June 13, 2024

ฟอร์ติเน็ต ย้ำคำมั่น พัฒนาผลิตภัณฑ์ปลอดภัยทุกกระบวนการ พร้อมนโยบายเปิดเผยช่องโหว่อย่างรับผิดชอบ

นฐานะหนึ่งในผู้ประกอบการด้านไซเบอร์ซีเคียวริตี้รายแรก ที่ลงนามในข้อตกลง Secure by Design ของ CISA ฟอร์ติเน็ตสานต่อคำมั่นด้วยการทุ่มเทอย่างจริงจังเรื่องวัฒนธรรมด้านความโปร่งใสอย่างรับผิดชอบ โดยใส่ใจความปลอดภัยของลูกค้าสูงสุด

จิม ริชเบิร์ก หัวหน้าฝ่าย Cyber Policy และ Global Field ฟอร์ติเน็ต เปิดเผยว่า “ฟอร์ติเน็ต มีพันธกิจที่ยาวนานในการเป็นแบบอย่างเรื่องการพัฒนาผลิตภัณฑ์และเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างมีจรรยาบรรณและรับผิดชอบ และด้วยความมุ่งมั่นดังกล่าว ฟอร์ติเน็ตจึงได้วางแนวทางในเชิงรุกเพื่อให้สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดทั้งในอุตสาหกรรมและในระดับสากล พร้อมยึดมั่นในมาตรฐานความปลอดภัยสูงสุดครอบคลุมทุกแง่มุมธุรกิจ โดยเราชื่นชมในข้อเรียกร้องอย่างต่อเนื่องของ CISA เพื่อให้อุตสาหกรรมปฏิบัติตามแนวทางดังกล่าว และชื่นชมความตั้งใจของ CISA ในการทำงานร่วมกับฟอร์ติเน็ตเพื่อพัฒนาเป้าหมายสำคัญเหล่านี้ อีกทั้งเรายังมุ่งมั่นที่จะส่งเสริมผู้คนอื่นๆ ในชุมชนเทคโนโลยีอย่างเต็มที่ ให้ร่วมกันสนับสนุนความพยายามในการรักษาความปลอดภัยให้กับองค์กรต่างๆ”

ฟอร์ติเน็ต ผู้นำด้านความปลอดภัยทางไซเบอร์ระดับโลกที่ขับเคลื่อนการผสานรวมของระบบเน็ตเวิร์กกิ้งและซีเคียวริตี้  ประกาศถึงการสานต่อพันธกิจอันยาวนาน เรื่องการรับผิดชอบต่อความโปร่งใสอย่างตรงไปตรงมา (Radical Transparency) ในฐานะของผู้เซ็นสัญญาข้อตกลง Secure by Design Pledge รายแรกๆ ซึ่งเป็นข้อตกลงที่พัฒนาขึ้นโดยสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) คำมั่นสัญญาในระดับอุตสาหกรรมดังกล่าวพัฒนาและต่อยอดจากแนวปฏิบัติที่ดีที่สุดด้านความมั่นคงปลอดภัยของซอฟต์แวร์ของฟอร์ติเน็ต ซึ่งรวมถึงแนวทางที่พัฒนาโดย CISA สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) หน่วยงานกลางของภาครัฐ ตลอดจนพันธมิตรในระดับสากลและอุตสาหกรรมต่างๆ โดยพันธสัญญาระบุถึงเป้าหมาย 7 ข้อ รวมถึงนโยบายการเปิดเผยข้อมูลช่องโหว่ซึ่งกลายเป็นส่วนสำคัญของการพัฒนาความปลอดภัยของผลิตภัณฑ์ของฟอร์ติเน็ต

เดินหน้าพันธกิจของฟอร์ติเน็ต ตามหลักการการออกแบบระบบที่มั่นคงปลอดภัย (Secure by Design Principles) และกระบวนการเปิดเผยอย่างรับผิดชอบ (Responsible Disclosure Processes)

แนวคิดริเริ่มล่าสุดของ CISA สอดคล้องกับกระบวนการพัฒนาผลิตภัณฑ์ของฟอร์ติเน็ตที่มีอยู่แล้วอย่างลงตัว ที่ยึดตามหลักการ Secure-by-Design และ Secure-by-Default อยู่แล้ว โดยฟอร์ติเน็ตมุ่งมั่นในการยึดหลักการตรวจสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวดในทุกขั้นตอนของวงจรการพัฒนาผลิตภัณฑ์ ซึ่งช่วยให้มั่นใจได้ว่าทุกผลิตภัณฑ์มีการออกแบบเรื่องความปลอดภัยตั้งแต่แรกเริ่มตลอดจนสิ้นสุดการใช้งาน ด้วยแนวทางดังต่อไปนี้

·  วงจรการพัฒนาผลิตภัณฑ์อย่างปลอดภัย (SPDLC) ฟอร์ติเน็ตปรับกระบวนการขององค์กรให้สอดคล้องกับมาตรฐานชั้นนำ รวมถึง NIST 800-53 NIST 800-161 NIST 800-218 US EO 14028 และพระราชบัญญัติความปลอดภัยในโทรคมนาคมของสหราชอาณาจักร (UK Telecom Security Act)

· การทดสอบความปลอดภัยของผลิตภัณฑ์อย่างเข้มงวด ฟอร์ติเน็ตใช้เครื่องมือและเทคนิค เช่น การทดสอบความปลอดภัยของแอปพลิเคชันแบบสแตติก (SAST) และการวิเคราะห์องค์ประกอบซอฟต์แวร์ที่สร้างขึ้นในกระบวนการสร้าง การทดสอบความปลอดภัยของแอปพลิเคชันแบบไดนามิก (DAST) การสแกนช่องโหว่ และการทดสอบเพื่อหาข้อผิดพลาด (Fuzzing) ก่อนเปิดให้ใช้งานในแต่ละครั้ง รวมถึงการทดสอบการแทรกแซง (Penetration Testing) และการตรวจสอบรหัสแบบ Manual

· Trusted Supplier Program โปรแกรมช่วยสร้างความมั่นใจในคุณสมบัติและการคัดเลือกพันธมิตรผู้ผลิตรายหลักอย่างเข้มงวด ฟอร์ติเน็ตปฏิบัติตามมาตรฐาน NIST 800-161: แนวปฏิบัติการจัดการความเสี่ยงด้านความปลอดภัยของซัพพลายเชนสำหรับระบบและองค์กร ซึ่งฟอร์ติเน็ตให้ความมุ่งมั่นเรื่องความปลอดภัยและความเป็นส่วนตัวของข้อมูล โดยสอดแทรกอยู่ทุกภาคส่วนของธุรกิจ และในทุกขั้นตอนของกระบวนการพัฒนาผลิตภัณฑ์ การผลิต และการส่งมอบ

· โปรแกรมความปลอดภัยของข้อมูล โปรแกรมความปลอดภัยของข้อมูลของฟอร์ติเน็ต อยู่บนพื้นฐานที่สอดคล้องตามมาตรฐานและกรอบการป้องกันความปลอดภัยชั้นนำในอุตสาหกรรม รวมถึง ISO 27001/2 ISO 27017 และ 27018 และ NIST 800-53 รวมถึงข้อบังคับเกี่ยวกับความเป็นส่วนตัวของข้อมูล เช่น GDPR และ CCPA

· การรับรองจากบุคคลที่สาม (Third-party) ผลิตภัณฑ์ของฟอร์ติเน็ตได้รับการรับรองตามมาตรฐานเป็นหลักและผ่านการตรวจสอบมาตรฐานคุณภาพผลิตภัณฑ์จากหน่วยงานนอก ไม่ว่าจะเป็น NIST FIPS 140-2 และ NIAP Common Criteria NDcPP / EAL4+

นอกจากนี้ ทีมตอบสนองเหตุการณ์ความปลอดภัยผลิตภัณฑ์ของฟอร์ติเน็ต (PSIRT – Fortinet Product Security Incident Response Team) จะเป็นผู้ดูแลในการรักษามาตรฐานความปลอดภัยสำหรับผลิตภัณฑ์ของฟอร์ติเน็ต และดำเนินการด้าน PSIRT ซึ่งเป็นหนึ่งในโปรแกรมที่แข็งแกร่งที่สุดในอุตสาหกรรม รวมถึงการเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างโปร่งใสในเชิงรุก โดยเกือบ 80% ของช่องโหว่ของฟอร์ติเน็ตที่ถูกพบในปี 2023 เป็นการระบุจากภายในองค์กรผ่านกระบวนการตรวจสอบที่เข้มงวดของบริษัท  การดำเนินการเชิงรุกนี้ทำให้สามารถพัฒนาและแก้ไขปัญหาได้ก่อนที่จะเกิดการใช้ประโยชน์ในทางที่ผิด  ทั้งนี้ฟอร์ติเน็ตมีการทำงานร่วมกับลูกค้า นักวิจัยด้านความปลอดภัยอิสระ ที่ปรึกษา องค์กรในอุตสาหกรรม และผู้ให้บริการรายอื่นๆ ในการปฏิบัติภารกิจ PSIRT ขององค์กรให้สำเร็จ

เพื่อผลักดันความทุ่มเทที่มีต่อวัฒนธรรมด้านความโปร่งใสที่ตรงไปตรงมาด้วยความรับผิดชอบ ฟอร์ติเน็ตมีพันธกิจที่ยาวนานในการสร้างพันธมิตรทั้งภาครัฐและเอกชนที่สอดคล้องกับพันธกิจของบริษัท ซึ่งรวมถึง

· ในการเป็นสมาชิกผู้ก่อตั้งของ Network Resilience Coalition ฟอร์ติเน็ตช่วยนำเสนอโซลูชันที่ให้ผลลัพธ์จริง ในการปกป้องเครือข่ายและข้อมูลที่ละเอียดอ่อน รวมถึงแก้ปัญหาเพื่อตอบโจทย์เรื่องการไม่อัปเดตและไม่มีการลงแพทช์ทั้งในส่วนของซอฟต์แวร์และฮาร์ดแวร์

· จากการเป็นสมาชิกของ Joint Cyber Defense Collaborative (JCDC) ซึ่งก่อตั้งโดย CISA ในปี 2021 ฟอร์ติเน็ตทำงานร่วมกับหน่วยงานทั้งภาครัฐและเอกชนในการรวบรวม วิเคราะห์ และแบ่งปันข้อมูลที่เป็นประโยชน์ในการปกป้องและป้องกันภัยคุกคามในเชิงรุกมากขึ้น

· ในฐานะสมาชิกผู้ก่อตั้ง Cyber Threat Alliance (CTA) ฟอร์ติเน็ตแบ่งปันข่าวกรองด้านภัยคุกคามอย่างทันท่วงทีกับผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์รายอื่นๆ เพื่อให้สามารถปกป้องลูกค้าจากผู้คุกคามได้ดียิ่งขึ้น

· จากการทำงานร่วมกับผู้นำระดับโลกในฐานะสมาชิกผู้ก่อตั้งของศูนย์ความมั่นคงปลอดภัยไซเบอร์ (C4C) ของ World Economic Forum ฟอร์ติเน็ตส่งเสริมการแบ่งปันข่าวกรองภายในอุตสาหกรรมเพื่อลดการโจมตีทางไซเบอร์ในระดับโลกและขัดขวางอาชญากรรมทางไซเบอร์

“เราได้เรียนรู้จากหลายภาคส่วนหลายต่อหลายครั้งด้วยกันว่า ความโปร่งใสให้ผลลัพธ์ที่ดีทั้งกับสังคมและผู้บริโภค ซึ่งไม่ต่างอะไรกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์ ที่ความโปร่งใส หมายรวมถึงเรื่องการค้นหา บรรเทา และเปิดเผยช่องโหว่ด้านความปลอดภัยในวงกว้างอย่างรับผิดชอบ ฟอร์ติเน็ตได้ตอบรับความโปร่งใสด้วยความรับผิดชอบ โดยสร้างหลักการที่ชัดเจนในการจัดการเรื่องการสื่อสารและการวิเคราะห์ช่องโหว่ด้านความปลอดภัย ความเป็นผู้นำของบริษัทในเรื่องดังกล่าว นับเป็นตัวอย่างที่ดีที่แสดงให้เห็นว่าผู้ประกอบการด้านไซเบอร์ซีเคียวริตี้ควรสื่อสารอย่างไรกับลูกค้าและสาธารณชนในวงกว้าง” ไมเคิล แดเนียลส์ ประธานและประธานเจ้าหน้าที่บริหาร Cyber Threat Alliance (CTA) กล่าว

“การทุ่มเทกับแนวทางการพัฒนาผลิตภัณฑ์แบบ Secure-by-Design คือรากฐานสำคัญของความมั่นคงปลอดภัยที่แข็งแกร่ง เราเห็นผู้ประกอบการรายใหญ่อย่างฟอร์ติเน็ตนำร่องด้วยการดำเนินการตามและประยุกต์ใช้หลักการเหล่านี้ในทั่วโลก นอกจากนี้ ยังมีการนำหลักการเหล่านี้ไปใช้เป็นแนวทางในกรอบการทำงาน Essential Eight ของประเทศออสเตรเลีย ซึ่งนับเป็นก้าวสำคัญในการเดินหน้ายกระดับความมั่นคงปลอดภัยร่วมกันปีเตอร์ เจนนิ่ง ผู้อำนวยการฝ่ายวิเคราะห์เชิงกลยุทธ์ของออสเตรเลีย และสมาชิกของคณะที่ปรึกษากลยุทธ์ของฟอร์ติเน็ตกล่าว

“การระบุและประเมินความเสี่ยง คือสององค์ประกอบที่สำคัญที่สุดในการบริหารจัดการความเสี่ยง ไม่ว่าคุณจะอยู่ในสนามรบหรือกำลังปกป้องสภาพแวดล้อมด้านไอทีก็ตาม แนวทางที่โปร่งใสของฟอร์ติเน็ตในการเปิดเผยช่องโหว่ รวมถึงการแบ่งปันข่าวกรองด้านภัยคุกคาม คือสิ่งที่อุตสาหกรรมความมั่นคงปลอดภัยไซเบอร์ควรนำมาเป็นแบบอย่างในวงกว้าง” นาวาอากาศเอก ริชาร์ด เชอรีฟฟ์ นายทหารเกษียณของนาโต้ กล่าว

“ในสภาพแวดล้อมที่มีการเปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน การเพิ่มความโปร่งใสคือสิ่งสำคัญยิ่งในการช่วยให้ทุกองค์กรมีความปลอดภัยมากขึ้น นับเป็นเรื่องน่ายินดีที่ได้เห็นฟอร์ติเน็ตยืนหยัดอยู่แถวหน้าในการตอบรับเรื่องความโปร่งใสอย่างตรงไปตรงมา ในการเดินหน้าแบ่งปันข้อมูลเกี่ยวกับช่องโหว่ความปลอดภัยและข้อมูลภัยคุกคาม” ซูซานน์ สพอลดิง, อดีตรองอธิบดี กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ กล่าว

“การร่วมมือระหว่างหน่วยงานภาครัฐ และภาคเอกชนคือสิ่งสำคัญและจะยังคงเดินหน้าอย่างต่อเนื่องเพื่อให้มีแต้มต่อนำหน้าภัยคุกคามทางไซเบอร์ ในฐานะสมาชิกคณะกรรมการบริษัทของฟอร์ติเน็ต ผมเห็นด้วยและชื่นชมวิธีการที่ผู้นำด้านไซเบอร์ทำงานร่วมกับหน่วยงานภาครัฐและเอกชนในการแบ่งปันข่าวกรองด้านภัยคุกคามอย่างโปร่งใส อีกทั้งสนับสนุนความมุ่งมั่นในการรักษาความมั่นคงปลอดภัยของชาติ” พลเรือเอกเจมส์ สตาวริดิส อดีตนายพลนาวิกโยธิน 4 ดาว และผู้บัญชาการทหารสูงสุดของนาโต้ กล่าว

You may have missed