Роутери належали різним організаціям-від середнього бізнесу до великих підприємств в різних галузях.
Компанія ESET ― лідер у галузі інформаційної безпеки ― опублікувала нове дослідження пристроїв корпоративної мережі, які були продані на вторинному ринку. Переглянувши дані конфігурації 16 різних мережевих пристроїв, спеціалісти ESET виявили, що понад 56%, а саме дев’ять роутерів, містили конфіденційні дані компаній.
З дев’яти роутерів з даними конфігурації:
"Результати дослідження викликають занепокоєння та мають стати попереджувальним сигналом, — розповідає Кемерон Кемп, дослідник ESET. — Ми очікували, що середні та великі компанії дотримуватимуться суворих заходів безпеки в процесі припинення експлуатації пристроїв, але ми виявили протилежне. Організаціям потрібно розуміти, що залишається на пристроях, які вже непотрібні, оскільки більшість пристроїв, які ми отримали на вторинному ринку, містили цифровий план компанії, включаючи інформацію про основну мережу, дані додатків, корпоративні облікові дані та інформацію про партнерів, постачальників і клієнтів".
Організації часто утилізують застарілу техніку через сторонні компанії, які відповідають за перевірку безпечного знищення або переробки цифрового обладнання та утилізацію даних на ньому. Однак через помилки таких організацій чи через недосконалі внутрішні процеси утилізації самих компаній, на роутерах було знайдено низку даних, зокрема:
"Існують регламентовані процеси належного припинення експлуатації апаратного забезпечення, і це дослідження показує, що багато компаній не дотримуються їх під час підготовки пристроїв для вторинного ринку, — розповідає Тоні Анскомб, головний спеціаліст ESET із безпеки. — Використання уразливості або виманювання облікових даних є потенційно складним процесом для кіберзлочинців. Але наше дослідження показує, що є набагато простіший спосіб отримати ці дані. Ми закликаємо організації, які займаються утилізацією пристроїв, очищенням даних і перепродажем пристроїв, уважно переглянути свої процеси та переконатися, що вони відповідають актуальним стандартам NIST".
Роутери в цьому дослідженні належали різним організаціям – від середнього бізнесу до великих підприємств у різних галузях (центри обробки даних, юридичні фірми, сторонні постачальники технологій, виробничі та технологічні компанії, а також розробники програмного забезпечення). У рамках процесу виявлення спеціалісти ESET, де це було можливо, ділилися висновками з кожною ідентифікованою організацією. Деякі з цих організацій не реагували на неодноразові спроби ESET зв’язатися з ними, тоді як інші розглядали подію як повномасштабне порушення безпеки.
Тож організаціям потрібно переконатися, що вони використовують перевірену та компетентну компанію для утилізації пристроїв або вживають усіх необхідних запобіжних заходів у разі самостійного виведення з експлуатації. Це стосується на лише роутерів та жорстких дисків, а й будь-якого пристрою, який є частиною мережі. Зважаючи на це, організаціям рекомендується дотримуватися вказівок виробника щодо видалення всіх даних із пристрою перед тим, як пристрій залишить межі корпоративної мережі.
Також компаніям слід серйозно ставитися до повідомлень про витік важливих даних. В іншому випадку вони можуть зіткнутися з серйозним витоком даних та значною репутаційною шкодою надалі.
Детальніше дослідження читайте за посиланням.
Довідка. ESET — експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.