D-Link suostui parantamaan järjestelmiensä turvallisuutta osana FTC-ratkaisua
Yhdysvaltain Federal Trade Commissionin (FTC) vuoden 2017 oikeusjuttu D-Linkkiä vastaan päättyi vihdoin. Yhdysvaltain viranomaiset syyttivät korkean profiilin taiwanilaista verkkolaitteiden valmistajaa siitä, ettei se ole suojaa laitteitaan riittävästi ja jättää huomioimatta varoitukset kriittisimmistä ohjelmistohaavoittuvuuksista raportteja.
Vuonna 2017 julkaistun alkuperäisen valituksen mukaan D-Link epäonnistui useaan otteeseen:[1]
Vastaajat eivät ole ryhtyneet kohtuullisiin toimiin reitittimiensä ja IP-osoitteiden suojaamiseksikamerat laajalti tunnetuilta ja kohtuudella ennakoitavilla luvattoman käytön riskeiltä, mukaan lukien epäonnistumalla suojaa Open Web Application Security Projectin arvioimia vikoja vastaanyksi kriittisimmistä ja yleisimmistä verkkosovellusten haavoittuvuuksista ainakin vuoden 2007 jälkeen.
Laitteistonvalmistajan toimet vaarantavat miljoonien Yhdysvaltain kansalaisten yksityisyyden ja verkkoturvallisuuden, koska reitittimien ja kameroiden käyttäjät kaikkialla maassa olivat alttiina kyberhyökkäyksille.
Johtavaa IoT-valmistajaa syytettiin kovakoodattujen ja helposti arvattavien valtuustietojen käyttämisestä kameraohjelmistossaan väittäen, että laitteisto on täysin turvallinen luvattomalta tunkeutumiselta ja mobiilisovelluksen kirjautumistietojen tallentamisesta pelkkänä tekstinä, sen lisäksi, ettei laitteita ole suojattu tunnetuilta haavoittuvuuksia.
Tämän seurauksena D-Link suostui ottamaan käyttöön uusia turvatoimia sekä tekemään tarvittavat muutokset tuotantoon, dokumentaatioon, tietoturvatestaukseen ja muihin prosesseihinsa.
Kattava ohjelmistoturvaohjelma kestää 20 vuotta
Tilanteen korjaamiseksi D-Linkin oli pakko hyväksyä useita FTC: n asettamia ehtoja, mukaan lukien pääsy ohjelmiston suojausohjelmaan, jonka on määrä kestää vähintään 20 vuotta:[2]
ON MÄÄRÄYS, että vastaaja jatkaa kahdenkymmenen (20) vuoden ajan tämän määräyksen voimaantulon jälkeen kattavan ohjelmistosuojauksen luomista, toteuttamista ja ylläpitämistä. -ohjelma ("Ohjelmiston suojausohjelma"), joka on suunniteltu tarjoamaan suojauksen kattamien laitteidensa turvallisuudelle, ellei vastaaja lopeta Suojattujen laitteiden markkinoimista, jakelua tai myyntiä. Laitteet.
Jotkut IoT-valmistajan uusista tehtävistä ovat:
- Perusta omistautuneita työntekijöitä, jotka ylläpitävät, arvioivat ja kirjoittavat ohjelman sisältöä vuosien ajan;
- Suojausprosessien suunnittelu ja ohjelmistojen testaus haavoittuvuuksien varalta ennen uusien laitteiden julkaisuja;
- Uhkaarvioinnin tekeminen yrityksen valmistamien laitteiden sisältämiin ohjelmistoihin liittyvien sisäisten ja ulkoisten riskien tunnistamiseksi;
- Automaattisten laiteohjelmistopäivitysten määrittäminen;
- Jatkuva koulutus työntekijöille ja toimittajille, jotka vastaavat tuotettujen laitteistojen ohjelmistojen kehittämisestä ja tarkistamisesta jne.
Lisäksi D-Link sitoutui myös suorittamaan laajoja auditointeja kahden vuoden välein seuraavan kymmenen vuoden ajan päästäkseen turvallisuusvaatimustenmukaisuussertifikaattiin. Näiden tarkastusten asiakirjat on toimitettava myös Yhdysvaltain liittovaltion kauppakomissiolle seuraavien viiden vuoden ajan.
D-Link hyväksyi muutokset ja suostui sovintoon
On selvää, että D-Link epäonnistui suojelemaan laitteitaan ja monia käyttäjiä kyberhyökkäyksiltä, ja viimeisen 2,5 vuoden aikana kyberrikolliset ovat käyttäneet laajalti väärin valmistajan virheitä.
Viime vuoden kesäkuussa Satori-bottiverkkojen tekijät onnistuivat hyödyntämään kriittistä koodin suoritusvirhettä Verizonin ja muiden Internet-palveluntarjoajien käyttämissä D-Link-laitteissa.[3] Heinäkuussa 2018 uhkatoimijat onnistuivat varastamaan D-Linkin toimittaman suojaussertifikaatin, jonka avulla he voivat työntää haittaohjelmia tuhansiin laitteisiin.[4] Tämän seurauksena hakkerit saattoivat varastaa salasanoja ja hallita laitetta etänä takaoven kautta.
D-Link suostui sovintoon, koska John Vecchione, D-Linkin toimitusjohtaja ja johtava oikeudenkäyntilakimies, ilmaisi seuraavat ajatukset:[5]
Tällä tapauksella on pysyvä vaikutus, ja toivomme, että se muokkaa positiivisesti yleistä käytäntöä tärkeillä teknologian, tietoturvan ja yksityisyyden aloilla. Tuomioistuimen hylkääminen valituksen "epäreilusta" väitteen laiminlyönnistä vedota todelliseen kuluttajavahinkoon toivottavasti suuntaa FTC: n ponnistelut käytäntöihin jotka todella vahingoittavat tunnistettavia kuluttajia ja tarjoavat teknologiayrityksille lisävarmuutta, jota tarvitaan luvattomiin ja kehittyviin innovaatio.