Fortinet ondertekent de Secure by Design-belofte van CISA

De Security by Design-belofte heeft betrekking op zeven doelstellingen, waaronder een verantwoorde openbaarmaking van kwetsbaarheden

Fortinet is een van de ondertekenaars van de Secure by Design-belofte die door de Cybersecurity & Infrastructure Security Agency (CISA) is opgesteld. Dit is een vrijwillige toezegging door spelers in de security-sector om veiligheid door ontwerp na te streven. De ondertekening hiervan vormt aan aanvulling op de bestaande best practices voor softwarebeveiliging die Fortinet erop nahoudt. Deze zijn ontwikkeld door de CISA, NIST, andere Amerikaanse overheidsinstellingen en internationale brancheorganisaties. De Security by Design-belofte heeft betrekking op zeven doelstellingen, waaronder een verantwoorde openbaarmaking van kwetsbaarheden. Dit vormt al een kernonderdeel van de inspanningen van Fortinet op het gebied van veilige productontwikkeling.

Veiligheid door ontwerp en verantwoorde openbaarmaking van kwetsbaarheden

Het nieuwe initiatief van CISA sluit naadloos aan op de bestaande aanpak van productontwikkeling van Fortinet. Deze gaat al uit van de principes ‘secure by design’ (veilig door ontwerp) en ‘secure by default’ (standaard veilig). Fortinet houdt tijdens alle stadia van de levenscyclus van productontwikkeling de beveiliging van zijn producten nauwlettend in het oog. Daarmee maakt de beveiliging een integraal deel van het ontwerp van al zijn producten, van het begin tot het einde van hun levenscyclus. De aanpak van Fortinet omvat onder meer:

• Secure Product Development Lifecycle (SPDLC): Fortinet zorgt ervoor dat zijn processen aansluiten op belangrijke normen als NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 en wetgeving zoals de UK Telecom Security Act.

• Uitgebreide tests van beveiligingsoplossingen: Voordat Fortinet zijn producten op de markt uitbrengt onderwerpt het die altijd aan grondige testprocessen. Hiervoor maakt het gebruik van technieken als static application security testing (SAST), analyses van de samenstelling van softwareoplossingen, dynamic application security testing (DAST), scans op kwetsbaarheden, fuzz testing, penetratietests en handmatige inspecties van code.

• Trusted Supplier-programma: Fortinet hanteert een rigoureuze procedure voor de selectie van zijn productiepartners. Het werkt daarbij volgens de richtlijn NIST 800-161: ‘Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations’. De toewijding van Fortinet aan gegevensbescherming, privacy en beveiliging vindt haar uiting tijdens elk stadium van de ontwikkeling, productie en levering van zijn producten.

• Het Fortinet Information Security Program: Dit programma stoelt op brancheleidende beveiligingsstandaarden en –kaders zoals ISO 27001/2, ISO 27017 en 27018, NIST 800-53 en wetgeving voor gegevensbescherming en privacy zoals de GDPR en CCPA.

• Certificeringen door onafhankelijke partijen: De producten van Fortinet worden regelmatig door externe partijen geïnspecteerd en gecertificeerd voor beveiligingsstandaarden en productkwaliteitsnormen zoals NIST FIPS 140-2 en NIAP Common Criteria NDcPP / EAL4+.

Het Product Security Incident Response Team (PSIRT) van Fortinet ziet erop toe dat de oplossingen van Fortinet aan alle beveiligingsnormen voldoen. Het hanteert een van de meest robuuste programma’s binnen de branche voor de proactieve en transparante openbaarmaking van kwetsbaarheden. Bijna 80% van alle uitgelichte kwetsbaarheden werden intern gedetecteerd op basis van een rigoureus auditingproces. Deze proactieve aanpak maakt het mogelijk om fixes te ontwikkelen en toe te passen om misbruik door cybercriminelen te voorkomen. Fortinet werkt samen met klanten, onafhankelijke beveiligingsanalisten, consultants, brancheorganisaties en andere security-leveranciers om zijn PSIRT-missie ten uitvoer te leggen.

Fortinet streeft naar een cultuur van verantwoorde radicale transparantie. Het zet dit streven kracht bij door de samenwerking op te zoeken met organisaties in de publieke en private sector.

• Als medeoprichter van de Network Resilience Coalition draagt Fortinet bij aan de ontwikkeling van praktische oplossingen voor de beveiliging van netwerken en gevoelige data. Deze bieden ook een antwoord op het vraagstuk van organisaties die nalaten om beveiligingsupdates voor hardware- en softwareoplossingen te installeren.

• Als lid van de Joint Cyber Defense Collaborative (JCDC) die in 2021 door CISA werd opgericht werkt Fortinet samen met organisaties in de publieke en private sector aan de verzameling, analyse en uitwisseling van praktisch toepasbare informatie om proactieve bescherming te bieden tegen cyberbedreigingen.

• Als medeoprichter van de Cyber Threat Alliance (CTA) deelt Fortinet informatie over de laatste cyberbedreigingen met andere spelers in de security-sector. Op die maner kan het klanten effectievere bescherming tegen cybercriminelen bieden.

• Fortinet werkt als medeoprichter van het Centre for Cybersecurity (C4C) van het World Economic Forum samen met diverse wereldleiders om de uitwisseling van bedreigingsinformatie binnen de security-sector te bevorderen. Het doel is om cyberaanvallen op wereldwijde schaal terug te dringen en de activiteiten van cybercriminelen te dwarsbomen.

Jim Richberg, head of Cyber Policy en Global Field CISO bij Fortinet: “Fortinet is een rolmodel van het eerste uur als het gaat om ethisch verantwoorde productontwikkeling en openbaarmaking van kwetsbaarheden. We zorgen er proactief voor dat onze producten aansluiten op internationale standaarden en best practices op het gebied van cybersecurity. Kortom: we hanteren de hoogste beveiligingsnormen bij alles wat we doen. De oproep van de CISA aan spelers in de security-sector om hetzelfde te doen juichen we dan ook van harte toe. We stellen het enorm op prijs dat de CISA bereid is om met Fortinet toe te werken naar de realisatie van deze belangrijke doelen. We moedigen andere partijen binnen de technologische gemeenschap aan om zich achter dit initiatief te scharen om organisaties veilig te houden.”

Aanvullende informatie

• Kom meer te weten over de toewijding van Fortinet aan de integriteit en beveiliging van zijn producten en lees het blog over zijn niet aflatende inspanningen op het gebied van verantwoorde productontwikkeling en openbaarmaking van kwetsbaarheden.
• Ga naar fortinet.com/trust voor meer informatie over de innovatieve technologie, samenwerkingspartners, processen voor productbeveiliging en de in de praktijk bewezen security-oplossingen van grootzakelijke kwaliteit van Fortinet.
• Lees meer over het aanbod van gratis trainingsaanbod van Fortinet, waaronder uitgebreide cyber awareness- en producttraining. In het kader van de Fortinet Training Advancement Agenda (TAA) biedt het Fortinet Training Institute training en certificering aan op basis van de programma’s Network Security Expert (NSE) Certification, Academic Partner en Education Outreach.
• Volg Fortinet via X, LinkedIn, Facebook en Instagram, zijn blog en zijn YouTube-kanaal.