Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski wydał rekomendację dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczącą bezzwłocznej aktualizacji produktów Fortinet.
Rekomendacja została wydana na podstawie art. 33 ust. 4a ustawy dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2023 poz. 913 i 1703), po uprzednich konsultacjach z zespołami CSIRT poziomu krajowego oraz zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.
REKOMENDACJA
Rekomenduję podmiotom krajowego systemu cyberbezpieczeństwa1 bezzwłoczną aktualizację produktów Fortinet do najnowszych dostępnych wersji dla danej linii FortiOS/FortiProxy oraz FortiClientEMS. Na dzień wydania niniejszej rekomendacji najnowsze wersje to:
- FortiOS/FortiProxy – 7.4.3
- FortiOS/FortiProxy – 7.2.8
- FortiOS/FortiProxy – 7.0.14
- FortiOS/FortiProxy – 6.4.15
- FortiClientEMS – 7.2.3
- FortiClientEMS – 7.0.11
Ponadto rekomenduję w systemach informacyjnych2 dla wersji oprogramowania Fortinet, które nie mają wsparcia (status End of Life), wyłączenie urządzenia z eksploatacji, przeprowadzenie procesu migracji do nowszych wersji lub dokonanie zmiany rozwiązania.
Pełnomocnik przeprowadził konsultację w powyższym zakresie z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do powyższej rekomendacji.
Kolegium3 26 marca 2024 r. wyraziło pozytywną opinię w zakresie powyższej rekomendacji oraz w zakresie wydawania podobnych rekomendacji w przypadku istnienia możliwości wystąpienia incydentu krytycznego w stosunku do konkretnych wersji oprogramowania.
Podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do niniejszej rekomendacji na zasadach określonych w ustawie o KSC4 .
[1] Podmioty, o których mowa w art. 4 ustawy o KSC.
[2] System, o którym mowa w art. 2 pkt 14 ustawy o KSC.
[3] Kolegium, o którym mowa w art. 64 ustawy o KSC.
[4] Art. 33 ust. 5 ustawy o KSC.
Materiały
Źródło: Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa – Baza wiedzy – Portal Gov.pl (www.gov.pl)