyben az a platform, ahol a vezető, hálózatba kapcsolt termékeket gyártó vállalatok közzéteszik biztonsági figyelmeztetéseiket.
A Festo kiberbiztonsági fejlesztése 2020-ban indult el a Product Security Incident Response Team (PSIRT) létrehozásával. Ezt követően a vállalat fokozatosan építette ki azokat az infrastruktúrákat, amelyek lehetővé teszik a biztonságos termékek fejlesztését és fenntartását. 2023 elején megalakult a Központi Termékbiztonsági Osztály, élére Florian Fetz, a szoftverfolyamatok, módszerek és eszközök vezetője került, aki ezt követően elkezdte a csapat felépítését.
A Központi Osztály olyan folyamatokat és irányelveket vezet be és tart fenn, amelyek a biztonságos termékfejlesztésre fókuszálnak. Az osztály emellett felelős a termékekkel kapcsolatos sebezhetőségek nyomon követéséért és kommunikálásáért is.
„A Festo hálózatba kapcsolt termékei a legkorszerűbb technológiai színvonalon készülnek” – nyilatkozta Tobias Pfeiffer, globális termékbiztonsági felelős. – „A vállalat ugyanakkor elismeri, hogy a termékek életciklusa során előfordulhatnak előre nem látható sebezhetőségek – ezek kezelésében a PSIRT játszik kulcsszerepet.”
„A PSIRT az első kapcsolattartó pont, amikor egy sebezhetőségre fény derül, és az információ eljut a Festóhoz” – tette hozzá Aleg Vilinski, a termékbiztonság vezetője. – „A csapat értékeli a sebezhetőség kockázati szintjét, kidolgozza az elhárítási megoldásokat, és részletes közleményeket tesz közzé a Festo támogatási portálján és olyan külső partnereknél is, mint a CISA és a CERT@VDE.”
Vilinski elmondása szerint az elmúlt évben a Festo meggyőző dokumentációt nyújtott be a CISA számára arról, hogy termékei mennyire központi szerepet töltenek be a gyártási, élelmiszer- és italipari, valamint a feldolgozóipari automatizált rendszerekben. Ez a dokumentáció bemutatta a Festo eszközeinek elterjedtségét Észak-Amerikában, valamint azok kulcsszerepét a kritikus infrastruktúrák működésében.
A Festo tanúsítvánnyal rendelkezik az IEC 62443-4-1 nemzetközi szabvány szerint, amely az ipari automatizálási és vezérlési rendszerek kiberbiztonságát írja elő. 2027-ig a Festo összes hálózatba kapcsolt terméke megfelel majd az Európai Unió Cyber Resilience Act (CRA) előírásainak is. Ezek a termékek az alábbi jellemzőkkel fognak rendelkezni:
- Biztonságos fejlesztési gyakorlatok, beleértve a biztonságos kódolást
- Sérülékenységkezelés, rendszeres vizsgálatokkal és javításokkal
- Szoftverösszetevő-jegyzék (SBOM), amely segíti a potenciális sebezhetőségek azonosítását (a Festo ehhez nyílt forráskódú eszközt is kínál)
- Incidensjelentés a súlyos biztonsági eseményekről az illetékes hatóságoknak
- Felhasználóbarát biztonsági funkciók, egyértelmű útmutatással
- CE-jelölés, amely igazolja, hogy a termék megfelel a CRA szabványainak
A Festo biztonsági megközelítését részletesen bemutatja a „Security white paper for Festo controllers” dokumentumban. A PSIRT csapat munkájáról bővebb információk találhatók a Festo PSIRT weboldalán, ahol a sérülékenységek bejelentésére szolgáló biztonságos elérhetőségek is rendelkezésre állnak.
A Festo USA-ról
A Festo a pneumatikus és elektromechanikus rendszerek, komponensek és vezérlések vezető gyártója az ipari és folyamatautomatizálás terén. A vállalat több mint 100 éve működik, és már több mint 50 éve van jelen az Egyesült Államokban. Innovatív megoldásaival és optimalizált mozgásvezérlési rendszereivel a Festo folyamatosan emeli a gyártástechnológia színvonalát, növelve az automatizált rendszerek teljesítményét és hatékonyságát. A Festo Didactic tanulási rendszerei és partnerei révén a vállalat élen jár az ipari képzésekben is, felkészítve a munkaerőt a jelenlegi és jövőbeli gyártástechnológiák kihívásaira.