Baza wiedzy

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski wydał rekomendację dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczącą bezzwłocznej aktualizacji produktów Fortinet.

Rekomendacja została wydana na podstawie art. 33 ust. 4a ustawy dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2023 poz. 913 i 1703), po uprzednich konsultacjach z zespołami CSIRT poziomu krajowego oraz zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.

REKOMENDACJA 

Rekomenduję podmiotom krajowego systemu cyberbezpieczeństwa¹  bezzwłoczną aktualizację produktów Fortinet do najnowszych dostępnych wersji dla danej linii FortiOS/FortiProxy oraz FortiClientEMS. Na dzień wydania niniejszej rekomendacji najnowsze wersje to:

• FortiOS/FortiProxy – 7.4.3
• FortiOS/FortiProxy – 7.2.8
• FortiOS/FortiProxy – 7.0.14
• FortiOS/FortiProxy – 6.4.15
• FortiClientEMS – 7.2.3
• FortiClientEMS – 7.0.11

Ponadto rekomenduję w systemach informacyjnych²  dla wersji oprogramowania Fortinet, które nie mają wsparcia (status End of Life), wyłączenie urządzenia z eksploatacji, przeprowadzenie procesu migracji do nowszych wersji lub dokonanie zmiany rozwiązania.

Pełnomocnik przeprowadził konsultację w powyższym zakresie z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do powyższej rekomendacji.  

Kolegium³  26 marca 2024 r. wyraziło pozytywną opinię w zakresie powyższej rekomendacji oraz w zakresie wydawania podobnych rekomendacji w przypadku istnienia możliwości wystąpienia incydentu krytycznego w stosunku do konkretnych wersji oprogramowania. 

Podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do niniejszej rekomendacji na zasadach określonych w ustawie o KSC⁴ .

[1] Podmioty, o których mowa w art. 4 ustawy o KSC.

[2] System, o którym mowa w art. 2 pkt 14 ustawy o KSC.

[3] Kolegium, o którym mowa w art. 64 ustawy o KSC.

[4] Art. 33 ust. 5 ustawy o KSC.