Cisco betalar 8,6 miljoner dollar för att lösa påståenden om att det sålde felaktig programvara till USA
Cisco kommer att betala 8,6 miljoner dollar för att lösa påståenden om att den medvetet sålde videoövervakningsprogramvara som innehöll säkerhetsfel till den amerikanska regeringen och militära myndigheter.
Programvarupaketet, kallat Video Surveillance Manager, såldes för ungefär ett decennium sedan till Department of Homeland Security, Secret Service, den amerikanska armén och många andra federala, statliga och lokala regeringsavdelningar, enligt ett 2011 klagomål, som var otätad på onsdagen.
Ciscos produkt är designad för användning i bland annat flygplatser, regeringsbyggnader och militärbaser. Men enligt klagomålet var systemet också fullt av säkerhetssårbarheter som riskerade att kompromissa med andra datorer som var anslutna till det. Om de utnyttjas kan bristerna låta en hackare bryta sig in i en myndighets nätverk och stjäla data utan upptäckt.
År 2008 upptäckte en anställd hos en företagsdistributionspartner i Danmark, James Glenn, bristerna och lämnade rapporter till Cisco, varnade för faran. I klagomålet hävdas att Cisco var medveten om rapporterna, men beslutade att sälja den ouppdaterade programvaran ändå.
Glenn bestämde sig sedan för att ta Cisco till domstol genom den federala lagen om falska anspråk, som tillåter någon att rapportera bedrägeri och uppförande av federala regeringskontrakt och vinna en ekonomisk belöning. Som en del av hans anspråk gick 15 stater med i hans rättegång mot företaget.
Cisco bagatelliserar det hot som programvaran utgjorde. “Det fanns inga anklagelser eller bevis för att obehörig åtkomst till kundens video inträffade som ett resultat av arkitekturen”, säger företaget i ett uttalande.
I ett blogginlägg tillade Cisco att den inblandade tekniken kom från Broadware, som den förvärvade 2007 och gynnade genom att använda en “öppen arkitektur” på sina säkerhetsprodukter. “2009 publicerade vi en Best Practices Guide där vi betonade att användarna måste ägna särskild uppmärksamhet åt att bygga nödvändiga säkerhetsfunktioner ovanpå den programvara som de licensierade från oss. Och i juli 2013 rekommenderade vi att kunderna skulle uppgradera till en ny version av programvara som behandlade säkerhetsfunktioner. All försäljning av de äldre versionerna av programvaran hade avslutats i september 2014, säger företaget.
Ändå gick Cisco med på förlikningen på 8,6 miljoner dollar och kallade det en “partiell återbetalning” till den amerikanska federala regeringen och de 16 stater som köpte de drabbade produkterna.
Även om uppgörelsen är relativt liten för Cisco, ett företag som tar in miljarder varje år, är det första gången ett cybersäkerhetsärende har resulterat i en framgångsrik utbetalning enligt False Claims Act, enligt Glenns advokater. Detta kan gnista andra att lämna in liknande rättegångar mot teknologileverantörer till USA: s regering över tidigare dataintrång eller säkerhetsfel.
“Teknikindustrin måste uppfylla sitt professionella ansvar för att skydda allmänheten från sina produkter och tjänster”, sa Glenn i ett uttalande. “Det finns den här kulturen som tenderar att prioritera vinst och rykte framför att göra vad som är rätt. Jag hoppas att jag kommer fram med min erfarenhet får andra i teknologinsamhället att tänka på deras etiska mandat.”
