„D-Link“ sutiko pagerinti savo sistemų saugumą kaip FTC atsiskaitymo dalį
2017 m. JAV Federalinės prekybos komisijos (FTC) ieškinys prieš D-Link pagaliau baigėsi. JAV valdžios institucijos apkaltino garsų Taivano tinklo įrangos gamintoją ne tinkamai apsaugoti savo įrenginius ir ignoruoti įspėjimus apie svarbiausią programinės įrangos pažeidžiamumą pranešimus.
Pagal pradinį skundą, paskelbtą 2017 m., D-Link nepavyko kelis kartus:[1]
Atsakovai nesiėmė pagrįstų veiksmų, kad apsaugotų savo maršrutizatorius ir IPkameras nuo plačiai žinomos ir pagrįstai numatomos neteisėtos prieigos rizikos, įskaitant nespėjus apsaugoti nuo trūkumų, kuriuos įvertino Open Web Application Security Projectvienas iš svarbiausių ir labiausiai paplitusių žiniatinklio programų pažeidžiamumų mažiausiai nuo 2007 m.
Aparatūros gamintojo veiksmai kelia pavojų milijonų JAV piliečių privatumui ir saugumui internete, nes maršrutizatorių ir kamerų naudotojai visoje šalyje buvo pažeidžiami kibernetinių atakų.
Pirmaujantis IoT gamintojas buvo apkaltintas sunkiai užkoduotų ir lengvai atspėjamų kredencialų naudojimu savo fotoaparato programinėje įrangoje, teigdamas, kad aparatinė įranga yra visiškai saugi. nuo neteisėtų įsilaužimų ir mobiliųjų programų prisijungimo duomenų saugojimo paprastu tekstu, be to, nepavyksta apsaugoti įrenginių nuo gerai žinomų pažeidžiamumų.
Dėl to „D-Link“ sutiko įdiegti naujas saugumo priemones, taip pat įtraukti būtinus gamybos, dokumentacijos, saugumo testavimo ir kitų procesų pakeitimus.
Išsami programinės įrangos saugos programa truks 20 metų
Siekdama ištaisyti situaciją, „D-Link“ buvo priversta sutikti su daugybe FTC nustatytų sąlygų, įskaitant prisijungimą prie programinės įrangos saugos programos, kuri truks mažiausiai 20 metų:[2]
NUSTATYTA, kad atsakovas dvidešimt (20) metų nuo šio įsakymo priėmimo tęstų arba sukurtų, įgyvendintų ir prižiūrėtų visapusišką programinės įrangos apsaugą. programa („Programinės įrangos saugos programa“), kuri yra skirta apsaugoti savo Įrenginius, kuriems taikoma, nebent atsakovas nustos prekiauti, platinti ar parduoti bet kurį Dengtą Prietaisų.
Kai kurios naujos IoT gamintojo pareigos apima:
- Įsteigti atsidavusius darbuotojus, kurie visus metus prižiūri, vertina ir rašo programos turinį;
- Saugos procesų planavimas ir pažeidžiamumų tikrinimo programinė įranga prieš išleidžiant naujus įrenginius;
- Grėsmių vertinimo atlikimas siekiant nustatyti vidines ir išorines rizikas, susijusias su programine įranga įmonės gaminamuose įrenginiuose;
- Automatinių programinės įrangos atnaujinimų nustatymas;
- Nuolatiniai mokymai darbuotojams ir pardavėjams, atsakingiems už gaminamos techninės įrangos programinės įrangos kūrimą ir peržiūrą ir kt.
Be to, D-Link taip pat sutiko kas dvejus metus atlikti išsamų auditą ateinančius dešimt metų, kad gautų saugumo atitikties sertifikatą. Šių auditų dokumentai taip pat turi būti pateikti JAV Federalinei prekybos komisijai ateinančius penkerius metus.
„D-Link“ priėmė pakeitimus ir sutiko su susitarimu
Akivaizdu, kad „D-Link“ nesugebėjo apsaugoti savo įrenginių ir daugelio vartotojų nuo kibernetinių atakų, o per pastaruosius 2,5 metų kibernetiniai nusikaltėliai plačiai piktnaudžiavo gamintojų klaidomis.
Praėjusių metų birželį „Satori botnet“ kūrėjams pavyko išnaudoti kritinį kodo vykdymo trūkumą „D-Link“ įrenginiuose, kuriuos naudojo „Verizon“ ir kiti IPT vartotojai.[3] 2018 m. liepą grėsmės veikėjams pavyko pavogti „D-Link“ pateiktą saugos sertifikatą, leidžiantį perkelti kenkėjiškas programas į tūkstančius įrenginių.[4] Dėl to įsilaužėliai galėjo pavogti slaptažodžius ir valdyti įrenginį nuotoliniu būdu per užpakalines duris.
„D-Link“ sutiko su susitarimu, nes Johnas Vecchione, „D-Link“ generalinis direktorius ir pagrindinis teisminis advokatas, išreiškė šias mintis:[5]
Šis atvejis turės ilgalaikį poveikį ir, tikimės, teigiamai suformuos viešąją politiką svarbiose technologijų, duomenų saugumo ir privatumo srityse. Tikimasi, kad teismui atmetus skundo „nesąžiningumo“ reikalavimą dėl to, kad nebuvo remiamasi realia vartotojų žala, FTC pastangos bus nukreiptos į praktiką. kurie iš tikrųjų sužaloja identifikuojamus vartotojus, suteikdami technologijų įmonėms papildomo tikrumo, reikalingo neleistiniems ir besivystantiems naujovių.