หลังจากสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ออกโรงเตือนและแนะนำให้ผู้ดูแลระบบไอทีเร่งตรวจสอบคำแนะนำของฟอร์ติเน็ต (Fortinet) เพื่ออัปเดตอุปกรณ์ไม่ให้เกิดเหตุถูกแฮกหรือเจาะระบบในช่วงปีที่ผ่านมา ล่าสุด ฟอร์ติเน็ตออกแถลงการณ์ย้ำคำมั่น พัฒนาผลิตภัณฑ์ปลอดภัยทุกกระบวนการ พร้อมนโยบายเปิดเผยช่องโหว่อย่างรับผิดชอบ
จิม ริชเบิร์ก หัวหน้าฝ่าย Cyber Policy และ Global Field ฟอร์ติเน็ต เปิดเผยว่าในฐานะหนึ่งในผู้ประกอบการด้านไซเบอร์ซิเคียวริตีรายแรกที่ลงนามในข้อตกลง Secure by Design ของ CISA ฟอร์ติเน็ตจะมุ่งสานต่อคำมั่นด้วยการทุ่มเทอย่างจริงจังเรื่องวัฒนธรรมด้านความโปร่งใสอย่างรับผิดชอบ โดยใส่ใจความปลอดภัยของลูกค้าสูงสุด
"ฟอร์ติเน็ตมีพันธกิจที่ยาวนานในการเป็นแบบอย่างเรื่องการพัฒนาผลิตภัณฑ์และเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างมีจรรยาบรรณและรับผิดชอบ และด้วยความมุ่งมั่นดังกล่าว ฟอร์ติเน็ตจึงได้วางแนวทางในเชิงรุกเพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดทั้งในอุตสาหกรรมและในระดับสากล พร้อมยึดมั่นในมาตรฐานความปลอดภัยสูงสุดครอบคลุมทุกแง่มุมธุรกิจ โดยเราชื่นชมในข้อเรียกร้องอย่างต่อเนื่องของ CISA เพื่อให้อุตสาหกรรมปฏิบัติตามแนวทางดังกล่าว และชื่นชมความตั้งใจของ CISA ในการทำงานร่วมกับฟอร์ติเน็ตเพื่อพัฒนาเป้าหมายสำคัญเหล่านี้ อีกทั้งเรายังมุ่งมั่นที่จะส่งเสริมผู้คนอื่นๆ ในชุมชนเทคโนโลยีอย่างเต็มที่ ให้ร่วมกันสนับสนุนความพยายามในการรักษาความปลอดภัยให้องค์กรต่างๆ"
ฟอร์ติเน็ต มองตัวเองเป็นผู้นำด้านความปลอดภัยทางไซเบอร์ระดับโลกที่ขับเคลื่อนการผสานรวมของระบบเน็ตเวิร์กกิ้งและซิเคียวริตี สำหรับการประกาศถึงการสานต่อพันธกิจอันยาวนาน เรื่องการรับผิดชอบต่อความโปร่งใสอย่างตรงไปตรงมา (Radical Transparency) นี้เกิดขึ้นในฐานะของผู้เซ็นสัญญาข้อตกลง Secure by Design Pledge รายแรกๆ ซึ่งเป็นข้อตกลงที่พัฒนาขึ้นโดยสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) คำมั่นสัญญาในระดับอุตสาหกรรมดังกล่าวพัฒนาและต่อยอดจากแนวปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยของซอฟต์แวร์ของฟอร์ติเน็ต ซึ่งรวมถึงแนวทางที่พัฒนาโดย CISA สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) หน่วยงานกลางของภาครัฐ ตลอดจนพันธมิตรในระดับสากลและอุตสาหกรรมต่างๆ โดยพันธสัญญาระบุถึงเป้าหมาย 7 ข้อ รวมถึงนโยบายการเปิดเผยข้อมูลช่องโหว่ซึ่งกลายเป็นส่วนสำคัญของการพัฒนาความปลอดภัยของผลิตภัณฑ์ของฟอร์ติเน็ต
ปัจจุบัน ฟอร์ติเน็ตย้ำว่าจะเดินหน้าพันธกิจ ตามหลักการการออกแบบระบบที่มั่นคงปลอดภัย (Secure by Design Principles) และกระบวนการเปิดเผยอย่างรับผิดชอบ (Responsible Disclosure Processes) แนวคิดริเริ่มล่าสุดของ CISA สอดคล้องกับกระบวนการพัฒนาผลิตภัณฑ์ของฟอร์ติเน็ตที่มีอยู่แล้วอย่างลงตัว ที่ยึดตามหลักการ Secure-by-Design และ Secure-by-Default อยู่แล้ว โดยฟอร์ติเน็ตมุ่งมั่นในการยึดหลักการตรวจสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวดในทุกขั้นตอนของวงจรการพัฒนาผลิตภัณฑ์ ซึ่งช่วยให้มั่นใจได้ว่าทุกผลิตภัณฑ์มีการออกแบบเรื่องความปลอดภัยตั้งแต่แรกเริ่มตลอดจนสิ้นสุดการใช้งาน
สำหรับแนวทางด้านวงจรการพัฒนาผลิตภัณฑ์อย่างปลอดภัย (SPDLC) ฟอร์ติเน็ตย้ำว่าได้ปรับกระบวนการขององค์กรให้สอดคล้องกับมาตรฐานชั้นนำ รวมถึง NIST 800-53 NIST 800-161 NIST 800-218 US EO 14028 และพระราชบัญญัติความปลอดภัยในโทรคมนาคมของสหราชอาณาจักร (UK Telecom Security Act)
สำหรับการทดสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวด ฟอร์ติเน็ตชี้ว่าได้ใช้เครื่องมือและเทคนิค เช่น การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติก (SAST) และการวิเคราะห์องค์ประกอบซอฟต์แวร์ที่สร้างขึ้นในกระบวนการสร้าง การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) การสแกนช่องโหว่ และการทดสอบเพื่อหาข้อผิดพลาด (Fuzzing) ก่อนเปิดให้ใช้งานในแต่ละครั้ง รวมถึงการทดสอบการแทรกแซง (Penetration Testing) และการตรวจสอบรหัสแบบ Manual
ขณะที่ Trusted Supplier Program เป็นโปรแกรมช่วยสร้างความมั่นใจในคุณสมบัติและการคัดเลือกพันธมิตรผู้ผลิตรายหลักอย่างเข้มงวด ส่วนนี้ฟอร์ติเน็ตได้ปฏิบัติตามมาตรฐาน NIST 800-161: แนวปฏิบัติการจัดการความเสี่ยงด้านความปลอดภัยของซัปพลายเชนสำหรับระบบและองค์กร ซึ่งฟอร์ติเน็ตให้ความมุ่งมั่นเรื่องความปลอดภัยและความเป็นส่วนตัวของข้อมูล โดยสอดแทรกอยู่ทุกภาคส่วนของธุรกิจ และในทุกขั้นตอนของกระบวนการพัฒนาผลิตภัณฑ์ การผลิต และการส่งมอบ
ในส่วนโปรแกรมความปลอดภัยของข้อมูล โปรแกรมความปลอดภัยของข้อมูลของฟอร์ติเน็ต อยู่บนพื้นฐานที่สอดคล้องตามมาตรฐานและกรอบการป้องกันความปลอดภัยชั้นนำในอุตสาหกรรม รวมถึง ISO 27001/2 ISO 27017 และ 27018 และ NIST 800-53 รวมถึงข้อบังคับเกี่ยวกับความเป็นส่วนตัวของข้อมูล เช่น GDPR และ CCPA
ขณะที่การรับรองจากบุคคลที่สาม (Third-party) ผลิตภัณฑ์ของฟอร์ติเน็ตได้รับการรับรองตามมาตรฐานเป็นหลักและผ่านการตรวจสอบมาตรฐานคุณภาพผลิตภัณฑ์จากหน่วยงานนอก ไม่ว่าจะเป็น NIST FIPS 140-2 และ NIAP Common Criteria NDcPP / EAL4+
นอกจากนี้ ทีมตอบสนองเหตุการณ์ความปลอดภัยผลิตภัณฑ์ของฟอร์ติเน็ต (PSIRT - Fortinet Product Security Incident Response Team) จะเป็นผู้ดูแลในการรักษามาตรฐานความปลอดภัยสำหรับผลิตภัณฑ์ของฟอร์ติเน็ต และดำเนินการด้าน PSIRT ซึ่งเป็นหนึ่งในโปรแกรมที่แข็งแกร่งที่สุดในอุตสาหกรรม รวมถึงการเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างโปร่งใสในเชิงรุก โดยเกือบ 80% ของช่องโหว่ของฟอร์ติเน็ตที่ถูกพบในปี 2023 เป็นการระบุจากภายในองค์กรผ่านกระบวนการตรวจสอบที่เข้มงวดของบริษัท การดำเนินการเชิงรุกนี้ทำให้สามารถพัฒนาและแก้ไขปัญหาได้ก่อนที่จะเกิดการใช้ประโยชน์ในทางที่ผิด ทั้งนี้ ฟอร์ติเน็ตมีการทำงานร่วมกับลูกค้า นักวิจัยด้านความปลอดภัยอิสระ ที่ปรึกษา องค์กรในอุตสาหกรรม และผู้ให้บริการรายอื่นๆ ในการปฏิบัติภารกิจ PSIRT ขององค์กรให้สำเร็จ