Společnost Fortinet znovu potvrzuje svůj závazek k bezpečným procesům vývoje produktů a zodpovědnému přístupu ke zveřejňování zranitelností

Společnost Fortinet (NASDAQ: FTNT), světový lídr v oblasti kybernetické bezpečnosti a průkopník konvergence sítí a zabezpečení, oznámila, že navazuje na svůj dlouhodobý závazek k odpovědné radikální transparentnosti a jako jedna z prvních firem podepsala závazek Secure by Design, který vypracovala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). Tento dobrovolný závazek doplňuje a rozvíjí stávající aktivity společnosti Fortinet v oblasti zabezpečení softwaru, včetně těch, které vypracovaly CISA, NIST a další federální agentury a mezinárodní i oboroví partneři. Závazek zahrnuje sedm cílů, včetně zásad odpovědného zveřejňování zranitelností, které jsou již nedílnou součástí zabezpečeného vývoje produktů společnosti Fortinet.

„Ve společnosti Fortinet se dlouhodobě snažíme být vzorem v oblasti etického a odpovědného vývoje produktů a zveřejňování zranitelností. V rámci tohoto přístupu se společnost Fortinet aktivně zařadila k nejlepší praxi v oboru v mezinárodním měřítku a dodržuje nejvyšší bezpečnostní standardy ve všech aspektech své činnosti. Tleskáme neutuchající snaze CISA rozšířit principy odpovědnosti v rámci celého oboru, a oceňujeme ochotu CISA spolupracovat se společností Fortinet na rozvoji těchto důležitých cílů. Důrazně vyzýváme ostatní členy technologické komunity, aby se k úsilí o zajištění bezpečnosti organizací připojili,“ řekl Jim Richberg, vedoucí sekce kybernetické politiky a globální ředitel pro informační bezpečnost ve společnosti Fortinet.

Posílení závazku společnosti Fortinet k zásadám Secure by Design a procesům zodpovědného zveřejňování informací

Nejnovější iniciativa CISA je v úzkém souladu se stávajícími procesy vývoje produktů společnosti Fortinet, které jsou již založeny na zásadách Secure by Design a Secure by Default. Společnost Fortinet se zavázala dodržovat důkladnou kontrolu bezpečnosti produktů ve všech fázích jejich životního cyklu. Pomáhá tak zajistit, aby bezpečnost byla součástí každého produktu od jeho vzniku až po ukončení jeho životnosti, a to následujícími způsoby:

• Bezpečný životní cyklus vývoje produktu (SPDLC): Procesy společnosti Fortinet jsou v souladu s předními standardy, včetně NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 a UK Telecom Security Act.
• Robustní testování bezpečnostních produktů: Společnost Fortinet využívá nástroje a techniky, jako je statické testování zabezpečení aplikací (SAST) a analýza složení softwaru, dynamické testování zabezpečení aplikací (DAST), skenování zranitelností a fuzz testování před každým vydáním softwaru, ale i penetrační testování a manuální audity kódu.
• Program důvěryhodného dodavatele: Fortinet se řídí standardem NIST 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, aby zajistil přísný výběr a kvalifikaci svých hlavních výrobních partnerů. Závazek společnosti Fortinet k ochraně soukromí a zabezpečení dat je zakotven v každé části obchodní činnosti společnosti a v každé fázi vývoje, výroby a dodávek produktů.
• Program zabezpečení informací: Program zabezpečení informací společnosti Fortinet je založen na předních bezpečnostních standardech a rámcích, včetně norem ISO 27001/2, ISO 27017 a 27018 a NIST 800-53, a je s nimi v souladu, stejně jako s předpisy o ochraně osobních údajů, jako jsou GDPR a CCPA.
• Certifikace třetích stran: Produkty společnosti Fortinet jsou pravidelně certifikovány v souladu se standardy a ověřovány prostřednictvím standardů kvality produktů třetích stran, včetně NIST FIPS 140-2 a NIAP Common Criteria NDcPP / EAL4+.

Kromě toho je Tým pro řešení incidentů v oblasti zabezpečení produktů společnosti Fortinet (PSIRT) zodpovědný za udržování bezpečnostních standardů pro produkty Fortinet a provozuje jeden z nejrozsáhlejších programů PSIRT v oboru, včetně proaktivního a transparentního zveřejňování zranitelností. Téměř 80 % zranitelností společnosti Fortinet objevených v roce 2023 bylo identifikováno interně prostřednictvím přísného auditu společnosti. Tento proaktivní přístup umožňuje vyvinout a implementovat opravy dříve, než může dojít k jejich zneužití. Společnost Fortinet spolupracuje se svými zákazníky, nezávislými bezpečnostními výzkumníky, konzultanty, organizacemi v oboru i ostatními dodavateli, aby naplnila poslání PSIRT.

Aby společnost Fortinet dále rozvíjela svůj závazek vůči zodpovědné radikální transparentnosti, dlouhodobě spolupracuje s veřejnými a soukromými subjekty, které jsou v souladu s jejím posláním:

• • Jako zakládající člen koalice Network Resilience Coalition pomáhá společnost Fortinet zajišťovat reálná řešení na ochranu sítí a citlivých dat, včetně řešení problému neimplementovaných aktualizací a záplat softwaru a hardwaru.
  • Jako člen skupiny Joint Cyber Defense Collaborative (JCDC), která byla založena organizací CISA v roce 2021, spolupracuje společnost Fortinet s veřejnými a soukromými subjekty na shromažďování, analýze a sdílení využitelných informací pro aktivnější ochranu a obranu proti kybernetickým hrozbám.
  • Jako zakládající člen Cyber Threat Alliance (CTA) sdílí společnost Fortinet aktuální informace o hrozbách s ostatními odborníky na kybernetickou bezpečnost, aby lépe chránila zákazníky před kyberzločinci.
  • Ve spolupráci s globálními lídry pomáhá společnost Fortinet jako zakládající člen Centra pro kybernetickou bezpečnost (C4C) Světového ekonomického fóra podporovat sdílení zpravodajských informací napříč celým odvětvím s cílem omezit globální kybernetické útoky a narušit kybernetickou kriminalitu.

Další zdroje (v angličtině)

• Přečtěte si více o závazku společnosti Fortinet k zabezpečení a integritě produktů včetně nedávného blogového příspěvku o dlouhodobém závazku k odpovědnému vývoji produktů a přístupu a zásadám zveřejňování zranitelností.
• Zjistěte více o bezplatném vzdělávání v oblasti kybernetické bezpečnosti poskytovaném společností Fortinet, které zahrnuje široký okruh znalostí a produktové školení. V rámci vzdělávacího plánu Fortinet Training Advancement Agenda (TAA) poskytuje Fortinet Training Institute také školení a certifikaci prostřednictvím programů Network Security Expert (NSE) Certification, Academic Partner a programy Education Outreach.
• Sledujte Fortinet na sociálních sítích X (dříve Twitter), LinkedIn, Facebook a Instagram. Přihlaste se k odběru zpráv od společnosti Fortinet na blogu nebo na YouTube.