Je hebt er inmiddels over gelezen FTC-schikking met HTC — de eerste handhavingsactie van het agentschap tegen een fabrikant van mobiele apparaten. Volgens de klachtToen HTC het besturingssysteem aanpaste dat in veel van zijn producten werd gebruikt, introduceerde het beveiligingsproblemen die gevoelige gebruikersinformatie in gevaar brachten. Naast de vereiste implementatie van een alomvattend beveiligingsprogramma, voorgestelde volgorde bevat een unieke eerste oplossing: HTC verplichten softwarepatches te ontwikkelen en vrij te geven om kwetsbaarheden in miljoenen van zijn apparaten te verhelpen.
Deze schikkingsvoorwaarden zijn uiteraard alleen van toepassing op HTC. Maar er zijn nog steeds dingen waar elk bedrijf over moet nadenken. Heeft u er ooit over nagedacht welke impact deze zaak op uw bedrijf zal hebben?
A tot Z, van voor tot achter, van soep tot noten. Wat het cliché ook is Vandaagde boodschap blijft hetzelfde: slimme bedrijven bouwen Security By Design in elk aspect van hun bedrijf. Tot nu toe hadden de gegevensbeveiligingszaken van de FTC betrekking op netwerkbeveiliging, maar de schikking van HTC bevestigt dat softwarebeveiliging ook een belangrijk onderdeel is. Bovendien is beveiliging geen ‘one and done’-vakje om een TO DO-lijst af te vinken. Succesvolle bedrijven begrijpen dat het beveiligen van gegevens een continu proces is. Om blijvende betrokkenheid te garanderen, heb je mensen en procedures nodig.
Douane opruimen. Tegenwoordig is het gebruikelijk dat een product software gebruikt die door een ander bedrijf is ontwikkeld. Het aanpassen van de software is prima, zolang dit de veiligheid niet in gevaar brengt. Zoals uitgelegd in de FTC-klacht, heeft HTC het Android-besturingssysteem op zijn apparaten zodanig aangepast dat de apparaten minder veilig zijn geworden – en in sommige gevallen zelfs de beveiligingsfuncties hebben overtreden die al aanwezig waren in de originele versie. Dat is een reden waarom bedrijven bij elke stap van het ontwerpproces aan beveiliging moeten denken.
Luisteren! De technologiewereld zit vol met onderzoekers, academici en slimme gebruikers die uw producten voortdurend testen en aanpassen. Vaak zijn dit de mensen in de kolenmijn die op de hoogte zijn van mogelijke problemen voordat het bedrijf dat doet. Het is dus verstandig om de communicatielijnen open te houden. De FTC-klacht beschuldigt HTC ervan er niet in te zijn geslaagd een proces te implementeren voor het ontvangen en behandelen van rapporten over beveiligingsproblemen van onderzoekers, academici of leden van het publiek. Als HTC had geluisterd, zei de FTC dat het sneller had kunnen handelen om het beveiligingslek te verhelpen. Er bestaat niet één beste manier om kanalen open te houden, maar het moet onderdeel zijn van een effectief, alomvattend beveiligingsprogramma.
“Patchbare” canon. Dit is misschien niet interessant voor u, maar laten we eerlijk zijn: fouten kunnen gebeuren – en het toepassen van patches is een gebruikelijke manier voor bedrijven om beveiligingsrisico’s aan te pakken nadat ze zich hebben voorgedaan. Maar in sommige gevallen lijkt het erop dat de patches niet zo snel bij de consument terechtkomen als zou moeten, waardoor gebruikers achterblijven met verouderde en kwetsbare producten. Kijk wat het is De hoofdtechnoloog van de FTC gaf zijn mening over de kwestie.
Meer dan alleen mobiel. De lessen uit de HTC-overeenkomst beperken zich niet tot de mobiele-apparatenindustrie. Als u of uw klanten verbonden producten op de markt brengen – of het nu gaat om een smartphone waar consumenten nooit zonder gaan, een slimme tv op de werkplek of een slimme thermostaat aan de muur – zou softwarebeveiliging een zorg voor uw bedrijf moeten zijn.
Doe jouw deel. Consumenten die verliezen lijden als gevolg van inbreuken op de beveiliging, voeren niet altijd autopsies in CSI-stijl uit om de exacte oorzaak vast te stellen. Als ze eenmaal gebeten zijn, worden ze verlegen als het gaat om het downloaden van nieuwe apps, het kopen van nieuwe apparaten of het abonneren op nieuwe diensten. Simpel gezegd: de kwetsbaarheden stroomafwaarts of stroomopwaarts kunnen opdrogen de jouwe bedrijf. Daarom is het in uw belang om te helpen als u iets kunt doen om de veiligheid te verbeteren, wat de oorzaak ook is. Eén manier waarop u impact kunt maken: neem deel aan de FTC 4 juni 2013, openbare fora richten zich op veiligheidsbedreigingen waarmee gebruikers van smartphones en andere mobiele technologieën worden geconfronteerd. Stel onderwerpen voor discussie voor of gooi je hoed in de ring ter overweging als panellid via e-mail mobilethreats@ftc.gov uiterlijk 28 maart.
Heeft u opmerkingen over de voorgestelde schikking van HTC? Dien ze in online door 22 maart 2013deadlines.
Als je vragen hebt voor HTC over je apparaat, kun je het bedrijf gratis bellen op 866-449-8358.
