D-Link piekrita uzlabot savu sistēmu drošību FTC norēķinu ietvaros
Beidzot noslēdzās 2017. gada ASV Federālās tirdzniecības komisijas (FTC) prāva pret D-Link. ASV varas iestādes apsūdzēja augsta līmeņa Taivānas tīkla aparatūras ražotāju, ka tas nav noticis pienācīgi aizsargājot savas ierīces un ignorējot brīdinājumus par vissvarīgāko programmatūras ievainojamību ziņojumi.
Saskaņā ar sākotnējo sūdzību, kas tika publicēta 2017. gadā, D-Link vairākkārt neizdevās:[1]
Atbildētāji nav veikuši saprātīgas darbības, lai aizsargātu savus maršrutētājus un IPkameras no plaši zināmiem un saprātīgi paredzamiem nesankcionētas piekļuves riskiem, tostarp nespējot to izdarīt aizsargāt pret trūkumiem, ko klasificējis Open Web Application Security Projectviena no viskritiskākajām un izplatītākajām tīmekļa lietojumprogrammu ievainojamībām vismaz kopš 2007. gada.
Aparatūras ražotāja darbības apdraud miljoniem ASV pilsoņu privātumu un tiešsaistes drošību, jo maršrutētāju un kameru lietotāji visā valstī bija neaizsargāti pret kiberuzbrukumiem.
Vadošais IoT ražotājs tika apsūdzēts par kodētu un viegli uzminējamu akreditācijas datu izmantošanu savā kameras programmatūrā, apgalvojot, ka aparatūra ir pilnīgi droša no nesankcionētas ielaušanās un mobilo lietotņu pieteikšanās informācijas saglabāšanas vienkāršā tekstā, kā arī nespēja nodrošināt ierīču aizsardzību no labi zināmiem ievainojamības.
Rezultātā D-Link piekrita ieviest jaunus drošības pasākumus, kā arī iekļaut nepieciešamās izmaiņas tā ražošanā, dokumentācijā, drošības testēšanā un citos procesos.
Visaptveroša programmatūras drošības programma ilgs 20 gadus
Lai labotu situāciju, D-Link bija spiests piekrist daudziem FTC izvirzītajiem nosacījumiem, tostarp dalībai Programmatūras drošības programmā, kas ilgs vismaz 20 gadus:[2]
IR LIETOTS, ka atbildētājam divdesmit (20) gadus pēc šī rīkojuma stāšanās spēkā ir jāturpina vai jāizveido, jāievieš un jāuztur visaptveroša programmatūras drošība. programma (“Programmatūras drošības programma”), kas ir izstrādāta, lai nodrošinātu savu Nosegto ierīču drošību, ja vien atbildētājs nepārtrauc tirgot, izplatīt vai pārdot jebkuru Segto ierīču Ierīces.
Daži no IoT ražotāja jaunajiem pienākumiem ietver:
- Izveidojiet īpašus darbiniekus, kas visu gadu uztur, novērtē un raksta programmas saturu;
- Drošības procesu plānošana un programmatūras ievainojamību pārbaude pirms jaunu ierīču izlaišanas;
- Apdraudējuma novērtēšanas veikšana, lai identificētu iekšējos un ārējos riskus, kas saistīti ar programmatūru, kas atrodas uzņēmuma ražotajās ierīcēs;
- Automātisko programmaparatūras atjauninājumu iestatīšana;
- Pastāvīgas apmācības darbiniekiem un pārdevējiem, kas ir atbildīgi par ražotās aparatūras programmatūras izstrādi un pārskatīšanu utt.
Turklāt D-Link arī piekrita veikt plašus auditus ik pēc diviem gadiem nākamo desmit gadu laikā, lai sasniegtu drošības atbilstības sertifikātu. Šo auditu dokumentācija nākamajiem pieciem gadiem jāiesniedz arī ASV Federālajai tirdzniecības komisijai.
D-Link pieņēma izmaiņas un piekrita izlīgumam
Ir skaidrs, ka D-Link nespēja aizsargāt savas ierīces, kā arī daudzus lietotājus no kiberuzbrukumiem, un pēdējo 2,5 gadu laikā kibernoziedznieki plaši ļaunprātīgi izmantoja ražotāja kļūdas.
Pagājušā gada jūnijā Satori robottīkla autoriem izdevās izmantot kritisku koda izpildes kļūdu D-Link ierīcēs, kuras izmantoja Verizon un citi ISP lietotāji.[3] 2018. gada jūlijā draudu dalībniekiem izdevās nozagt D-Link nodrošināto drošības sertifikātu, kas ļāva viņiem nosūtīt ļaunprātīgu programmatūru tūkstošiem ierīču.[4] Rezultātā hakeri varēja nozagt paroles un attālināti vadīt ierīci, izmantojot aizmugures durvis.
D-Link piekrita izlīgumam, jo Džons Večione, D-Link izpilddirektors un vadošais tiesas padomnieks, izteica šādas domas:[5]
Šai lietai būs ilgstoša ietekme, un mēs ceram, ka tā pozitīvi veidos sabiedrisko kārtību svarīgās tehnoloģiju, datu drošības un privātuma jomās. Tiesa noraidīja sūdzībā ietverto prasību par negodīgumu par nespēju atsaukties uz faktisku kaitējumu patērētājam, cerams, ka FTC centieni tiks novirzīti uz praksi. kas faktiski ievaino identificējamus patērētājus, sniedzot tehnoloģiju uzņēmumiem papildu noteiktību, kas nepieciešama neatļautai un attīstošai inovācijas.