Router- en IoT-specialist D-Link staat toe dat de FTC in de VS tien jaar lang audits zal uitvoeren om de veiligheid van producten te verifiëren als antwoord op een rechtszaak naar aanleiding van abominabele beveiliging.
IoT-producten mankeren tot vandaag vaak broodnodige beveiligingsfuncties maar D-Link maakte het in het verleden zelfs naar verouderde normen erg bond. Dubieuze praktijken zoals een hard gecodeerd, eenvoudig te raden en onveranderbaar wachtwoord in webcams (‘guest’) en plaintext-wachtwoordopslag van app-gebruikers leverde het bedrijf een klacht van de Federal Trade Commission in de VS op.
Audits
In die zaak zijn beide partijen nu overeengekomen. Hoeksteen van de overeenkomst is een toegift van D-Link waarbij het bedrijf tot 2030 tweejaarlijkse audits van de FTC inzake veiligheid toelaat. “We spanden een zaak aan tegen D-Link op basis van de beveiliging van routers en IP-camera’s”, zegt FTC’s directeur voor consumentenbescherming. “Fabrikanten van toestellen moeten beseffen dat de FTC hen verantwoordelijk zal houden inzake risico’s op blootstelling van data van consumenten.”
De FTC struikelt over het feit dat D-Link zijn producten aanprijs als zijnde uitgerust met ‘geavanceerde netwerkbeveiliging’, terwijl ze gekende en eenvoudig te voorkomen beveiligingsproblemen bevatten.
Absolute minimum
Als onderdeel van de overeenkomst moet D-Link voortaan ook opzoek gaan naar kwetsbaarheden voor het een product uitbrengt. Als een stuk hardware eenmaal in de rekken ligt wordt van D-link verwacht dat het de beveiliging verder monitort en wanneer een externe beveiligingsonderzoeker toch een probleem vindt, verwacht de FTC dat D-Link met die info aan de slag gaat. Kortom: het bedrijf moet voortaan minstens het absolute minimum ingegeven door gezond verstand doen om zijn producten veilig te houden.
Hoewel het hier om een Amerikaanse zaak gaat, kan je ervan uit gaan dat de beslissing een goede zaak is voor D-Link-hardware wereldwijd. De eisen inzake beveiliging zullen immers over het hele productportfolio gelden. Bovendien zendt de FTC een krachtig signaal over verantwoordelijkheid bij het uitbrengen van IoT-producten. Veiligheid moet op de eerste plaats komen, of er dreigt aansprakelijkheid.