ฟอร์ติเน็ต ยืนยันพัฒนาผลิตภัณฑ์ตามพันธะสัญญาระดับโลก

“ฟอร์ติเน็ต ยืนยันพัฒนาผลิตภัณฑ์ตามพันธะสัญญาระดับโลก ตามหลักการ Secure by Design Principles และ Responsible Disclosure Processesใส่ใจความปลอดภัยของลูกค้าสูงสุด

ฟอร์ติเน็ต ประกาศถึงการสานต่อพันธกิจอันยาวนาน เรื่องการรับผิดชอบต่อความโปร่งใสอย่างตรงไปตรงมา (Radical Transparency) ในฐานะของผู้เซ็นสัญญาข้อตกลง Secure by Design Pledge รายแรกๆ ซึ่งเป็นข้อตกลงที่พัฒนาขึ้นโดยสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA)

คำมั่นสัญญาในระดับอุตสาหกรรมดังกล่าว พัฒนาและต่อยอดจากแนวปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยของซอฟต์แวร์ของฟอร์ติเน็ต ซึ่งรวมถึงแนวทางที่พัฒนาโดย CISA สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) หน่วยงานกลางของภาครัฐ ตลอดจนพันธมิตรในระดับสากลและอุตสาหกรรมต่างๆ โดยพันธสัญญาระบุถึงเป้าหมาย 7 ข้อ รวมถึงนโยบายการเปิดเผยข้อมูลช่องโหว่ซึ่งกลายเป็นส่วนสำคัญของการพัฒนาความปลอดภัยของผลิตภัณฑ์ของฟอร์ติเน็ต

จิม ริชเบิร์ก หัวหน้าฝ่าย Cyber Policy และ Global Field ฟอร์ติเน็ต เปิดเผยว่า “ฟอร์ติเน็ต มีพันธกิจที่ยาวนานในการเป็นแบบอย่างเรื่องการพัฒนาผลิตภัณฑ์และเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างมีจรรยาบรรณและรับผิดชอบ และด้วยความมุ่งมั่นดังกล่าว ฟอร์ติเน็ตจึงได้วางแนวทางในเชิงรุกเพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดทั้งในอุตสาหกรรมและในระดับสากล”

“พร้อมยึดมั่นในมาตรฐานความปลอดภัยสูงสุดครอบคลุมทุกแง่มุมธุรกิจ โดยเราชื่นชมในข้อเรียกร้องอย่างต่อเนื่องของ CISA เพื่อให้อุตสาหกรรมปฏิบัติตามแนวทางดังกล่าว และชื่นชมความตั้งใจของ CISA ในการทำงานร่วมกับฟอร์ติเน็ตเพื่อพัฒนาเป้าหมายสำคัญเหล่านี้ อีกทั้งเรายังมุ่งมั่นที่จะส่งเสริมผู้คนอื่นๆ ในชุมชนเทคโนโลยีอย่างเต็มที่ ให้ร่วมกันสนับสนุนความพยายามในการรักษาความปลอดภัยให้กับองค์กรต่างๆ”

เดินหน้าพันธกิจ Secure by Design Principles และ Responsible Disclosure Processes

แนวคิดริเริ่มล่าสุดของ CISA สอดคล้องกับกระบวนการพัฒนาผลิตภัณฑ์ของฟอร์ติเน็ตที่มีอยู่แล้วอย่างลงตัว ที่ยึดตามหลักการ Secure-by-Design และ Secure-by-Default อยู่แล้ว

โดยฟอร์ติเน็ตมุ่งมั่นในการยึดหลักการตรวจสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวดในทุกขั้นตอนของวงจรการพัฒนาผลิตภัณฑ์ ซึ่งช่วยให้มั่นใจได้ว่าทุกผลิตภัณฑ์มีการออกแบบเรื่องความปลอดภัยตั้งแต่แรกเริ่มตลอดจนสิ้นสุดการใช้งาน ด้วยแนวทางดังต่อไปนี้

• วงจรการพัฒนาผลิตภัณฑ์อย่างปลอดภัย (SPDLC) ฟอร์ติเน็ตปรับกระบวนการขององค์กรให้สอดคล้องกับมาตรฐานชั้นนำ รวมถึง NIST 800-53 NIST 800-161 NIST 800-218 US EO 14028 และพระราชบัญญัติความปลอดภัยในโทรคมนาคมของสหราชอาณาจักร (UK Telecom Security Act)
• การทดสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวด ฟอร์ติเน็ตใช้เครื่องมือและเทคนิค เช่น การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติก (SAST) และการวิเคราะห์องค์ประกอบซอฟต์แวร์ที่สร้างขึ้นในกระบวนการสร้าง การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) การสแกนช่องโหว่ และการทดสอบเพื่อหาข้อผิดพลาด (Fuzzing) ก่อนเปิดให้ใช้งานในแต่ละครั้ง รวมถึงการทดสอบการแทรกแซง (Penetration Testing) และการตรวจสอบรหัสแบบ Manual
• Trusted Supplier Program โปรแกรมช่วยสร้างความมั่นใจในคุณสมบัติและการคัดเลือกพันธมิตรผู้ผลิตรายหลักอย่างเข้มงวด ฟอร์ติเน็ตปฏิบัติตามมาตรฐาน NIST 800-161: แนวปฏิบัติการจัดการความเสี่ยงด้านความปลอดภัยของซัพพลายเชนสำหรับระบบและองค์กร ซึ่งฟอร์ติเน็ตให้ความมุ่งมั่นเรื่องความปลอดภัยและความเป็นส่วนตัวของข้อมูล โดยสอดแทรกอยู่ทุกภาคส่วนของธุรกิจ และในทุกขั้นตอนของกระบวนการพัฒนาผลิตภัณฑ์ การผลิต และการส่งมอบ
• โปรแกรมความปลอดภัยของข้อมูล โปรแกรมความปลอดภัยของข้อมูลของฟอร์ติเน็ต อยู่บนพื้นฐานที่สอดคล้องตามมาตรฐานและกรอบการป้องกันความปลอดภัยชั้นนำในอุตสาหกรรม รวมถึง ISO 27001/2 ISO 27017 และ 27018 และ NIST 800-53 รวมถึงข้อบังคับเกี่ยวกับความเป็นส่วนตัวของข้อมูล เช่น GDPR และ CCPA
• การรับรองจากบุคคลที่สาม (Third-party) ผลิตภัณฑ์ของฟอร์ติเน็ตได้รับการรับรองตามมาตรฐานเป็นหลักและผ่านการตรวจสอบมาตรฐานคุณภาพผลิตภัณฑ์จากหน่วยงานนอก ไม่ว่าจะเป็น NIST FIPS 140-2 และ NIAP Common Criteria NDcPP / EAL4+

นอกจากนี้ ทีมตอบสนองเหตุการณ์ความปลอดภัยผลิตภัณฑ์ของฟอร์ติเน็ต (PSIRT – Fortinet Product Security Incident Response Team) จะเป็นผู้ดูแลในการรักษามาตรฐานความปลอดภัยสำหรับผลิตภัณฑ์ของฟอร์ติเน็ต และดำเนินการด้าน PSIRT ซึ่งเป็นหนึ่งในโปรแกรมที่แข็งแกร่งที่สุดในอุตสาหกรรม

รวมถึงการเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างโปร่งใสในเชิงรุก โดยเกือบ 80% ของช่องโหว่ของฟอร์ติเน็ตที่ถูกพบในปี 2023 เป็นการระบุจากภายในองค์กรผ่านกระบวนการตรวจสอบที่เข้มงวดของบริษัท

การดำเนินการเชิงรุกนี้ทำให้สามารถพัฒนาและแก้ไขปัญหาได้ก่อนที่จะเกิดการใช้ประโยชน์ในทางที่ผิด ทั้งนี้ฟอร์ติเน็ตมีการทำงานร่วมกับลูกค้า นักวิจัยด้านความปลอดภัยอิสระ ที่ปรึกษา องค์กรในอุตสาหกรรม และผู้ให้บริการรายอื่นๆ ในการปฏิบัติภารกิจ PSIRT ขององค์กรให้สำเร็จ

เพื่อผลักดันความทุ่มเทที่มีต่อวัฒนธรรมด้านความโปร่งใสที่ตรงไปตรงมาด้วยความรับผิดชอบ ฟอร์ติเน็ตมีพันธกิจที่ยาวนานในการสร้างพันธมิตรทั้งภาครัฐและเอกชนที่สอดคล้องกับพันธกิจของบริษัท ซึ่งรวมถึง

• ในการเป็นสมาชิกผู้ก่อตั้งของ Network Resilience Coalition ฟอร์ติเน็ตช่วยนำเสนอโซลูชันที่ให้ผลลัพธ์จริง ในการปกป้องเครือข่ายและข้อมูลที่ละเอียดอ่อน รวมถึงแก้ปัญหาเพื่อตอบโจทย์เรื่องการไม่อัปเดตและไม่มีการลงแพทช์ทั้งในส่วนของซอฟต์แวร์และฮาร์ดแวร์
• จากการเป็นสมาชิกของ Joint Cyber Defense Collaborative (JCDC) ซึ่งก่อตั้งโดย CISA ในปี 2021 ฟอร์ติเน็ตทำงานร่วมกับหน่วยงานทั้งภาครัฐและเอกชนในการรวบรวม วิเคราะห์ และแบ่งปันข้อมูลที่เป็นประโยชน์ในการปกป้องและป้องกันภัยคุกคามในเชิงรุกมากขึ้น
• ในฐานะสมาชิกผู้ก่อตั้ง Cyber Threat Alliance (CTA) ฟอร์ติเน็ตแบ่งปันข่าวกรองด้านภัยคุกคามอย่างทันท่วงทีกับผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์รายอื่นๆ เพื่อให้สามารถปกป้องลูกค้าจากผู้คุกคามได้ดียิ่งขึ้น
• จากการทำงานร่วมกับผู้นำระดับโลกในฐานะสมาชิกผู้ก่อตั้งของศูนย์ความมั่นคงปลอดภัยไซเบอร์ (C4C) ของ World Economic Forum ฟอร์ติเน็ตส่งเสริมการแบ่งปันข่าวกรองภายในอุตสาหกรรมเพื่อลดการโจมตีทางไซเบอร์ในระดับโลกและขัดขวางอาชญากรรมทางไซเบอร์