Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa
29.03.2024
Pełnomocnik Rządu ds. Cyberbezpieczeństwa Krzysztof Gawkowski wydał rekomendację dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczącą bezzwłocznej aktualizacji produktów Fortinet.
Rekomendacja Pełnomocnika Rządu ds. Cyberbezpieczeństwa
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa Krzysztof Gawkowski wydał rekomendację dla podmiotów krajowego systemu cyberbezpieczeństwa dotyczącą bezzwłocznej aktualizacji produktów Fortinet.
Rekomendacja została wydana na podstawie art. 33 ust. 4a ustawy dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2023 poz. 913 i 1703), po uprzednich konsultacjach z zespołami CSIRT poziomu krajowego oraz zasięgnięciu opinii Kolegium do Spraw Cyberbezpieczeństwa.
REKOMENDACJA
Rekomenduję podmiotom krajowego systemu cyberbezpieczeństwa1 bezzwłoczną aktualizację produktów Fortinet do najnowszych dostępnych wersji dla danej linii FortiOS/FortiProxy oraz FortiClientEMS. Na dzień wydania niniejszej rekomendacji najnowsze wersje to:
- FortiOS/FortiProxy – 7.4.3
- FortiOS/FortiProxy – 7.2.8
- FortiOS/FortiProxy – 7.0.14
- FortiOS/FortiProxy – 6.4.15
- FortiClientEMS – 7.2.3
- FortiClientEMS – 7.0.11
Ponadto rekomenduję w systemach informacyjnych2 dla wersji oprogramowania Fortinet, które nie mają wsparcia (status End of Life), wyłączenie urządzenia z eksploatacji, przeprowadzenie procesu migracji do nowszych wersji lub dokonanie zmiany rozwiązania.
Pełnomocnik przeprowadził konsultację w powyższym zakresie z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do powyższej rekomendacji.
Kolegium3 26 marca 2024 r. wyraziło pozytywną opinię w zakresie powyższej rekomendacji oraz w zakresie wydawania podobnych rekomendacji w przypadku istnienia możliwości wystąpienia incydentu krytycznego w stosunku do konkretnych wersji oprogramowania.
Podmiot krajowego systemu cyberbezpieczeństwa może wnieść zastrzeżenia do niniejszej rekomendacji na zasadach określonych w ustawie o KSC4 .
[1] Podmioty, o których mowa w art. 4 ustawy o KSC.
[2] System, o którym mowa w art. 2 pkt 14 ustawy o KSC.
[3] Kolegium, o którym mowa w art. 64 ustawy o KSC.
[4] Art. 33 ust. 5 ustawy o KSC.
Materiały
Rekomendacja Pełnomocnika Rządu ds Cyberbezpieczeństwa dot aktualizacji FortiRekomendacja_Pełnomocnika_Rządu_ds_Cyberbezpieczeństwa_dot_aktualizacji_Forti.pdf 0.09MB