Proactieve focus op productbeveiliging met ‘Secure by Design’

Interview met Alessandro Liotta, Regulatory Affairs Lead voor Fortinet EMEA.

Fortinet is een leider op het gebied van ‘Secure by Design’. Hoe wordt dit ingezet?

“Fortinet is een van de bedrijven die leidinggeven aan de samenwerking tussen de Amerikaanse overheid en het bedrijfsleven, en daar zijn we trots op. Ons doel is om vrijwillige doelstellingen en benaderingen te ontwikkelen. Dit doen we door ervoor te zorgen dat IT- en communicatieproducten standaard Secure by Design zijn, want hiermee vergroten we onze collectieve cyberweerbaarheid. Vorig jaar was Fortinet een van de eerste die de Secure by Design-pledge van CISA ondertekende, en sindsdien heeft ons bedrijf aanzienlijke vooruitgang geboekt bij de implementatie van de specifieke doelstellingen. Voorbeelden van deze vooruitgang zijn het elimineren van standaardwachtwoorden tijdens het installatieproces en het selectief implementeren van automatische updates voor producten die worden gebruikt door de klantgroepen die het minst geneigd zijn om patches toe te passen. En we maken ook de klasse van softwarekwetsbaarheden openbaar die verband houden met een Fortinet Common Vulnerabilities and Exposures-lijst.”

Wat maakt de aanpak van Fortinet uniek, als het gaat om transparantie en het openbaar maken van kwetsbaarheden?

“Vanwege Fortinet’s focus op productbeveiliging werd het merendeel van de in 2024 ontdekte kwetsbaarheden van Fortinet intern geïdentificeerd. Deze proactieve aanpak om potentiële kwetsbaarheden op te sporen en te vinden, stelt ons in staat om oplossingen te ontwikkelen en te implementeren voordat er kwaadwillige misbruik kan plaatsvinden. We werken ook nauw samen met onze klanten, onafhankelijke beveiligingsonderzoekers, consultants, brancheorganisaties en andere leveranciers om problemen te identificeren.”

“Snelle en open communicatie met onze klanten is essentieel om organisaties te beschermen en beveiligen. Alle opgeloste problemen, of ze nu intern of extern zijn ontdekt, worden op transparante en verantwoordelijke wijze gepubliceerd via kanalen zoals onze Monthly Vulnerability Advisory, die elke tweede dinsdag van de maand wordt gepubliceerd.”

“Het beleid van het Fortinet Product Security Incident Response Team (PSIRT) zorgt voor een goede balans; we kijken naar de veiligheid van onze klanten én werken samen met onderzoekers. Deze focus op ontwikkeling en openbaarmaking zorgt ervoor dat onze klanten weloverwogen, op risico’s gebaseerde beslissingen over hun veiligheid kunnen nemen. ”

Hoe gaat Fortinet om met geavanceerde technologieën zoals AI, ML en quantum computing?

“Fortinet loopt al jaren voorop op het gebied van geavanceerde technologieën zoals AI en machine learning. Door AI te integreren in onze Security Fabric, het platform van Fortinet dat bescherming biedt voor het aanvalsoppervlak van een organisatie, richten we ons op een geïntegreerde aanpak die gebruikmaakt van AI-gestuurde technologieën voor proactieve detectie van en reactie op bedreigingen. Onze oplossingen variëren van het beveiligen van IoT-apparaten tot het versterken van edge-omgevingen en het voorzien in de behoefte van gebruikers aan zowel geavanceerde innovatie als beveiliging.”

“Veel van onze concurrenten besteden hun beveiligingsinformatie uit aan verschillende leveranciers. Maar Fortinet’s FortiGuard Threat Intelligence is intern ontwikkeld, waardoor we AI overal consistent kunnen toepassen en inzetten. Om opkomende cyberdreigingen tegen te gaan, moeten organisaties ook quantumveilige encryptietechnieken toepassen die bestand zijn tegen de vooruitgang op het gebied van quantumcomputing. De overstap naar quantumveilige encryptie is een gezamenlijke activiteit. Het vereist input van onderzoekers, beleidsmakers en marktleiders.”

“Om de gegevensbeveiliging voor de toekomst te waarborgen, is een collectieve inzet voor innovatie, standaardisatie en de toepassing van quantumveilige encryptiepraktijken vereist. Wij dragen ons steentje bij om de weg te effenen voor een toekomst waarin gegevensbeveiliging de grenzen van klassieke computers overschrijdt. We zorgen ervoor dat we klaar zijn voor het nieuwe tijdperk met kwantumveilige communicatie en cryptografie. Hoewel de overgang naar kwantumveilige encryptie complex is, wegen de voordelen van het beveiligen van gevoelige gegevens ruimschoots op tegen de kosten.”

Wat zijn de strategische publiek-private partnerships van Fortinet en waarom zijn deze van cruciaal belang om wereldwijde cybercriminaliteit te bestrijden?

“Fortinet zet zich al lang in voor publiek-private partnerships met organisaties die zich richten op het stimuleren van het delen van inlichtingen en het versterken van landelijke cyberdefensie. Hiertoe behoren de Cyber Threat Alliance (CTA), Internationale Politieorganisatie (INTERPOL) en het World Economic Forum (WEF).”

“Publiek-private partnerships zijn meer dan alleen een verdediging tegen bedreigingen. Ze jagen de groei en volwassenheid van de cyberbeveiligingsindustrie aan. Samenwerking en vertrouwen zijn de basis. Samen stellen we hogere normen voor beveiligingspraktijken die onze collectieve cyberweerbaarheid verbeteren. Naarmate het dreigingslandschap steeds complexer wordt, moet de sector deze partnerships als essentieel beschouwen in plaats van als optioneel. De toekomst van onze sector hangt af van ons vermogen om samen te werken en te vertrouwen op onze collectieve expertise om organisaties en individuen over de hele wereld te beschermen.”

Wet- en regelgevingen ontwikkelen zich in alle sectoren, ook op het gebied van defensie. Hoe ondersteunt Fortinet compliance en innovatie?

“Naarmate de implementatie van NIS2 en CRA vorm krijgt, zullen efficiënte kaders voor veilige informatie-uitwisseling dit jaar waarschijnlijk duidelijker worden gedefinieerd. Publieke en private organisaties moeten compliancekaders omarmen die samenwerking vergemakkelijken en tegelijkertijd robuuste gegevensbescherming garanderen.
Naarmate de noodzaak om systemen naar de cloud te verplaatsen toeneemt bij de NAVO en nationale ministeries van Defensie, wordt ‘datasoevereiniteit’ een buzz-woord. Dit begrip omvat alles van de wens om grenzen te stellen aan datalokalisatie tot het behouden van jurisdictie over hun meest kritieke en waardevolle bezit: data.”

Wat is de rol van Fortinet bij het ondersteunen van compliance en innovatie?

“Bij Fortinet zijn we intensief betrokken bij het helpen van organisaties bij het navigeren door de complexiteit van de Europese regelgeving. Op deze manier pakken we dit aan:

• Samenwerking met beleidsmakers
  We werken nauw samen met Europese autoriteiten, en delen inzichten over de impact van regelgeving op bedrijven en pleiten voor praktische, effectieve oplossingen.
• Betrokkenheid van klanten en partners
  We helpen organisaties bij het omgaan met veranderende regelgeving en zorgen ervoor dat hun compliance-strategieën zo naadloos en efficiënt mogelijk zijn. Onze op maat gemaakte oplossingen en brede inzichten vereenvoudigen compliance en verbeteren de beveiliging.
• Training en ontwikkeling van personeel
  Door middel van initiatieven zoals onze toezegging aan de Cybersecurity Skills Academy van de Europese Commissie pakken we de vaardigheidskloof aan met robuuste trainingsprogramma’s. We bieden ook toegankelijke trainingen en certificeringen via ons Fortinet Training Institute. Bijscholing gaat niet alleen over het opvullen van kennisgaten, maar ook over het klaarstomen van personeel zodat ze kunnen voldoen aan de eisen van een steeds complexer wordend dreigingslandschap.
• Leiderschap op het gebied van gegevensbescherming
  Onze certificering onder het US-EU Data Privacy Framework en de benoeming van onze Data Protection Officers bewijzen onze aandacht voor het handhaven van de hoogste normen op het gebied van gegevensbescherming.”