Cisco zapłaci 8,6 mln dol. kary. Świadomie narazili Secret Service i Armię USA

Cisco Systems zgodziło się zapłacić 8,6 mln dol. kary jako ugodę w sprawie, w której firmie zarzucono sprzedaż dziurawego systemu nadzoru wideo, pomimo świadomości istnienia luki. System zakupiły m.in. amerykańskie federalne i stanowe agencje rządowe.

Uważa się, że jest to pierwsza kara w ramach tzw. ustawy o fałszywych deklaracjach, przyznana z powodu niespełnienia standardów bezpieczeństwa cybernetycznego. Mówiąc wprost, chodzi o świadome wprowadzenie w błąd klienta, który jest przekonany o zakupie sprzętu pozbawionego wad. Cisco wiedziało o problemach, a mimo to oferowało system jako bezpieczny.

Proces rozpoczął się osiem lat temu, w 2011 roku. Jeden z podwykonawców firmy Cisco, James Glenn, oskarżył przedsiębiorstwo właśnie o sprzedaż technologii nadzoru wideo agencjom federalnym po tym, jak ujawnione zostały istotne luki w zabezpieczeniach oprogramowania towarzyszącego.

Jak wynika z dokumentów sądowych opublikowanych przez "The Hacker News", Glenn wraz ze znajomym odkryli luki w zabezpieczeniach pakietu Cisco Video Surveillance Manager (VSM) we wrześniu 2008 roku i próbowali zgłosić je firmie w październiku 2008 roku. Nieoczekiwanie, zamiast podziękowań i premii, obaj panowie dostali wypowiedzenie. Pracowali wówczas dla Net Design, partnera Cisco. Za oficjalny powód podano cięcie kosztów. Tymczasem sprawa została zamieciona pod dywan.

Program VSM jest menedżerem kamer Cisco. Pozwala śledzić obraz z wielu lokalizacji, również zdalnych. Glenn odkrył, że w łatwy sposób można uzyskać nieuprawniony dostęp do przekazu z systemu, jak również wyciągnąć nagrania przechowywane w archiwach.

Co istotne, z narzędzia korzystają kluczowe organizacje Stanów Zjednoczonych, takie jak Departament Bezpieczeństwa Krajowego, Federalna Agencja Zarządzania Kryzysowego, Secret Service czy US Army. Tym bardziej szokujące jest, że Cisco nie zamierzało interweniować.

Kiedy w 2010 roku Glenn przekonał się, że błąd pozostaje niewyeliminowany, poszedł z dokumentacją do Federalnych. Ci wystąpili jako strona w sporze sądowym z Cisco. Dopiero po złożeniu pozwu przedsiębiorstwo uznało luki w zabezpieczeniach (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431). Teraz, w ramach ugody, zgodziło się zapłacić 8,6 mln dol. kary, z czego 7 mln na rzecz poszkodowanych agencji i urzędów stanowych, a 1,6 mln – Glenna i jego prawników.

Cisco wydało też zaktualizowaną wersję VSM, zasłaniając się stwierdzeniem, że "nie mają informacji na temat jakichkolwiek naruszeń bezpieczeństwa wskutek odkrytych luk".