ฟอร์ติเน็ตย้ำคำมั่น พัฒนาผลิตภัณฑ์ปลอดภัยทุกกระบวนการ พร้อม นโยบายเปิดเผยช่องโหว่อย่างรับผิดชอบ

ในฐานะหนึ่งในผู้ประกอบการด้านไซเบอร์ซีเคียวริตี้รายแรก ที่ลงนามในข้อตกลงSecure by Design ของ CISA ฟอร์ติเน็ตสานต่อคำมั่นด้วยการทุ่มเทอย่างจริงจังเรื่องวัฒนธรรมด้านความโปร่งใสอย่างรับผิดชอบ โดยใส่ใจความปลอดภัยของลูกค้าสูงสุด

จิม ริชเบิร์ก หัวหน้าฝ่าย Cyber Policy และ Global Field ฟอร์ติเน็ต เปิดเผยว่า “ฟอร์ติเน็ต มีพันธกิจที่ยาวนานในการเป็นแบบอย่างเรื่องการพัฒนาผลิตภัณฑ์และเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างมีจรรยาบรรณและรับผิดชอบและด้วยความมุ่งมั่นดังกล่าว ฟอร์ติเน็ตจึงได้วางแนวทางในเชิงรุกเพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดทั้งในอุตสาหกรรมและในระดับสากล พร้อมยึดมั่นในมาตรฐานความปลอดภัยสูงสุดครอบคลุมทุกแง่มุมธุรกิจ โดยเราชื่นชมในข้อเรียกร้องอย่างต่อเนื่องของCISA เพื่อให้อุตสาหกรรมปฏิบัติตามแนวทางดังกล่าวและชื่นชมความตั้งใจของCISAในการทำงานร่วมกับฟอร์ติเน็ตเพื่อพัฒนาเป้าหมายสำคัญเหล่านี้อีกทั้งเรายังมุ่งมั่นที่จะส่งเสริมผู้คนอื่นๆในชุมชนเทคโนโลยีอย่างเต็มที่ให้ร่วมกันสนับสนุนความพยายามในการรักษาความปลอดภัยให้กับองค์กรต่างๆ”

ฟอร์ติเน็ตผู้นำด้านความปลอดภัยทางไซเบอร์ระดับโลกที่ขับเคลื่อนการผสานรวมของระบบเน็ตเวิร์กกิ้งและซีเคียวริตี้ ประกาศถึงการสานต่อพันธกิจอันยาวนาน เรื่องการรับผิดชอบต่อความโปร่งใสอย่างตรงไปตรงมา(Radical Transparency) ในฐานะของผู้เซ็นสัญญาข้อตกลงSecure by Design Pledgeรายแรกๆซึ่งเป็นข้อตกลงที่พัฒนาขึ้นโดยสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์หรือ Cybersecurity and Infrastructure Security Agency (CISA)คำมั่นสัญญาในระดับอุตสาหกรรมดังกล่าวพัฒนาและต่อยอดจากแนวปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยของซอฟต์แวร์ของฟอร์ติเน็ต ซึ่งรวมถึงแนวทางที่พัฒนาโดย CISA สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) หน่วยงานกลางของภาครัฐ ตลอดจนพันธมิตรในระดับสากลและอุตสาหกรรมต่างๆ โดยพันธสัญญาระบุถึงเป้าหมาย7 ข้อ รวมถึงนโยบายการเปิดเผยข้อมูลช่องโหว่ซึ่งกลายเป็นส่วนสำคัญของการพัฒนาความปลอดภัยของผลิตภัณฑ์ของฟอร์ติเน็ต

เดินหน้าพันธกิจของฟอร์ติเน็ตตามหลักการการออกแบบระบบที่มั่นคงปลอดภัย (Secure by DesignPrinciples)และกระบวนการเปิดเผยอย่างรับผิดชอบ (Responsible Disclosure Processes)

แนวคิดริเริ่มล่าสุดของ CISA สอดคล้องกับกระบวนการพัฒนาผลิตภัณฑ์ของฟอร์ติเน็ตที่มีอยู่แล้วอย่างลงตัว ที่ยึดตามหลักการSecure-by-Design และSecure-by-Default อยู่แล้วโดยฟอร์ติเน็ตมุ่งมั่นในการยึดหลักการตรวจสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวดในทุกขั้นตอนของวงจรการพัฒนาผลิตภัณฑ์ซึ่งช่วยให้มั่นใจได้ว่าทุกผลิตภัณฑ์มีการออกแบบเรื่องความปลอดภัยตั้งแต่แรกเริ่มตลอดจนสิ้นสุดการใช้งานด้วยแนวทางดังต่อไปนี้

วงจรการพัฒนาผลิตภัณฑ์อย่างปลอดภัย (SPDLC)ฟอร์ติเน็ตปรับกระบวนการขององค์กรให้สอดคล้องกับมาตรฐานชั้นนำ รวมถึง NIST 800-53 NIST 800-161 NIST 800-218 US EO 14028 และพระราชบัญญัติความปลอดภัยในโทรคมนาคมของสหราชอาณาจักร(UK Telecom Security Act)
การทดสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวด ฟอร์ติเน็ตใช้เครื่องมือและเทคนิค เช่น การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติก (SAST) และการวิเคราะห์องค์ประกอบซอฟต์แวร์ที่สร้างขึ้นในกระบวนการสร้าง การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) การสแกนช่องโหว่ และการทดสอบเพื่อหาข้อผิดพลาด (Fuzzing) ก่อนเปิดให้ใช้งานในแต่ละครั้ง รวมถึงการทดสอบการแทรกแซง (Penetration Testing) และการตรวจสอบรหัสแบบManual
Trusted Supplier Programโปรแกรมช่วยสร้างความมั่นใจในคุณสมบัติและการคัดเลือกพันธมิตรผู้ผลิตรายหลักอย่างเข้มงวด ฟอร์ติเน็ตปฏิบัติตามมาตรฐานNIST 800-161: แนวปฏิบัติการจัดการความเสี่ยงด้านความปลอดภัยของซัพพลายเชนสำหรับระบบและองค์กร ซึ่งฟอร์ติเน็ตให้ความมุ่งมั่นเรื่องความปลอดภัยและความเป็นส่วนตัวของข้อมูล โดยสอดแทรกอยู่ทุกภาคส่วนของธุรกิจและในทุกขั้นตอนของกระบวนการพัฒนาผลิตภัณฑ์ การผลิต และการส่งมอบ
โปรแกรมความปลอดภัยของข้อมูลโปรแกรมความปลอดภัยของข้อมูลของฟอร์ติเน็ตอยู่บนพื้นฐานที่สอดคล้องตามมาตรฐานและกรอบการป้องกันความปลอดภัยชั้นนำในอุตสาหกรรมรวมถึงISO 27001/2 ISO 27017 และ27018 และNIST 800-53 รวมถึงข้อบังคับเกี่ยวกับความเป็นส่วนตัวของข้อมูลเช่นGDPR และCCPA
การรับรองจากบุคคลที่สาม (Third-party) ผลิตภัณฑ์ของฟอร์ติเน็ตได้รับการรับรองตามมาตรฐานเป็นหลักและผ่านการตรวจสอบมาตรฐานคุณภาพผลิตภัณฑ์จากหน่วยงานนอก ไม่ว่าจะเป็นNIST FIPS 140-2 และ NIAP Common Criteria NDcPP / EAL4+

นอกจากนี้ ทีมตอบสนองเหตุการณ์ความปลอดภัยผลิตภัณฑ์ของฟอร์ติเน็ต(PSIRT -Fortinet Product Security Incident Response Team) จะเป็นผู้ดูแลในการรักษามาตรฐานความปลอดภัยสำหรับผลิตภัณฑ์ของฟอร์ติเน็ต และดำเนินการด้านPSIRT ซึ่งเป็นหนึ่งในโปรแกรมที่แข็งแกร่งที่สุดในอุตสาหกรรม รวมถึงการเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างโปร่งใสในเชิงรุกโดยเกือบ80% ของช่องโหว่ของฟอร์ติเน็ตที่ถูกพบในปี 2023เป็นการระบุจากภายในองค์กรผ่านกระบวนการตรวจสอบที่เข้มงวดของบริษัท การดำเนินการเชิงรุกนี้ทำให้สามารถพัฒนาและแก้ไขปัญหาได้ก่อนที่จะเกิดการใช้ประโยชน์ในทางที่ผิดทั้งนี้ฟอร์ติเน็ตมีการทำงานร่วมกับลูกค้า นักวิจัยด้านความปลอดภัยอิสระ ที่ปรึกษา องค์กรในอุตสาหกรรม และผู้ให้บริการรายอื่นๆ ในการปฏิบัติภารกิจ PSIRT ขององค์กรให้สำเร็จ

เพื่อผลักดันความทุ่มเทที่มีต่อวัฒนธรรมด้านความโปร่งใสที่ตรงไปตรงมาด้วยความรับผิดชอบ ฟอร์ติเน็ตมีพันธกิจที่ยาวนานในการสร้างพันธมิตรทั้งภาครัฐและเอกชนที่สอดคล้องกับพันธกิจของบริษัท ซึ่งรวมถึง

ในการเป็นสมาชิกผู้ก่อตั้งของNetwork Resilience Coalitionฟอร์ติเน็ตช่วยนำเสนอโซลูชันที่ให้ผลลัพธ์จริง ในการปกป้องเครือข่ายและข้อมูลที่ละเอียดอ่อน รวมถึงแก้ปัญหาเพื่อตอบโจทย์เรื่องการไม่อัปเดตและไม่มีการลงแพทช์ทั้งในส่วนของซอฟต์แวร์และฮาร์ดแวร์
จากการเป็นสมาชิกของJoint Cyber Defense Collaborative (JCDC)ซึ่งก่อตั้งโดย CISA ในปี 2021ฟอร์ติเน็ตทำงานร่วมกับหน่วยงานทั้งภาครัฐและเอกชนในการรวบรวม วิเคราะห์ และแบ่งปันข้อมูลที่เป็นประโยชน์ในการปกป้องและป้องกันภัยคุกคามในเชิงรุกมากขึ้น
ในฐานะสมาชิกผู้ก่อตั้งCyber Threat Alliance (CTA)ฟอร์ติเน็ตแบ่งปันข่าวกรองด้านภัยคุกคามอย่างทันท่วงทีกับผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์รายอื่นๆ เพื่อให้สามารถปกป้องลูกค้าจากผู้คุกคามได้ดียิ่งขึ้น
จากการทำงานร่วมกับผู้นำระดับโลกในฐานะสมาชิกผู้ก่อตั้งของศูนย์ความมั่นคงปลอดภัยไซเบอร์ (C4C) ของWorld Economic Forumฟอร์ติเน็ตส่งเสริมการแบ่งปันข่าวกรองภายในอุตสาหกรรมเพื่อลดการโจมตีทางไซเบอร์ในระดับโลกและขัดขวางอาชญากรรมทางไซเบอร์

“เราได้เรียนรู้จากหลายภาคส่วนหลายต่อหลายครั้งด้วยกันว่าความโปร่งใสให้ผลลัพธ์ที่ดีทั้งกับสังคมและผู้บริโภคซึ่งไม่ต่างอะไรกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์ที่ความโปร่งใสหมายรวมถึงเรื่องการค้นหาบรรเทาและเปิดเผยช่องโหว่ด้านความปลอดภัยในวงกว้างอย่างรับผิดชอบฟอร์ติเน็ตได้ตอบรับความโปร่งใสด้วยความรับผิดชอบโดยสร้างหลักการที่ชัดเจนในการจัดการเรื่องการสื่อสารและการวิเคราะห์ช่องโหว่ด้านความปลอดภัย ความเป็นผู้นำของบริษัทในเรื่องดังกล่าว นับเป็นตัวอย่างที่ดีที่แสดงให้เห็นว่าผู้ประกอบการด้านไซเบอร์ซีเคียวริตี้ควรสื่อสารอย่างไรกับลูกค้าและสาธารณชนในวงกว้าง”ไมเคิล แดเนียลส์ ประธานและประธานเจ้าหน้าที่บริหารCyber Threat Alliance (CTA)กล่าว

“การทุ่มเทกับแนวทางการพัฒนาผลิตภัณฑ์แบบ Secure-by-Design คือรากฐานสำคัญของความมั่นคงปลอดภัยที่แข็งแกร่ง เราเห็นผู้ประกอบการรายใหญ่อย่างฟอร์ติเน็ตนำร่องด้วยการดำเนินการตามและประยุกต์ใช้หลักการเหล่านี้ในทั่วโลก นอกจากนี้ ยังมีการนำหลักการเหล่านี้ไปใช้เป็นแนวทางในกรอบการทำงาน Essential Eight ของประเทศออสเตรเลีย ซึ่งนับเป็นก้าวสำคัญในการเดินหน้ายกระดับความมั่นคงปลอดภัยร่วมกัน” ปีเตอร์ เจนนิ่ง ผู้อำนวยการฝ่ายวิเคราะห์เชิงกลยุทธ์ของออสเตรเลียและสมาชิกของคณะที่ปรึกษากลยุทธ์ของฟอร์ติเน็ตกล่าว

“การระบุและประเมินความเสี่ยง คือสององค์ประกอบที่สำคัญที่สุดในการบริหารจัดการความเสี่ยงไม่ว่าคุณจะอยู่ในสนามรบหรือกำลังปกป้องสภาพแวดล้อมด้านไอทีก็ตามแนวทางที่โปร่งใสของฟอร์ติเน็ตในการเปิดเผยช่องโหว่รวมถึงการแบ่งปันข่าวกรองด้านภัยคุกคามคือสิ่งที่อุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ควรนำมาเป็นแบบอย่างในวงกว้าง”นาวาอากาศเอกริชาร์ดเชอรีฟฟ์นายทหารเกษียณของนาโต้กล่าว

“ในสภาพแวดล้อมที่มีการเปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน การเพิ่มความโปร่งใสคือสิ่งสำคัญยิ่งในการช่วยให้ทุกองค์กรมีความปลอดภัยมากขึ้น นับเป็นเรื่องน่ายินดีที่ได้เห็นฟอร์ติเน็ตยืนหยัดอยู่แถวหน้าในการตอบรับเรื่องความโปร่งใสอย่างตรงไปตรงมาในการเดินหน้าแบ่งปันข้อมูลเกี่ยวกับช่องโหว่ความปลอดภัยและข้อมูลภัยคุกคาม”ซูซานน์ สพอลดิง, อดีตรองอธิบดี กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐกล่าว

“การร่วมมือระหว่างหน่วยงานภาครัฐ และภาคเอกชนคือสิ่งสำคัญและจะยังคงเดินหน้าอย่างต่อเนื่องเพื่อให้มีแต้มต่อนำหน้าภัยคุกคามทางไซเบอร์ในฐานะสมาชิกคณะกรรมการบริษัทของฟอร์ติเน็ตผมเห็นด้วยและชื่นชมวิธีการที่ผู้นำด้านไซเบอร์ทำงานร่วมกับหน่วยงานภาครัฐและเอกชนในการแบ่งปันข่าวกรองด้านภัยคุกคามอย่างโปร่งใส อีกทั้งสนับสนุนความมุ่งมั่นในการรักษาความมั่นคงปลอดภัยของชาติ”พลเรือเอกเจมส์ สตาวริดิส อดีตนายพลนาวิกโยธิน 4 ดาว และผู้บัญชาการทหารสูงสุดของนาโต้กล่าว

สำหรับข้อมูลเพิ่มเติม

รับทราบเพิ่มเติมเกี่ยวกับความมุ่งมั่นของฟอร์ติเน็ตในด้านความปลอดภัยและความสมบูรณ์ของผลิตภัณฑ์รวมถึงบล็อกโพสต์ล่าสุดนี้เกี่ยวกับความมุ่งมั่นอันยาวนานในการพัฒนาผลิตภัณฑ์อย่างมีความรับผิดชอบ และแนวทางการเปิดเผยช่องโหว่
เยี่ยมชม com/trustเพื่อรับทราบข้อมูลเพิ่มเติมเกี่ยวกับนวัตกรรมของฟอร์ติเน็ต พันธมิตรด้านการร่วมมือ กระบวนการรักษาความปลอดภัยผลิตภัณฑ์ และผลิตภัณฑ์ระดับองค์กรที่มีส่วนช่วยให้บริการความปลอดภัยไซเบอร์ที่พิสูจน์แล้วได้ทุกที่ที่คุณต้องการ
รับรู้เกี่ยวกับการฝึกอบรมด้านความมั่นคงปลอดภัยโดยไม่คิดค่าใช้จ่ายของฟอร์ติเน็ตซึ่งรวมถึงการฝึกอบรมในด้านความคิดรอบคอบเกี่ยวกับไซเบอร์และการฝึกอบรมในผลิตภัณฑ์ เป็นส่วนหนึ่งของบรรดางานการฝึกอบรมของ Fortinet Training Advancement Agenda (TAA) สถาบันการฝึกอบรมของ Fortinet ยังให้บริการการฝึกอบรมและรับรองความรู้ผ่านการรับรองของ Network Security Expert (NSE)พร้อมทั้งโปรแกรม Academic Partnerและ Education Outreachด้วย

ติดตามฟอร์ติเน็ตได้ทาง Twitter LinkedIn FacebookและInstagram สมัครรับข้อมูลจากฟอร์ติเน็ตผ่านทางblogและYouTube ของเรา

ใส่ความเห็น ยกเลิกการตอบ

Related News