Nu heb je erover gelezen FTC’s schikking met HTC — de eerste handhavingsactie van het agentschap tegen een fabrikant van mobiele apparaten. Volgens de klachtToen HTC de besturingssystemen die op veel van zijn producten werden gebruikt, aanpaste, introduceerde het beveiligingsproblemen die de gevoelige informatie van gebruikers in gevaar brachten. Naast het vereisen van de implementatie van een uitgebreid beveiligingsprogramma voorgestelde volgorde bevat een oplossing die uniek is in zijn soort: HTC verplichten softwarepatches te ontwikkelen en vrij te geven om kwetsbaarheden in miljoenen van zijn apparaten te verhelpen.
De voorwaarden van de schikking gelden uiteraard alleen voor HTC. Maar er zijn nog steeds punten waar elk bedrijf rekening mee moet houden. Heeft u er al over nagedacht wat de case voor uw bedrijf kan betekenen?
A tot Z, van voor tot achter, van soep tot noten. Ongeacht het cliché van de dagde boodschap blijft hetzelfde: ervaren bedrijven bouwen Security By Design in elk aspect van hun bedrijf. Tot nu toe hadden de gegevensbeveiligingszaken van de FTC betrekking op netwerkbeveiliging, maar in de HTC-schikking staat dat softwarebeveiliging ook een belangrijk onderdeel is. Bovendien is beveiliging geen ‘one and done’-vakje om een TO DO-lijst af te vinken. Succesvolle bedrijven begrijpen dat het handhaven van gegevensbeveiliging een continu proces is. U heeft mensen en procedures nodig om voortdurende betrokkenheid te garanderen.
Douaneafhandeling. Tegenwoordig is het gebruikelijk dat een product software bevat die door andere bedrijven is ontwikkeld. Het is prima om die software aan te passen, zolang dit de veiligheid niet ondermijnt. Zoals de klacht van de FTC uitlegt, heeft HTC het Android-besturingssysteem op zijn apparaten zodanig aangepast dat de apparaten minder veilig zijn geworden – en in sommige gevallen zelfs de beveiligingsfuncties hebben ondermijnd die al in het origineel aanwezig waren. Dat is een van de redenen waarom bedrijven bij elke stap van het ontwerpproces aan beveiliging moeten denken.
Luister! De technologiewereld zit vol met onderzoekers, academici en deskundige gebruikers die voortdurend uw producten testen en eraan sleutelen. Vaak zijn zij de kanaries in de kolenmijn, die potentiële problemen signaleren voordat bedrijven dat doen. Het is dus verstandig om de communicatielijnen open te houden. In de klacht van de FTC werd aangevoerd dat HTC er niet in was geslaagd een proces te implementeren voor het ontvangen en verwerken van rapporten over beveiligingsproblemen van onderzoekers, academici of leden van het publiek. Als HTC had geluisterd, zegt de FTC, had het sneller kunnen handelen om de kwetsbaarheden te verhelpen. Er is geen one-size-fits-all manier om kanalen open te houden, maar het zou onderdeel moeten zijn van elk effectief alomvattend beveiligingsprogramma.
“Patchables”-kanon. Dit klinkt misschien niet als muziek in de oren, maar laten we eerlijk zijn: bugs kunnen voorkomen – en het implementeren van patches is een gebruikelijke manier voor bedrijven om in de loop van de tijd met beveiligingsrisico’s om te gaan. Maar in sommige gevallen lijkt het erop dat patches niet zo snel bij de consument terechtkomen als zou moeten, waardoor gebruikers met producten achterblijven die verouderd en kwetsbaar zijn. Kijk eens naar wat De hoofdtechnoloog van de FTC zegt over de kwestie.
Meer dan mobiel. De lessen uit de HTC-schikking reiken verder dan de mobiele-apparatenindustrie. Als u of uw klanten verbonden producten op de markt brengen (of het nu de mobiele smartphone is waar de consument altijd zonder wil, de smart-tv in de studeerkamer of de slimme thermostaat aan de muur), moet softwarebeveiliging belangrijk zijn voor uw bedrijf.
Doe jouw deel. Een consument die schade heeft geleden als gevolg van een inbreuk op de beveiliging, voert niet altijd een CSI-achtige autopsie uit om de exacte oorzaak vast te stellen. Eenmaal gebeten, zijn ze twee keer verlegen om nieuwe apps te downloaden, nieuwe apparaten te kopen of zich op nieuwe diensten te abonneren. Simpel gezegd: een stroomafwaartse of stroomopwaartse kwetsbaarheid kan opdrogen jouw bedrijf. Daarom is het in uw belang om een handje te helpen als u iets kunt doen om de veiligheid te vergroten, ongeacht de reden. Eén manier waarop u impact kunt maken: sluit u aan bij de FTC’s 4 juni 2013, publiek forum over veiligheidsbedreigingen richting gebruikers van smartphones en andere mobiele technologieën. Stel onderwerpen voor discussie voor of gooi je hoed in de ring om als panellid in overweging te nemen door een e-mail te sturen mobilethreats@ftc.gov vóór 28 maart.
Heeft u opmerkingen over de voorgestelde HTC-schikking? Archiveer ze online van 22 maart 2013termijn.
Als je vragen hebt voor HTC over je apparaat, kun je het bedrijf gratis bellen op 866-449-8358.
