Κυβερνοασφάλεια: Oι κίνδυνοι από την μεταπώληση εταιρικών συσκευών

Υπάρχουν καλά δομημένες διαδικασίες για τη σωστή απόσυρση δεδομένων, τονίζει ερευνητής της ESET. «Πολλές εταιρείες δεν τις ακολουθούν αυστηρά όταν προετοιμάζουν συσκευές για τη δευτερογενή αγορά υλικού».

Δημοσιεύθηκε: 25 Απριλίου 2023 - 12:36

Load more

Η ESET, εταιρεία που δραστηριοποιείται στην ψηφιακή ασφάλεια, παρουσίασε νέα έρευνα σχετικά με εταιρικές συσκευές δικτύων που αποσύρθηκαν και στη συνέχεια πουλήθηκαν σε δευτερογενή αγορά. Η ESET εξέτασε τα δεδομένα διαμόρφωσης από 16 διαφορετικούς εταιρικούς routers και διαπίστωσε ότι πάνω από το 56% - εννέα routers - περιείχαν ακόμα ευαίσθητα εταιρικά δεδομένα. Σε λάθος χέρια, αυτά τα δεδομένα είναι αρκετά για να πυροδοτήσουν μια κυβερνοεπίθεση που θα οδηγούσε σε παραβίαση δεδομένων, βάζοντας σε κίνδυνο την εταιρεία, τους συνεργάτες και τους πελάτες της.

Από τις εννέα συσκευές:

"Τα ευρήματα μας είναι εξαιρετικά ανησυχητικά και θα πρέπει να μας αφυπνίσουν", δήλωσε ο Cameron Camp, ερευνητής ασφαλείας της ESET που ηγήθηκε της έρευνας. "Θα περιμέναμε ότι οι μεσαίου και μεγάλου μεγέθους εταιρείες θα είχαν ένα αυστηρό σύνολο πρωτοβουλιών ασφαλείας για την απόσυρση συσκευών, αλλά διαπιστώσαμε το αντίθετο. Οι οργανισμοί πρέπει να είναι πολύ προσεκτικοί σχετικά με το τι παραμένει στις συσκευές που βγάζουν προς πώληση, καθώς η πλειονότητα των συσκευών που πήραμε από τη δευτερογενή αγορά περιείχε ένα ψηφιακό πλάνο της εμπλεκόμενης εταιρείας, συμπεριλαμβανομένων, μεταξύ άλλων, βασικών πληροφοριών δικτύου, δεδομένων εφαρμογών, εταιρικών διαπιστευτηρίων και πληροφοριών σχετικά με συνεργάτες, προμηθευτές και πελάτες".

Όπως αναφέρεται σε σχετική ανακοίνωση, οι οργανισμοί συχνά ανακυκλώνουν τις παλαιές συσκευές μέσω τρίτων εταιρειών που είναι επιφορτισμένες με την επαλήθευση της ασφαλούς καταστροφής ή ανακύκλωσης του ψηφιακού εξοπλισμού και της διάθεσης των δεδομένων που περιέχονται σε αυτόν.

Είτε λόγω σφάλματος της εταιρείας ανακύκλωσης είτε λόγω των διαδικασιών απόρριψης της εταιρείας, στους εταιρικούς routers βρέθηκε μια σειρά από δεδομένα, μεταξύ των οποίων:

"Υπάρχουν καλά δομημένες διαδικασίες για τη σωστή απόσυρση του υλικού και η έρευνα αυτή δείχνει ότι πολλές εταιρείες δεν τις ακολουθούν αυστηρά όταν προετοιμάζουν συσκευές για τη δευτερογενή αγορά υλικού", δήλωσε ο Tony Anscombe, Chief Security Evangelist της ESET. "Η εκμετάλλευση μιας ευπάθειας ή το spearphishing για διαπιστευτήρια είναι δυνητικά σκληρή δουλειά. Όμως η έρευνά μας δείχνει ότι υπάρχει ένας πολύ πιο εύκολος τρόπος για να αποκτήσει κανείς αυτά τα δεδομένα, και όχι μόνο. Προτρέπουμε τους οργανισμούς που ασχολούνται με την απόρριψη συσκευών, την καταστροφή δεδομένων και τη μεταπώληση συσκευών να εξετάσουν προσεκτικά τις διαδικασίες τους και να διασφαλίσουν ότι συμμορφώνονται με τα τελευταία πρότυπα NIST για την απόσυρση των μέσων".

Οι routers της έρευνας προέρχονταν από μεσαίες επιχειρήσεις έως μεγάλες πολυεθνικές που δραστηριοποιούνται σε διάφορους κλάδους (κέντρα δεδομένων, δικηγορικά γραφεία, πάροχοι τεχνολογίας, κατασκευαστικές εταιρίες, εταιρείες τεχνολογίας, δημιουργικά γραφεία και εταιρείες ανάπτυξης λογισμικού).

Στο πλαίσιο της διαδικασίας, η ESET, όπου ήταν δυνατόν, γνωστοποίησε τα ευρήματα σε κάθε οργανισμό - αρκετοί από αυτούς ήταν γνωστές εταιρείες - για να διασφαλίσει ότι είχαν επίγνωση των λεπτομερειών που ενδεχομένως διακυβεύονταν από άλλους στην αλυσίδα φύλαξης των συσκευών.

Ορισμένοι από τους οργανισμούς ήταν εξαιρετικά απρόθυμοι στις επανειλημμένες προσπάθειες της ESET να επικοινωνήσει μαζί τους, ενώ άλλοι έδειξαν την απαιτούμενη προσοχή αντιμετωπίζοντας το συμβάν ως μια ολοκληρωμένη παραβίαση της ασφάλειας.

Υπενθυμίζεται ότι οι οργανισμοί πρέπει να χρησιμοποιούν ένα αξιόπιστο, αρμόδιο τρίτο μέρος για την απόρριψη των συσκευών ή να λαμβάνουν όλες τις απαραίτητες προφυλάξεις εάν χειρίζονται οι ίδιοι την απόσυρση. Αυτό θα πρέπει να επεκτείνεται πέρα από τους routers και τους σκληρούς δίσκους σε κάθε συσκευή που αποτελεί μέρος του δικτύου.

Πολλοί οργανισμοί που συμμετείχαν στην έρευνα αυτή πιθανόν να αισθάνθηκαν ότι είχαν συνάψει συμβόλαια με αξιόπιστους προμηθευτές, αλλά τα δεδομένα τους εξακολουθούσαν να διαρρέουν. Έχοντας αυτό κατά νου, συνιστάται στους οργανισμούς να ακολουθούν τις οδηγίες του κατασκευαστή για την αφαίρεση όλων των δεδομένων από μια συσκευή προτού αυτή εγκαταλείψει τις εγκαταστάσεις τους, ένα απλό βήμα το οποίο μπορούν να χειριστούν πολλά στελέχη του τμήματος πληροφορικής.

Υπενθυμίζεται ότι οι οργανισμοί πρέπει να αντιμετωπίζουν σοβαρά τις κοινοποιήσεις δημοσιοποίησης. Σε αντίθετη περίπτωση μπορεί να είναι ευάλωτοι σε μια δαπανηρή παραβίαση δεδομένων και σε σημαντική ζημία της φήμης τους.

Για να διαβάσετε τη λευκή βίβλο, η οποία περιλαμβάνει πληροφορίες σχετικά με την ασφαλή απόρριψη συσκευών, επισκεφθείτε τη νέα δημοσίευση "Discarded, not destroyed: Old routers reveal corporate secrets" στο WeLiveSecurity.

Load more

Δείτε επίσης

Load more

Σεβόμαστε την ιδιωτικότητά σας

Εμείς και οι συνεργάτες μας χρησιμοποιούμε τεχνολογίες, όπως cookies, και επεξεργαζόμαστε προσωπικά δεδομένα, όπως διευθύνσεις IP και αναγνωριστικά cookies, για να προσαρμόζουμε τις διαφημίσεις και το περιεχόμενο με βάση τα ενδιαφέροντά σας, για να μετρήσουμε την απόδοση των διαφημίσεων και του περιεχομένου και για να αποκτήσουμε εις βάθος γνώση του κοινού που είδε τις διαφημίσεις και το περιεχόμενο. Κάντε κλικ παρακάτω για να συμφωνήσετε με τη χρήση αυτής της τεχνολογίας και την επεξεργασία των προσωπικών σας δεδομένων για αυτούς τους σκοπούς. Μπορείτε να αλλάξετε γνώμη και να αλλάξετε τις επιλογές της συγκατάθεσής σας ανά πάσα στιγμή επιστρέφοντας σε αυτόν τον ιστότοπο.



Πολιτική Cookies
& Προστασία Προσωπικών Δεδομένων