Secure Product Lifecycle

L’Industrial Security inizia già in fase di sviluppo del prodotto. Per fare in modo che le nostre soluzioni di prodotto siano “safe & secure”, teniamo in massima considerazione il ciclo di vita completo del prodotto che, per la nostra azienda, implica profonda attenzione all’aspetto della security. Siamo qui per te: dal team PSIRT che si occupa ininterrottamente della gestione della security ai Security Advisory fino ai processi sicuri per il ciclo di vita del prodotto.

La security è un “moving target”, ovvero un “bersaglio mobile”: significa quindi che il suo obbiettivo cambia col cambiare del ciclo di vita di un prodotto. Gli hacker sviluppano sempre nuovi metodi per violare le misure di sicurezza. Nei prodotti vengono individuate nuove vulnerabilità che rappresentano potenziali punti deboli di attacco. Oppure la situazione di minaccia cambia, ad esempio attraverso nuovi software.
 
Per questa ragione, le misure adottate contro minacce informatiche o manipolazioni/manomissioni devono essere verificate a cadenza periodica. La responsabilità ricade principalmente sugli utilizzatori degli impianti. I costruttori di macchine e componenti devono informare subito gli utilizzatori in merito a nuovi problemi di sicurezza. Occorre che siano disponibili i relativi aggiornamenti per i software dei dispositivi in modo tale che i clienti possano eliminare le vulnerabilità. I system integrator, eventualmente coinvolti nel processo, fungono da intermediari tra i costruttori e gli utilizzatori. Questo presuppone tuttavia una stretta collaborazione tra le parti per tutto il ciclo di vita dei prodotti. 

Pilz è esperta in sicurezza. Per noi è importante che i prodotti non siano solo ‘safe’ ma anche ‘secure’. Per questa ragione Pilz ha incaricato l’ente ispettivo TÜV Süd di esaminare con attenzione i processi di sviluppo e di verificarli sulla base della norma IEC 62443-4-1. Quest’ultima definisce lo sviluppo sicuro dei prodotti, il “Processo Security Development Lifecycle” (processo SDL). L’approccio descritto include le eventuali caratteristiche e proprietà in materia di security già nella fase embrionale di progettazione del nuovo prodotto. Ha il compito di garantire che tutti i rischi connessi alla security di un prodotto siano individuati con l’ausilio di una modellazione delle minacce e idealmente eliminati dal prodotto durante il processo di sviluppo.

L’esito dell’audit: la procedura di sviluppo Pilz ha soddisfatto i requisiti della norma e risponde al processo SDL. Ora possiamo quindi affermarlo con... sicurezza: Pilz sviluppa non solo in modo ‘safe’ ma anche ‘secure’!

Secondo quanto rilevato da TÜV Süd, Pilz tiene in massima considerazione lo sviluppo di prodotti sicuri in conformità alla norma IEC 62443-4-1 realizzando così una base solida per le successive certificazioni di prodotto.

Oltre all’hardware, Pilz è anche produttore di soluzioni software. Non è possibile escludere al 100% le falle di sicurezza nel software. Pertanto, è importante informarne tempestivamente utenti e amministratori per consentire loro di adottare le necessarie contromisure prima che possano causare danni. I prodotti e i servizi Pilz devono soddisfare requisiti qualitativi molto elevati. Per questo motivo, l’aspetto della Security è per Pilz di fondamentale importanza già nella fase di sviluppo dei prodotti. Ciononostante, non è possibile escludere al 100% il verificarsi di falle nella sicurezza dei software: per questa ragione ogni notifica riguardante eventuali vulnerabilità è considerata con la massima attenzione ai fini dell’Incident Management. Utenti e amministratori devono essere tempestivamente informati di queste falle nella sicurezza per consentire loro di adottare le necessarie contromisure prima che possano causare danni. Solo in questo modo Pilz può garantire e mantenere a un livello costantemente elevato la qualità dei prodotti. Al fine di assicurare il funzionamento corretto di tale processo, è necessario implementare in azienda un sistema di gestione che preveda anche un team dedicato a tale compito, il Product Security Incident Response Team (PSIRT). Il team PSIRT di Pilz  fornisce, attraverso i Security Advisory, raccomandazioni su come agire per eliminare le vulnerabilità individuate.

Qui sono disponibili i Security Advisory attuali.

Security Advisory