פורטינט מחזקת את מחויבותה לתהליכי פיתוח מאובטחים של מוצרים ולמדיניות חשיפת פגיעויות אחראית
בשנת 2023, כמעט 80% מהפגיעויות של פורטינט זוהו באופן פנימי באמצעות תהליך הביקורת הקפדני של החברה
פורטינט® מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, חתמה על ההתחייבות Secure by Design אשר פותחה על ידי הסוכנות לאבטחת סייבר ותשתיות (CISA), מה שמחזק את מחויבותה ארוכת השנים של החברה לשקיפות יסודית ואחראית. פורטינט הייתה אחת החברות הראשונות שחתמה על התחייבות התנדבותית זו לתעשייה, אשר משלימה ומתבססת על שיטות העבודה המומלצות לאבטחת תוכנה הקיימות של פורטינט, כולל אלו אשר פותחו על ידי CISA, NIST, סוכנויות פדרליות אחרות, שותפים בינלאומיים ושותפים בתעשייה. ההתחייבות מפרטת שבעה יעדים, כולל מדיניות אחראית לחשיפת פגיעויות, שהינם כבר חלק בלתי נפרד מפיתוח המוצרים המאובטח של פורטינט.
קידום המחויבות לעקרונות Secure by Design ותהליכי גילוי אחראיים
היוזמה האחרונה של CISA תואמת את תהליכי פיתוח המוצרים הקיימים של פורטינט שכבר מבוססים על עקרונות Secure by Design ו-Secure by Default. פורטינט מחויבת להקפיד על בדיקות אבטחת מוצר קפדניות בכל שלבי מחזור חיי פיתוח המוצר, מה שמסייע להבטיח כי האבטחה מתוכננת כחלק מכל מוצר מתחילתו ועד סוף חייו באמצעות מחזור חיי פיתוח מוצר מאובטח (SPDLC), כאשר פורטינט משתמשת בתקנים מובילים בכל שלבי פיתוח המוצרים; בדיקות אבטחת מוצר חזקות באמצעות שימוש בכלים וטכניקות כמו בדיקות אבטחת יישומים סטטיות (SAST) וניתוח הרכב תוכנה המובנים בתהליכי הבנייה שלה, בדיקות אבטחת יישומים דינמיות (DAST), סריקת פגיעויות ועוד.
כמו כן, פורטינט מיישמת את תוכנית היצרנים המהימנים כדי להבטיח בחירה והסמכה קפדניות של שותפי הייצור העיקריים שלה. פורטינט פועלת בהתאם לתקן NIST 800-161 לניהול סיכוני שרשרת אספקה עבור מערכות וארגונים. מחויבותה של פורטינט לפרטיות ואבטחת נתונים מוטמעת בכל חלק של עסקי החברה ובכל שלב בתהליכי הפיתוח, הייצור ומשלוח המוצרים. בנוסף, תוכנית אבטחת המידע של פורטינט מבוססת ותואמת לתקנים ולמסגרות אבטחה מובילים בתעשייה ולרגולציות פרטיות נתונים כמו GDPR ו-CCPA; ומוצרי פורטינט מקבלים הסמכות באופן קבוע לתקנים ומאומתים באמצעות תקני איכות מוצר של צד שלישי.
צוות התגובה לאירועי אבטחת מוצרים (PSIRT) של פורטינט אחראי לשמור על תקני האבטחה של מוצרי החברה ומפעיל את אחת מתוכניות ה-PSIRT הקפדניות ביותר בתעשייה, כולל חשיפה יזומה ושקופה של פגיעויות. כמעט 80% מהפגיעויות של פורטינט שהתגלו בשנת 2023 זוהו באופן פנימי באמצעות תהליך הביקורת הקפדני של החברה. גישה יזומה זו מאפשרת לפתח וליישם תיקונים לפני שיתרחש ניצול זדוני. פורטינט עובדת עם לקוחותיה, חוקרי אבטחה עצמאיים, יועצים, ארגוני תעשייה וספקים אחרים כדי לבצע את משימת ה-PSIRT של החברה.
כדי לקדם עוד יותר את מחויבותה לתרבות של שקיפות יסודית ואחראית, לפורטינט מחויבות ארוכת שנים לשותפויות ציבוריות ופרטיות התואמות את משימתה, בין היתר, כחברה מייסדת של ה-Network Resilience Coalition, פורטינט מסייעת לספק פתרונות להגנה על רשתות ונתונים רגישים, כולל טיפול בבעיה של עדכוני תוכנה וחומרה ותיקונים שאינם מיושמים; במסגרת חברותה ב-Joint Cyber Defense Collaborative (JCDC), אשר הוקמה על ידי CISA בשנת 2021, פורטינט עובדת עם גופים ציבוריים ופרטיים כדי לאסוף, לנתח ולשתף מידע בר פעולה כדי להגן מפני איומי סייבר באופן יזום יותר.
כמו כן, כחברה מייסדת של ה-Cyber Threat Alliance (CTA), פורטינט חולקת מודיעין איומים עדכני עם מומחי אבטחת סייבר אחרים כדי להגן טוב יותר על הלקוחות מפני גורמים עוינים; וכחברה מייסדת של המרכז לאבטחת סייבר (C4C) של הפורום הכלכלי העולמי, פורטינט עובדת עם מנהיגים עולמיים ומסייעת לעודד שיתוף מודיעין ברחבי התעשייה כדי להפחית מתקפות סייבר גלובליות ולשבש את פשיעת הסייבר.
מייקל דניאלס, נשיא ומנכ"ל Cyber Threat Alliance (CTA), אמר כי, "שוב ושוב, על פני מגזרים רבים, למדנו כי שקיפות משפרת את התוצאות עבור הצרכנים והחברה. תעשיית אבטחת הסייבר אינה שונה. במגזר שלנו, השקיפות כוללת חיפוש, מניעה וגילוי פגיעויות באופן פתוח ואחראי. פורטינט כבר נקטה בצעדים לאימוץ שקיפות אחראית שכזו ויצרה מערכת עקרונות ברורה לטיפול בתקשורת וניתוח פגיעויות. ההובלה של החברה בתחום זה היא דוגמה חזקה לאופן שבו ספקי אבטחת סייבר צריכים לתקשר עם הלקוחות והציבור הרחב".
ג'ים ריצ'ברג, ראש מדיניות סייבר ו-CISO גלובלי בפורטינט, אמר כי, "בפורטינט יש לנו מחויבות ארוכת שנים לשמש כמודל לחיקוי בפיתוח מוצרים בצורה אתית ואחראית ובחשיפת פגיעויות. כחלק ממסירות זו, פורטינט מיישרת קו באופן יזום עם שיטות עבודה מומלצות בינלאומיות ותעשייתיות ועומדת בתקני האבטחה הגבוהים ביותר בכל היבט של העסק שלנו. אנו משבחים את קריאתה המתמשכת של CISA לתעשייה ללכת בעקבותיה ומעריכים את נכונותה לשתף פעולה עם פורטינט בפיתוח יעדים חשובים אלה. אנו מעודדים גורמים נוספים בקהילת הטכנולוגיה להצטרף למאמץ זה כדי לשמור על אבטחת הארגונים".
