D-Link nõustus parandama oma süsteemide turvalisust FTC arvelduse osana
2017. aasta USA Föderaalse Kaubanduskomisjoni (FTC) hagi D-Linki vastu jõudis lõpuks lõpule. USA võimud süüdistasid kõrgetasemelist Taiwani võrguriistvaratootjat mitte oma seadmeid piisavalt kaitstes ja kõige kriitilisema tarkvara haavatavuse hoiatusi eirates aruanded.
2017. aastal avaldatud esialgse kaebuse kohaselt ebaõnnestus D-Link mitmel korral:[1]
Kostjad ei ole võtnud mõistlikke samme oma ruuterite ja IP kaitsmisekskaamerad laialt tuntud ja mõistlikult prognoositavate volitamata juurdepääsu riskide eest, sealhulgas tegemata jätmisega kaitsta vigade eest, mille Open Web Application Security Project on järjestanudüks kriitilisemaid ja levinumaid veebirakenduste turvaauke vähemalt alates 2007. aastast.
Riistvaratootja tegevus seadis miljonite USA kodanike privaatsuse ja võrguohutuse ohtu, kuna ruuterite ja kaamerate kasutajad üle kogu riigi olid küberrünnakute suhtes haavatavad.
Juhtivat IoT tootjat süüdistati oma kaameratarkvaras kõvakodeeritud ja kergesti äraarvatavate mandaatide kasutamises, väites, et riistvara on täiesti ohutu volitamata sissetungi eest ja mobiilirakenduse sisselogimisandmete lihttekstina salvestamise eest, lisaks sellele, et ei õnnestu seadmeid hästi teadaolevate eest kaitsta. haavatavused.
Selle tulemusena nõustus D-Link rakendama uusi turvameetmeid, samuti tegema vajalikke muudatusi oma tootmises, dokumentatsioonis, turvatestides ja muudes protsessides.
Põhjalik tarkvara turvaprogramm kestab 20 aastat
Olukorra parandamiseks oli D-Link sunnitud nõustuma paljude FTC seatud tingimustega, sealhulgas sisenema tarkvara turvaprogrammi, mis kestab vähemalt 20 aastat:[2]
ON KORD, et kostja jätkab kahekümne (20) aasta jooksul pärast käesoleva määruse sisestamist tervikliku tarkvaraturbe loomist, juurutamist ja säilitamist. programm (“tarkvara turbeprogramm”), mis on loodud kaitsma oma kaetud seadmete turvalisust, välja arvatud juhul, kui kostja lõpetab mis tahes hõlmatud seadmete turustamise, levitamise või müümise. Seadmed.
Mõned IoT tootja uued kohustused hõlmavad järgmist:
- Luua pühendunud töötajad, kes säilitavad, hindavad ja kirjutavad programmi sisu läbi aastate;
- Turvaprotsesside kavandamine ja turvaaukude testimine enne uute seadmete väljalaskmist;
- Ohuhinnangu läbiviimine ettevõtte toodetavate seadmete sees oleva tarkvaraga seotud sisemiste ja väliste riskide tuvastamiseks;
- Automaatsete püsivara värskenduste seadistamine;
- Pidevad koolitused töötajatele ja tarnijatele, kes vastutavad toodetava riistvara tarkvara arendamise ja ülevaatuse eest jne.
Lisaks nõustus D-Link läbima järgmise kümne aasta jooksul iga kahe aasta tagant ulatuslikke auditeid, et jõuda turvalisuse vastavuse sertifikaadini. Nende auditite dokumentatsioon tuleb järgmise viie aasta jooksul esitada ka USA Föderaalsele Kaubanduskomisjonile.
D-Link võttis muudatused omaks ja nõustus kokkuleppega
On selge, et D-Link ei suutnud oma seadmeid ja paljusid kasutajaid küberrünnakute eest kaitsta ning viimase 2,5 aasta jooksul kuritarvitasid küberkurjategijad laialdaselt tootjate kõrvalekaldeid.
Eelmise aasta juunis suutsid Satori botneti autorid ära kasutada Verizoni ja teiste Interneti-teenuse pakkujate kasutuses olnud D-Linki seadmete kriitilist koodikäivitusviga.[3] 2018. aasta juulis õnnestus ohus osalejatel varastada D-Linki pakutud turvasertifikaat, mis võimaldas neil saata pahavara tuhandetesse seadmetesse.[4] Selle tulemusena võivad häkkerid varastada paroole ja juhtida seadet eemalt tagaukse kaudu.
D-Link nõustus kokkuleppega, kuna John Vecchione, D-Linki tegevjuht ja kohtujurist, väljendas järgmisi mõtteid:[5]
Sellel juhtumil on püsiv mõju ja loodame, et see kujundab positiivselt avalikku korda sellistes olulistes valdkondades nagu tehnoloogia, andmeturve ja privaatsus. Kui kohus lükkas tagasi kaebuse „ebaõigluse” nõude, kuna kohus ei tuginenud tegelikule tarbijale tekitatud kahjule, suunab FTC jõupingutused loodetavasti tavadele. mis tegelikult kahjustavad tuvastatavaid tarbijaid, pakkudes tehnoloogiaettevõtetele täiendavat kindlustunnet, mis on vajalik lubamatuks ja arenevaks uuenduslikkust.