D-Link krijgt tien jaar lang strenge security-proeven na FTC-deal

D-Link heeft een akkoord bereikt met de Amerikaanse FTC, als gevolg van een rechtszaak uit 2017. Als onderdeel van de overeenkomst moet het bedrijf een nieuw software-beveiligingsprogramma voor zijn routers en met het internet verbonden camera’s instellen.

D-Link werd in 2017 door de FTC aangeklaagd, omdat het de beveiliging van zijn apparaten onjuist weergaf en rapporten over kwetsbaarheden negeerde.

Nu is er dus een overeenkomst gesloten, waarmee de zaak tot een einde komt. Volgens die overeenkomst moet D-Link niet alleen een nieuw beveiligingsprogramma opzetten, maar krijgt het ook tien jaar lang halfjaarlijkse beveiligingsaudits van een derde partij, meldt ZDNet.

Wie die derde partij is, mag de FTC kiezen. D-Link mag kiezen welke certificeringen de auditor moet hebben voordat de partij het beveiligingsprogramma mag bekijken.

Beveiligingsprogramma

Het nieuwe beveiligingsprogramma moet een aantal verplichte componenten bevatten, zo blijkt uit de overeenkomst tussen de twee partijen. Zo moet het bedrijf betrokken zijn bij de beveiligingsplanning, door schriftelijk te laten weten hoe functies en functionaliteit de beveiliging van de apparaten beïnvloedt.

Daarnaast moet er threat-modeling uitgevoerd worden om interne en externe risico’s voor de beveiliging van data die verzonden wordt door de apparaten te bepalen. D-Link moet bovendien de broncode controleren en testen op kwetsbaarheden, voordat producten op de markt worden gebracht. Dit moet met geautomatiseerde, statische analysetools.

Verder moet de code doorlopend onderhouden worden, door een database met gedeelde code te onderhouden die gebruikt kan worden om andere instances van een kwetsbaarheid te vinden als zo’n kwetsbaarheid ontdekt is. Mocht er zo’n fout ontdekt worden, dan moet er een proces ingezet worden om het probleem op te lossen.

Het bedrijf moet verder beveiligingsonderzoek naar mogelijke kwetsbaarheden die zijn producten kunnen treffen monitoren, en een proces instellen voor het accepteren van kwetsbaarheidrapporten van beveiligingsonderzoekers. Eigenaren van een apparaat moeten tot slot gewaarschuwd worden als ze bijna geen beveiligingsupdates meer krijgen.

D-Link is blij

D-Link zegt zelf de overeenkomst te verwelkomen. Ook zegt het bedrijf blij te zijn dat de FTC niet claimde dat D-Link opzettelijk zijn klanten misleidde, en dat de FTC het bedrijf niet verbood om verklaringen af te leggen over de beveiliging van zijn apparaten.

Natuurlijk was het bedrijf ook blij dat het geen boete kreeg, wat vaak wel gebeurt als de FTC een overeenkomst sluit na een rechtszaak.