Спецпроекты

Знаменитый производитель «железа» D-Link проведет 10 лет под пристальной слежкой властей США

2911
Безопасность Администратору Стратегия безопасности Пользователю Бизнес Законодательство Техника

В рамках внесудебного соглашения D-Link обязуется реализовать у себя программу безопасной разработки и раз в два года проводить аудит силами сторонних организаций. Те будут подотчётны ФТК.

Детсадовские «баги»

Тайваньский производитель сетевых устройств D-Link и Федеральная торговая комиссия США (Federal Trade Commission, ФТК) урегулировали во внесудебном порядке иск, поданный ФТК ещё два года назад.

Комиссия обвиняла D-Link в халатном отношении к вопросам безопасности роутеров и IP-камер. Согласно официальной жалобе, D-Link не посчитал нужным защищать свои разработки от «широко известных и легко прогнозируемых угроз, связанных с неавторизованным доступом, включая отсутствие защиты от тех, которые проект Open Web Application Security Project обозначает среди самых критичных и широко распространённых уязвимостей веб-приложений как минимум с 2007 г.»

Среди уязвимостей оказались «вшитые» реквизиты доступа к сопутствующему ПО камер D-Link, а также хранение логинов и паролей к мобильным приложениям в plain text. Общеизвестные и легко предотвращаемые ошибки.

Помимо этого, все видео- и аудиопотоки с IP-камер и других устройств были доступны посторонним без особого труда.

10 лет без права безнадзорности

D-Link удалось обеспечить себе мировое соглашение с ФТК при соблюдении производителем ряда условий.

Во-первых, D-Link внедрит у себя исчерпывающую программу обеспечения безопасности программного обеспечения, которая, согласно пресс-релизу ФТК, будет включать «планирование мер безопасности, моделирование угроз, тестирование на уязвимости до выпуска продуктов, постоянный мониторинг уязвимостей и автоматизированное обновление программных оболочек, равно как и обработку сообщений об уязвимостях со стороны специалистов по безопасности».

Тайваньский производитель роутеров и модемов D-Link проведёт 10 лет под надзором Федеральной торговой комиссии США

Кроме того, каждые два года в течение последующих десяти лет D-Link обязуется проводить аудит безопасности своих разработок силами сторонних организаций, а также опционально пытаться получать сертификат от Международной электротехнической комиссии, подтверждающей соблюдение нормативов безопасности при разработке ПО.

При этом сторонние организации, которые будут проводить аудит в D-Link, будут отчитываться о проделанной работе перед ФТК.

«Тот случай, когда «не хотите по-хорошему, будет по-плохому»: D-Link достаточно было соблюдать базовые нормативы безопасности, чтобы не доводить до судебного процесса, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Теперь компанию юридически обязали принять весь необходимый диапазон мер для обеспечения безопасной разработки - по крайней мере, для устройств, продающихся в США. Хорошо, если те же меры распространятся на оборудование D-Link во всём мире».

Это уже не первый случай, когда ФТК подаёт в суд на производителей ИТ-оборудования - и добивается внесудебного урегулирования процесса: в 2016 г., например, Asus согласился на надзор со стороны ФТК и регулярный сторонний аудит в течение ближайших 20 лет.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка