Nuevo programa de seguridad de software de D-Link
Según el acuerdo de 32 páginas, el nuevo programa de seguridad de software de D-Link debe incluir los siguientes elementos:
- Participar en la planificación de la seguridad enumerando por escrito cómo la funcionalidad y las características afectarán a la seguridad de sus dispositivos.
- Realización del modelado de amenazas para identificar riesgos internos y externos a la seguridad de los datos transmitidos a través de sus dispositivos.
- Revisar el código fuente y realizar pruebas de vulnerabilidades antes de lanzar productos utilizando herramientas de análisis estático automatizado.
- Realizar un mantenimiento continuo del código mediante el mantenimiento de una base de datos de código compartido, que se utilizará para ayudar a encontrar otras instancias de una vulnerabilidad cuando se informa de ella o se descubre de otro modo.
- Procesos de remediación diseñados para tratar las fallas de seguridad, o instancias análogas de fallas de seguridad, identificadas en cualquier etapa del proceso de desarrollo de software.
- Seguimiento continuo de la investigación sobre seguridad para detectar posibles vulnerabilidades que puedan afectar a sus productos.
- Un proceso para aceptar los informes de vulnerabilidad de los investigadores de seguridad, que incluirá la designación de un punto de contacto para los investigadores de seguridad y la designación de personal de supervisión para validar los problemas.
- Implementar un mecanismo de actualización automática de firmware para sus dispositivos.
- Advertir a los propietarios de dispositivos que un modelo específico ha dejado de recibir actualizaciones de seguridad, al menos 60 días antes de que la empresa decida dejar de dar soporte a un modelo.
El acuerdo se deriva de una queja ante la FTC en 2017, en la que la agencia estadounidense acusaba al fabricante de dispositivos taiwanés de dejar credenciales de código duro para sus productos y aplicaciones móviles en su firmware o código fuente, lo que abrió a los clientes a la piratería informática.
D-Link ha dado la bienvenida al acuerdo
En un comunicado de prensa, D-Link ha expresado que “este acuerdo contrasta marcadamente con otras órdenes de consentimiento de la FTC con empresas de IoT, que incluyen restricciones muy amplias sobre lo que esas empresas pueden decir acerca de sus productos. Es importante destacar que, a diferencia de otros asuntos de IoT en los que la FTC había alegado ‘decepción’, la orden propuesta hoy no contiene tales restricciones”.
Por otro lado, la FTC también otorgó a D-Link un puerto seguro de dos años para su nuevo programa de seguridad, de manera que el fabricante de hardware pueda obtener todas las certificaciones de seguridad necesarias para su nuevo programa de seguridad de software.
En 2016, la FTC llegó a un acuerdo similar con ASUS, que aceptó 20 años de auditorías de seguridad después de no haber conseguido proteger sus routers.