D-Link indvilligede i at forbedre sine systemsikkerhed som en del af FTC-afviklingen
Den amerikanske Federal Trade Commission (FTC) retssag i 2017 mod D-Link nåede endelig en ende. De amerikanske myndigheder anklagede den højtprofilerede taiwanske netværkshardwareproducent for ikke at være tilstrækkeligt at beskytte sine enheder og ignorere advarslerne om den mest kritiske softwaresårbarhed rapporter.
Ifølge den oprindelige klage offentliggjort i 2017 fejlede D-Link ved flere lejligheder:[1]
Tiltalte har undladt at tage rimelige skridt for at beskytte deres routere og IPkameraer fra almindeligt kendte og rimeligt forudsigelige risici for uautoriseret adgang, herunder ved at undlade at beskytte mod fejl, som Open Web Application Security Project har rangeretblandt de mest kritiske og udbredte sårbarheder i webapplikationer siden mindst 2007.
Hardwareproducentens handlinger sætter millioner af amerikanske borgeres privatliv og onlinesikkerhed i fare, da routere og kamerabrugere over hele landet var sårbare over for cyberangreb.
Den førende IoT-producent blev anklaget for at bruge hårdkodede og let gættelige legitimationsoplysninger i sin kamerasoftware og hævdede, at hardwaren er fuldstændig sikker fra uautoriserede indtrængen og lagring af mobilapp-loginoplysninger i almindelig tekst, udover at undlade at sikre enhederne mod velkendte sårbarheder.
Som følge heraf indvilligede D-Link i at implementere nye sikkerhedsforanstaltninger, samt at inkludere nødvendige ændringer i dets fremstilling, dokumentation, sikkerhedstest og andre processer.
Omfattende softwaresikkerhedsprogram vil vare 20 år
For at rette op på situationen blev D-Link tvunget til at acceptere mange betingelser fastsat af FTC, herunder adgang til softwaresikkerhedsprogrammet, der er sat til at vare i mindst 20 år:[2]
DET BESTEMMES, at sagsøgte i en periode på tyve (20) år efter denne bekendtgørelses indtræden skal fortsætte med eller etablere og implementere og vedligeholde en omfattende softwaresikkerhed program ("Softwaresikkerhedsprogram"), der er designet til at yde beskyttelse af sikkerheden for dets omfattede enheder, medmindre sagsøgte ophører med at markedsføre, distribuere eller sælge nogen omfattet Enheder.
Nogle af IoT-producentens nye ansvarsområder inkluderer:
- Etablere dedikerede medarbejdere, der vedligeholder, vurderer og skriver indholdet til programmet gennem årene;
- Planlægning af sikkerhedsprocesser og test af software for sårbarheder før nye enhedsudgivelser;
- Udførelse af trusselsvurdering for at identificere interne og eksterne risici relateret til softwaren inde i virksomhedens fremstillede enheder;
- Opsætning af automatiske firmwareopdateringer;
- Løbende uddannelse af medarbejdere og leverandører med ansvar for udvikling og gennemgang af software til den producerede hardware mv.
Derudover indvilligede D-Link også i at gennemgå omfattende revisioner hvert andet år i de næste ti år for at opnå sikkerhedsoverensstemmelsescertificeringen. Dokumentationen for disse revisioner skal også leveres til US Federal Trade Commission for de næste fem år.
D-Link omfavnede ændringerne og gik med til forliget
Det er tydeligt, at D-Link ikke formåede at beskytte sine enheder sammen med mange brugere mod cyberangreb, og i løbet af de sidste 2,5 år har cyberkriminelle i vid udstrækning misbrugt fabrikantens fejl.
I juni sidste år lykkedes det Satoris botnet-forfattere at udnytte kritisk kodeudførelsesfejl i D-Link-enheder, der blev brugt af Verizon og andre internetudbydere.[3] I juli 2018 lykkedes det trusselsaktører at stjæle D-Link-leveret sikkerhedscertifikat, som gjorde det muligt for dem at skubbe malware til tusindvis af enheder.[4] Som et resultat kunne hackere stjæle adgangskoder og fjernstyre enheden via bagdøren.
D-Link var enig i forliget, da John Vecchione, CEO og ledende retssagsrådgiver for D-Link, udtrykte følgende tanker:[5]
Denne sag vil have en varig indvirkning, og vi håber, at den forme den offentlige politik positivt på de vigtige områder af teknologi, datasikkerhed og privatliv. Rettens afvisning af klagens "uretfærdigheds"-påstand om undladelse af at påberåbe sig faktisk forbrugerskade vil forhåbentlig genfokusere FTC's indsats på praksis der rent faktisk skader identificerbare forbrugere, hvilket giver teknologivirksomheder yderligere sikkerhed, der er nødvendig for tilladelsesfri og udvikling innovation.