D-Link თანახმაა გააუმჯობესოს თავისი უსაფრთხოება FTC-ის ანგარიშსწორებაში

MiscellaneaDec 20, 2021

D-Link დათანხმდა გააუმჯობესოს თავისი სისტემების უსაფრთხოება, როგორც FTC-ის ანგარიშსწორების ნაწილი

D-Link Settlement2017 წლის სარჩელი D-Link-ის წინააღმდეგ დასრულდა 32 გვერდიანი მორიგებით სამშაბათს

2017 წლის აშშ-ს ფედერალური სავაჭრო კომისიის (FTC) სარჩელი D-Link-ის წინააღმდეგ საბოლოოდ დასრულდა. აშშ-ს ხელისუფლებამ დაადანაშაულა მაღალი დონის ტაივანის ქსელური ტექნიკის მწარმოებელი არა ადეკვატურად იცავს თავის მოწყობილობებს და იგნორირებას უკეთებს გაფრთხილებებს ყველაზე კრიტიკული პროგრამული დაუცველობის შესახებ იუწყება.

2017 წელს გამოქვეყნებული თავდაპირველი საჩივრის თანახმად, D-Link რამდენჯერმე ვერ მოხერხდა:[1]

ბრალდებულებმა ვერ მიიღეს გონივრული ნაბიჯები თავიანთი მარშრუტიზატორებისა და IP-ის დასაცავადკამერები ფართოდ ცნობილი და გონივრულად მოსალოდნელი არაავტორიზებული წვდომის რისკებისგან, მათ შორის წარუმატებლობით დაიცავით ხარვეზებისგან, რომლებიც შეაფასა Open Web Application Security Project-მაყველაზე კრიტიკულ და ფართოდ გავრცელებულ ვებ აპლიკაციის დაუცველობას შორის სულ მცირე 2007 წლიდან.

ტექნიკის მწარმოებლის ქმედებებმა მილიონობით ამერიკელი მოქალაქის კონფიდენციალურობა და ონლაინ უსაფრთხოება საფრთხეში ჩააგდო, რადგან მარშრუტიზატორები და კამერების მომხმარებლები მთელი ქვეყნის მასშტაბით დაუცველები იყვნენ კიბერშეტევების მიმართ.

IoT წამყვან მწარმოებელს ბრალი დასდეს კამერის პროგრამულ უზრუნველყოფაში მყარი კოდირებული და ადვილად გამოსაცნობი სერთიფიკატების გამოყენებაში, ამტკიცებს, რომ აპარატურა სრულიად უსაფრთხოა. არასანქცირებული შეჭრისგან და მობილური აპლიკაციის შესვლის დეტალების უბრალო ტექსტში შენახვისგან, გარდა იმისა, რომ არ არის დაცული მოწყობილობები ცნობილისგან სისუსტეები.

შედეგად, D-Link დათანხმდა უსაფრთხოების ახალი ზომების განხორციელებას, ასევე საჭირო ცვლილებების შეტანას მის წარმოებაში, დოკუმენტაციაში, უსაფრთხოების ტესტირებაში და სხვა პროცესებში.

პროგრამული უზრუნველყოფის უსაფრთხოების ყოვლისმომცველი პროგრამა 20 წელი გაგრძელდება

სიტუაციის გამოსწორების მიზნით, D-Link იძულებული გახდა დათანხმებულიყო FTC-ის მიერ დადგენილ ბევრ პირობაზე, მათ შორის პროგრამული უზრუნველყოფის უსაფრთხოების პროგრამაში შესვლის ჩათვლით, რომელიც გაგრძელდება მინიმუმ 20 წლის განმავლობაში:[2]

ბრძანებულია, რომ მოპასუხე ამ ბრძანების შემოსვლიდან ოცი (20) წლის განმავლობაში განაგრძოს ან შექმნას და განახორციელოს და შეინარჩუნოს ყოვლისმომცველი პროგრამული უზრუნველყოფის უსაფრთხოება. პროგრამა („პროგრამული უზრუნველყოფის უსაფრთხოების პროგრამა“), რომელიც შექმნილია მისი დაფარული მოწყობილობების უსაფრთხოების უზრუნველსაყოფად, გარდა იმ შემთხვევისა, როდესაც მოპასუხე არ შეწყვეტს რაიმე სახის დაფარულ რეალიზაციას, დისტრიბუციას ან გაყიდვას მოწყობილობები.

IoT მწარმოებლის ზოგიერთი ახალი პასუხისმგებლობა მოიცავს:

  • ჩამოაყალიბეთ თავდადებული თანამშრომლები, რომლებიც შეინარჩუნებენ, აფასებენ და წერენ პროგრამის შინაარსს წლების განმავლობაში;
  • უსაფრთხოების პროცესების დაგეგმვა და დაუცველობის პროგრამული უზრუნველყოფის ტესტირება ახალი მოწყობილობის გამოშვებამდე;
  • საფრთხის შეფასების განხორციელება კომპანიის მიერ წარმოებული მოწყობილობების შიგნით არსებულ პროგრამულ უზრუნველყოფასთან დაკავშირებული შიდა და გარე რისკების იდენტიფიცირებისთვის;
  • ავტომატური პროგრამული უზრუნველყოფის განახლებების დაყენება;
  • მუდმივი ტრენინგი თანამშრომლებისთვის და მოვაჭრეებისთვის, რომლებიც პასუხისმგებელნი არიან წარმოებული აპარატურის პროგრამული უზრუნველყოფის შემუშავებასა და განხილვაზე და ა.შ.

გარდა ამისა, D-Link ასევე დათანხმდა გაიაროს ვრცელი აუდიტი ყოველ ორ წელიწადში ერთხელ მომდევნო ათი წლის განმავლობაში, რათა მიაღწიოს უსაფრთხოების შესაბამისობის სერთიფიკატს. ამ აუდიტის დოკუმენტაცია ასევე უნდა მიეწოდოს აშშ-ს ფედერალურ სავაჭრო კომისიას მომდევნო ხუთი წლის განმავლობაში.

D-Link-მა მიიღო ცვლილებები და დათანხმდა მორიგებას

ცხადია, რომ D-Link-მა ვერ დაიცვა თავისი მოწყობილობები, ბევრ მომხმარებელთან ერთად კიბერშეტევებისგან და, ბოლო 2,5 წლის განმავლობაში, კიბერკრიმინალები ფართოდ ბოროტად იყენებდნენ მწარმოებლის შეცდომებს.

გასული წლის ივნისში, Satori-ის ბოტნეტის ავტორებმა მოახერხეს გამოეყენებინათ კრიტიკული კოდის შესრულების ხარვეზი D-Link მოწყობილობებში, რომლებსაც იყენებდნენ Verizon და სხვა ISP მომხმარებლები.[3] 2018 წლის ივლისში, საფრთხის მსახიობებმა მოახერხეს D-Link-ის მოწოდებული უსაფრთხოების სერთიფიკატის მოპარვა, რომელიც მათ საშუალებას აძლევდა ათასობით მოწყობილობაზე გადაეტანა მავნე პროგრამა.[4] შედეგად, ჰაკერებს შეეძლოთ პაროლების მოპარვა და მოწყობილობის დისტანციურად კონტროლი უკანა კარის საშუალებით.

D-Link დაეთანხმა შეთანხმებას, რადგან ჯონ ვეკიონე, აღმასრულებელი დირექტორი და D-Link-ის მთავარი სასამართლო კონსულტანტი, გამოთქვა შემდეგი აზრები:[5]

ამ საქმეს ექნება ხანგრძლივი გავლენა და, ვიმედოვნებთ, დადებითად აყალიბებს საჯარო პოლიტიკას ტექნოლოგიების, მონაცემთა უსაფრთხოებისა და კონფიდენციალურობის მნიშვნელოვან სფეროებში. სასამართლოს მიერ საჩივრის „უსამართლო“ სარჩელის უარყოფა მომხმარებელთა რეალური ზიანის წარუმატებლობის გამო, იმედია, ფოკუსირებული იქნება FTC-ის ძალისხმევა პრაქტიკაზე. რომლებიც რეალურად აზიანებენ იდენტიფიცირებულ მომხმარებლებს, რაც უზრუნველყოფს ტექნოლოგიურ კომპანიებს დამატებით დარწმუნებას, რომელიც აუცილებელია უნებართვო და განვითარებად ინოვაცია.