Inmiddels heb je gelezen over de FTC’s schikking met HTC — de eerste wetshandhavingsactie van het agentschap tegen een fabrikant van mobiele apparaten. Volgens de klachtToen HTC de besturingssystemen die op veel van zijn producten werden gebruikt, aanpaste, introduceerde het beveiligingsproblemen die de gevoelige informatie van gebruikers in gevaar brachten. Naast de vereiste implementatie van een alomvattend beveiligingsprogramma, heeft de voorgestelde volgorde bevat een oplossing die uniek is in zijn soort: HTC verplichten softwarepatches te ontwikkelen en vrij te geven om kwetsbaarheden in miljoenen van zijn apparaten te verhelpen.
De voorwaarden van de schikking zijn uiteraard alleen van toepassing op HTC. Maar er zijn nog steeds punten waar elk bedrijf over moet nadenken. Heeft u er al over nagedacht wat de zaak voor uw bedrijf kan betekenen?
A tot Z, van voor tot achter, van soep tot noten. Wat het cliché ook is van de dagblijft de boodschap hetzelfde: slimme bedrijven bouwen Security By Design in elk aspect van hun bedrijf. Tot nu toe hadden de gegevensbeveiligingszaken van de FTC betrekking op netwerkbeveiliging, maar de HTC-schikking maakt duidelijk dat softwarebeveiliging ook een belangrijk onderdeel is. Bovendien is beveiliging geen “one and done” vakje om een TO DO-lijst af te vinken. Succesvolle bedrijven begrijpen dat het handhaven van gegevensbeveiliging een continu proces is. Je hebt mensen en procedures nodig om een blijvende betrokkenheid te garanderen.
Douane opruimen. Tegenwoordig is het gebruikelijk dat een product software bevat die door andere bedrijven is ontwikkeld. Het aanpassen van die software is prima, zolang het de veiligheid niet ondermijnt. Zoals de klacht van de FTC uitlegt, heeft HTC het Android-besturingssysteem op zijn apparaten aangepast op manieren die de apparaten minder veilig maakten – in sommige gevallen zelfs de beveiligingsfuncties ondermijnend die al in het origineel aanwezig waren. Dat is een reden waarom bedrijven bij elke stap van het ontwerpproces aan beveiliging moeten denken.
Luister! De technische wereld zit vol met onderzoekers, academici en slimme gebruikers die voortdurend uw producten testen en eraan sleutelen. Het zijn vaak de kanaries in de kolenmijn die potentiële problemen signaleren voordat bedrijven dat doen. Het is dus verstandig om de communicatielijnen open te houden. In de klacht van de FTC werd aangevoerd dat HTC er niet in was geslaagd een proces te implementeren voor het ontvangen en behandelen van rapporten over beveiligingsproblemen van onderzoekers, academici of leden van het publiek. Als HTC had geluisterd, zegt de FTC dat het sneller had kunnen handelen om de kwetsbaarheden te corrigeren. Er is geen one-size-fits-all beste manier om de kanalen open te houden, maar het zou onderdeel moeten zijn van elk effectief alomvattend beveiligingsprogramma.
“Patchables”-kanon. Dit klinkt je misschien niet als muziek in de oren, maar laten we eerlijk zijn: er gebeuren fouten – en het implementeren van patches is een gebruikelijke manier voor bedrijven om achteraf beveiligingsrisico’s aan te pakken. Maar in sommige gevallen lijkt het erop dat patches niet zo snel bij de consument terechtkomen als zou moeten, waardoor gebruikers met producten achterblijven die verouderd en kwetsbaar zijn. Kijk eens wat de De hoofdtechnoloog van de FTC zegt over dit probleem.
Meer dan mobiel. De lessen van de HTC-schikking reiken verder dan de mobiele-apparatenindustrie. Als u of uw klanten verbonden producten op de markt brengen – of het nu de mobiele smartphone is waar de consument nooit zonder moet, de smart-tv in de studeerkamer of de slimme thermostaat aan de muur – moet softwarebeveiliging belangrijk zijn voor uw bedrijf.
Doe uw steentje. Een consument die schade heeft geleden als gevolg van een inbreuk op de beveiliging, laat niet altijd een autopsie in CSI-stijl uitvoeren om de precieze oorzaak vast te stellen. Eenmaal gebeten, zijn ze twee keer verlegen om nieuwe apps te downloaden, nieuwe apparaten te kopen of zich te abonneren op nieuwe diensten. Simpel gezegd: een kwetsbaarheid stroomafwaarts of stroomopwaarts kan opdrogen jouw bedrijf. Daarom is het in uw belang om een handje te helpen als u iets kunt doen om de veiligheid te vergroten, ongeacht de oorzaak. Eén manier waarop u impact kunt hebben: neem deel aan de FTC’s 4 juni 2013, openbaar forum dat veiligheidsbedreigingen aanpakt waarmee gebruikers van smartphones en andere mobiele technologieën worden geconfronteerd. Stel onderwerpen voor discussie voor of gooi je hoed in de ring om als panellid in aanmerking te komen door een e-mail te sturen mobilethreats@ftc.gov tegen 28 maart.
Heeft u opmerkingen over de voorgestelde HTC-schikking? Archiveer ze online door de 22 maart 2013termijn.
Als je vragen hebt voor HTC over je apparaat, kun je het bedrijf gratis bellen op 866-449-8358.
