Fortinet ondertekent de Secure by Design-belofte van CISA
Fortinet® (NASDAQ: FTNT), wereldwijd leider in cybersecurity en de drijvende kracht achter de convergentie van netwerk- en beveiligingstechnologie, maakt bekend dat het zijn streven naar verantwoorde radicale transparantie verder kracht bijzet. Fortinet is een van de eerste ondertekenaars van de Secure by Design-belofte die door de Cybersecurity & Infrastructure Security Agency (CISA) is opgesteld. Dit is een vrijwillige toezegging door spelers in de security-sector om veiligheid door ontwerp na te streven. De ondertekening hiervan vormt aan aanvulling op de bestaande best practices voor softwarebeveiliging die Fortinet erop nahoudt. Deze zijn ontwikkeld door de CISA, NIST, andere Amerikaanse overheidsinstellingen en internationale brancheorganisaties. De Security by Design-belofte heeft betrekking op zeven doelstellingen, waaronder een verantwoorde openbaarmaking van kwetsbaarheden. Dit vormt al een kernonderdeel van de inspanningen van Fortinet op het gebied van veilige productontwikkeling.
Veiligheid door ontwerp en verantwoorde openbaarmaking van kwetsbaarheden
Het nieuwe initiatief van CISA sluit naadloos aan op de bestaande aanpak van productontwikkeling van Fortinet. Deze gaat al uit van de principes ‘secure by design’ (veilig door ontwerp) en ‘secure by default’ (standaard veilig). Fortinet houdt tijdens alle stadia van de levenscyclus van productontwikkeling de beveiliging van zijn producten nauwlettend in het oog. Daarmee maakt de beveiliging een integraal deel van het ontwerp van al zijn producten, van het begin tot het einde van hun levenscyclus. De aanpak van Fortinet omvat onder meer:
- Secure Product Development Lifecycle (SPDLC): Fortinet zorgt ervoor dat zijn processen aansluiten op belangrijke normen als NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 en wetgeving zoals de UK Telecom Security Act.
- Uitgebreide tests van beveiligingsoplossingen: Voordat Fortinet zijn producten op de markt uitbrengt onderwerpt het die altijd aan grondige testprocessen. Hiervoor maakt het gebruik van technieken als static application security testing (SAST), analyses van de samenstelling van softwareoplossingen, dynamic application security testing (DAST), scans op kwetsbaarheden, fuzz testing, penetratietests en handmatige inspecties van code.
- Trusted Supplier-programma: Fortinet hanteert een rigoureuze procedure voor de selectie van zijn productiepartners. Het werkt daarbij volgens de richtlijn NIST 800-161: ‘Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations’. De toewijding van Fortinet aan gegevensbescherming, privacy en beveiliging vindt haar uiting tijdens elk stadium van de ontwikkeling, productie en levering van zijn producten.
- Het Fortinet Information Security Program: Dit programma stoelt op brancheleidende beveiligingsstandaarden en –kaders zoals ISO 27001/2, ISO 27017 en 27018, NIST 800-53 en wetgeving voor gegevensbescherming en privacy zoals de GDPR en CCPA.
- Certificeringen door onafhankelijke partijen: De producten van Fortinet worden regelmatig door externe partijen geïnspecteerd en gecertificeerd voor beveiligingsstandaarden en productkwaliteitsnormen zoals NIST FIPS 140-2 en NIAP Common Criteria NDcPP / EAL4+.
Het Product Security Incident Response Team (PSIRT) van Fortinet ziet erop toe dat de oplossingen van Fortinet aan alle beveiligingsnormen voldoen. Het hanteert een van de meest robuuste programma’s binnen de branche voor de proactieve en transparante openbaarmaking van kwetsbaarheden. Bijna 80% van alle uitgelichte kwetsbaarheden werden intern gedetecteerd op basis van een rigoureus auditingproces. Deze proactieve aanpak maakt het mogelijk om fixes te ontwikkelen en toe te passen om misbruik door cybercriminelen te voorkomen. Fortinet werkt samen met klanten, onafhankelijke beveiligingsanalisten, consultants, brancheorganisaties en andere security-leveranciers om zijn PSIRT-missie ten uitvoer te leggen.
Fortinet streeft naar een cultuur van verantwoorde radicale transparantie. Het zet dit streven kracht bij door de samenwerking op te zoeken met organisaties in de publieke en private sector.
- Als medeoprichter van de Network Resilience Coalition draagt Fortinet bij aan de ontwikkeling van praktische oplossingen voor de beveiliging van netwerken en gevoelige data. Deze bieden ook een antwoord op het vraagstuk van organisaties die nalaten om beveiligingsupdates voor hardware- en softwareoplossingen te installeren.
- Als lid van de Joint Cyber Defense Collaborative (JCDC) die in 2021 door CISA werd opgericht werkt Fortinet samen met organisaties in de publieke en private sector aan de verzameling, analyse en uitwisseling van praktisch toepasbare informatie om proactieve bescherming te bieden tegen cyberbedreigingen.
- Als medeoprichter van de Cyber Threat Alliance (CTA) deelt Fortinet informatie over de laatste cyberbedreigingen met andere spelers in de security-sector. Op die maner kan het klanten effectievere bescherming tegen cybercriminelen bieden.
- Fortinet werkt als medeoprichter van het Centre for Cybersecurity (C4C) van het World Economic Forum samen met diverse wereldleiders om de uitwisseling van bedreigingsinformatie binnen de security-sector te bevorderen. Het doel is om cyberaanvallen op wereldwijde schaal terug te dringen en de activiteiten van cybercriminelen te dwarsbomen.
Jim Richberg, head of Cyber Policy en Global Field CISO bij Fortinet: “Fortinet is een rolmodel van het eerste uur als het gaat om ethisch verantwoorde productontwikkeling en openbaarmaking van kwetsbaarheden. We zorgen er proactief voor dat onze producten aansluiten op internationale standaarden en best practices op het gebied van cybersecurity. Kortom: we hanteren de hoogste beveiligingsnormen bij alles wat we doen. De oproep van de CISA aan spelers in de security-sector om hetzelfde te doen juichen we dan ook van harte toe. We stellen het enorm op prijs dat de CISA bereid is om met Fortinet toe te werken naar de realisatie van deze belangrijke doelen. We moedigen andere partijen binnen de technologische gemeenschap aan om zich achter dit initiatief te scharen om organisaties veilig te houden.”
“We merken keer op keer dat transparantie betere resultaten oplevert voor consumenten, bedrijven in alle sectoren en de samenleving in het algemeen. De security-sector is daar geen uitzondering op. Voor onze markt houdt transparantie in dat we openheid van zaken geven over de kwetsbaarheden die we hebben opgespoord. Fortinet heeft al diverse maatregelen getroffen om voor dergelijke verantwoorde transparantie te zorgen. Het volgt duidelijk omlijnde principes voor het analyseren en rapporteren van kwetsbaarheden. Het leiderschap van Fortinet op dit gebied is een schoolvoorbeeld van de manier waarop leveranciers van security-oplossingen met hun klanten en de buitenwereld zouden moeten communiceren.”
- Michael Daniels, bestuursvoorzitter en CEO van de Cyber Threat Alliance (CTA)
“Productontwikkeling volgens het principe van ‘secure by design’ is een eerste vereiste voor robuuste beveiliging. Leveranciers als Fortinet lopen wereldwijd voorop in de toepassing van deze principes, die ook in het Australische ‘Essential Eight’-framework zijn beschreven. Dit betekent een belangrijke stap vooruit voor de versterking van onze collectieve beveiliging.”
- Peter Jennings, directeur Strategic Analysis Australia en lid van de Strategische Adviesraad van Fortinet