Cisco заплатит $8,6 млн за халатность
Камеры, которые продавала компания, содержали уязвимость и Cisco об этом знала, но молчала о ней одиннадцать лет.
Дело касается программного обеспечения, предназначенного для линейки камер наблюдения Cisco. В 2008 году Джеймс Гленн, работавший на субподрядчика Cisco, обнаружил уязвимость и предоставил через онлайн-форму для таких случаев компании подробный отчет, в котором сообщалось, в чем заключается неисправность, и что любой злоумышленник, даже с посредственными представлениями о сетевой безопасности, может ее использовать. На протяжении всего года Гленн пытался достучаться до Cisco, но ответа так и не получил. В 2009 году он был уволен из NetDesign, но судя по всему эти два факта не связаны.
До нынешнего времени Cisco никак не освещала этот случай и не предупреждала своих клиентов о подобной опасности. Исправления были внесены только в 2012 году вместе с обновлением версии программного обеспечения. При этом Гленн еще в 2010 году связался с властями и правоохранительными органами Лос-Анджелеса, в аэропорте которого обнаружил те самые камеры, чтобы сообщить о проблеме. Продажа уязвимой версии была остановлена лишь в сентябре 2014 года. Рекомендации для тех, кто ее использовал, не выпускались вплоть до 2015 года.
ПО поставлялось в больницы, аэропорты, школы и госорганы США. В том числе в Секретную службу США, Федеральное агентство по управлению в чрезвычайных ситуациях, военные ведомства и полицейские департаменты.
Важно отметить, что недостаток был связан именно с контролем доступа, что делало оборудование слишком открытым для стороннего вмешательства. Это привело к тому, что продукты не соответствовали структуре Национального института стандартов в области технологий (NIST), который диктует меры безопасности для компаний, желающих вести дела с федеральным правительством. Многие государственные и местные агентства также требуют соблюдения NIST.
Так как долгое время продукция Cisco соответствовала этому стандарту, суд Западного округа Нью-Йорка не привлек ее к ответу, однако, в конечном итоге к иску Гленна присоединились Министерство юстиции, 15 штатов и правительство Западного округа Нью-Йорка. Джеймс Гленн потребовал от Cisco компенсации в размере $8,6 млн, из которых он лично получит 20% суммы, а остальные 80% перейдут государству.
Cisco придерживается позиции, что ее системы видеонаблюдения специально спроектированы подобным образом, так как это дает заказчику возможность самостоятельно дополнять их своими защитными решениями. Однако компания отметила, что рада завершению спора.
«Удивительно, что таких дел больше не возбуждено», – отметила Энн Хартман, адвокат Гленн.
Источник: cnbc.com