Fortinet bekräftigt sein Engagement für höchste Sicherheit für Organisationen und Unternehmen

Auf der RSA 2024-Jahreskonferenz zu Cybersicherheit, Sicherheitstechnologie und Datenschutz, die kürzlich in den USA stattfand, bekräftigte Fortinet sein Engagement, eine transparente und verantwortungsvolle Sicherheitseinheit zu werden, indem es als Vorreiter eine Verpflichtung zur Einhaltung der von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) entwickelten „Security by Design“-Vorschriften unterzeichnete.

Diese freiwillige Verpflichtung gegenüber der Sicherheitsbranche basiert auf den bestehenden Best Practices von Fortinet für Softwaresicherheit sowie auf den von CISA, dem National Institute of Standards and Technology (NIST), anderen US-Bundesbehörden sowie Partnern aus der Industrie und anderen Ländern entwickelten Verfahren. Die Verpflichtung legt Ziele fest, darunter Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen, die bereits fester Bestandteil des Produktsicherheitsentwicklungsprozesses von Fortinet sind.

Die neueste Initiative der CISA orientiert sich an den bestehenden Produktentwicklungsprozessen von Fortinet, die auf den Prinzipien „Security by Design“ und „Security by Default“ basieren. Fortinet verpflichtet sich zu einer strengen Überwachung der Produktsicherheit in allen Phasen der Produktentwicklung und trägt dazu bei, dass Sicherheit von Anfang bis Ende in jedes Produkt integriert wird. Dies geschieht auf folgende Weise:

Secure Product Development Lifecycle (SPDLC): Fortinet richtet seine Prozesse an führenden Standards aus, darunter NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 und dem UK Telecommunications Security Act.

Strenge Sicherheitstests für Produkte: Fortinet nutzt Tools und Techniken wie statische Anwendungssicherheitstests (SAST) und Softwarezusammensetzungsanalyse, die in den Build-Prozess integriert sind, dynamische Anwendungssicherheitstests (DAST), Schwachstellenscans und Fuzzing vor jeder Veröffentlichung sowie Penetrationstests und manuelle Codeüberprüfung.

Vertrauenswürdige Lieferanten: Um eine sorgfältige Auswahl und präzise Qualifizierung wichtiger Fertigungspartner zu gewährleisten, hält sich Fortinet an NIST 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. Fortinets Engagement für Datenschutz und -sicherheit zeigt sich in allen Aspekten der Geschäftstätigkeit des Unternehmens und in jeder Phase der Produktentwicklung, -herstellung und -verteilung.

Informationssicherheitsprogramm: Das Informationssicherheitsprogramm von Fortinet wurde entwickelt und entspricht branchenführenden Sicherheitsstandards und -rahmen, darunter ISO 27001/2, ISO 27017 und 27018 sowie NIST 800-53, sowie Datenschutzbestimmungen wie DSGVO und CCPA.

Zertifizierungen durch Dritte: Fortinet-Produkte werden routinemäßig anhand von Produktqualitätsstandards Dritter zertifiziert und validiert, darunter NIST FIPS 140-2 und NIAP Common Criteria NDcPP/EAL4+.

Darüber hinaus ist das Product Security Incident Response Team (PSIRT) von Fortinet für die Einhaltung der Sicherheitsstandards für Fortinet-Produkte verantwortlich und betreibt eines der robustesten PSIRT-Programme der Branche, einschließlich der proaktiven und transparenten Offenlegung von Schwachstellen. Fast 80 % der im Jahr 2023 entdeckten Schwachstellen von Fortinet wurden durch den strengen internen Testprozess des Unternehmens identifiziert. Dieser proaktive Ansatz ermöglicht es Fortinet, Fixes zu entwickeln und bereitzustellen, bevor es zu böswilliger Ausnutzung kommen kann. Fortinet arbeitet außerdem eng mit Kunden, unabhängigen Sicherheitsforschern, Beratern, Branchenorganisationen und anderen Anbietern zusammen, um erstklassige Reaktionsmöglichkeiten auf Sicherheitsvorfälle zu gewährleisten.

Um unser Engagement für eine Kultur radikaler Transparenz und geschäftlicher Verantwortung weiter zu stärken, pflegt Fortinet langfristige Partnerschaften mit öffentlichen und privaten Partnern, die mit unserer Mission übereinstimmen.

Phan Minh