Разделы

Безопасность Администратору Пользователю Стратегия безопасности Бизнес Законодательство Техника

Знаменитый производитель «железа» D-Link проведет 10 лет под пристальной слежкой властей США

В рамках внесудебного соглашения D-Link обязуется реализовать у себя программу безопасной разработки и раз в два года проводить аудит силами сторонних организаций. Те будут подотчётны ФТК.

Детсадовские «баги»

Тайваньский производитель сетевых устройств D-Link и Федеральная торговая комиссия США (Federal Trade Commission, ФТК) урегулировали во внесудебном порядке иск, поданный ФТК ещё два года назад.

Комиссия обвиняла D-Link в халатном отношении к вопросам безопасности роутеров и IP-камер. Согласно официальной жалобе, D-Link не посчитал нужным защищать свои разработки от «широко известных и легко прогнозируемых угроз, связанных с неавторизованным доступом, включая отсутствие защиты от тех, которые проект Open Web Application Security Project обозначает среди самых критичных и широко распространённых уязвимостей веб-приложений как минимум с 2007 г.»

Среди уязвимостей оказались «вшитые» реквизиты доступа к сопутствующему ПО камер D-Link, а также хранение логинов и паролей к мобильным приложениям в plain text. Общеизвестные и легко предотвращаемые ошибки.

Помимо этого, все видео- и аудиопотоки с IP-камер и других устройств были доступны посторонним без особого труда.

10 лет без права безнадзорности

D-Link удалось обеспечить себе мировое соглашение с ФТК при соблюдении производителем ряда условий.

Во-первых, D-Link внедрит у себя исчерпывающую программу обеспечения безопасности программного обеспечения, которая, согласно пресс-релизу ФТК, будет включать «планирование мер безопасности, моделирование угроз, тестирование на уязвимости до выпуска продуктов, постоянный мониторинг уязвимостей и автоматизированное обновление программных оболочек, равно как и обработку сообщений об уязвимостях со стороны специалистов по безопасности».

Тайваньский производитель роутеров и модемов D-Link проведёт 10 лет под надзором Федеральной торговой комиссии США

Кроме того, каждые два года в течение последующих десяти лет D-Link обязуется проводить аудит безопасности своих разработок силами сторонних организаций, а также опционально пытаться получать сертификат от Международной электротехнической комиссии, подтверждающей соблюдение нормативов безопасности при разработке ПО.

При этом сторонние организации, которые будут проводить аудит в D-Link, будут отчитываться о проделанной работе перед ФТК.

«Тот случай, когда «не хотите по-хорошему, будет по-плохому»: D-Link достаточно было соблюдать базовые нормативы безопасности, чтобы не доводить до судебного процесса, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Теперь компанию юридически обязали принять весь необходимый диапазон мер для обеспечения безопасной разработки - по крайней мере, для устройств, продающихся в США. Хорошо, если те же меры распространятся на оборудование D-Link во всём мире».

Это уже не первый случай, когда ФТК подаёт в суд на производителей ИТ-оборудования - и добивается внесудебного урегулирования процесса: в 2016 г., например, Asus согласился на надзор со стороны ФТК и регулярный сторонний аудит в течение ближайших 20 лет.

Роман Георгиев