産業制御システムに脆弱性が存在する場合、善良な人が最初にそれを発見することが重要です。
だからこそ、サイバーセキュリティのほとんど知られていない英雄である研究者たちが行なった仕事に感謝しています。
これらの人々は、産業セキュリティの脆弱性を発見することに熱心に取り組んでいます。彼らが悪者の前でそれを行ない、私たちのような会社に警告すると、私たちはそれらを修正することができます。彼らの行為は重大なセキュリティインシデントになる可能性のあるものを防ぐのに役立っています。
ロックウェル・オートメーションでは、研究者を受け入れています。私たちは、規格に沿った脆弱性処理および調整された開示プロセスの一環として、積極的に彼らと協力しています。そして、感謝の気持ちを示すために、認めるべき内容を評価しています。
システムのテスト
外部の研究者は、敵と同じ方法で産業用制御製品をテストします。彼らは、システムと通信プロトコルの欠陥を探し、その方法を模索します。
研究者が当社製品に脆弱性を発見した場合、製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)に通知できます。その後、検証済みの脆弱性を特定して解決するために彼らと協力します。
セキュリティアドバイザリで調査結果を開示する場合、調査結果を見つけた研究者を感謝のしるしとして認識します。また、研究者に個人的なコミュニケーションを送信し、感謝の意を表明します。それは感謝の印ですが、私たちにとって重要なものです。そして、多くの場合、感謝は双方向に行きます。
例えば、テナブル社の主任研究エンジニアであるジェイコブ・ベインズ氏は、最近、セキュリティ開示について協力し、次のことを伝えました。
「ロックウェル・オートメーションのPSIRTは、私が脆弱性を公開した最も専門的なセキュリティグループの1つです。私の経験では、ロックウェル・オートメーションは開示関連の電子メールに迅速に対応し、エコシステムをセキュアに保つために、常にタイムラインを非常に真剣に考えてきました。」
「さらに、開発者の進捗状況であろうと公開予定日であろうと、ロックウェル・オートメーションは情報を共有するという素晴らしい仕事をしています。これは、効果的な協調的開示の鍵です。 彼らは事前に助言テキストも共有しています。私の考えでは、ロックウェル・オートメーションのPSIRTは、ベンダーが調整された開示について研究者と協力している方法の良い例です。」