Роутеры принадлежали разным организациям — от среднего бизнеса до крупных предприятий в различных отраслях.
Компания ESET ― лидер в области информационной безопасности ― опубликовала новое исследование устройств корпоративной сети, проданных на вторичном рынке. Просмотрев данные конфигурации 16 различных сетевых устройств, специалисты ESET обнаружили, что более 56%, а именно девять роутеров, содержали конфиденциальные данные компаний.
Из девяти роутеров с данными конфигурации:
"Результаты исследования вызывают беспокойство и должны стать предупредительным сигналом, — рассказывает Кэмерон Кэмп, исследователь ESET. — Мы ожидали, что у средних и крупных компаний будут придерживаться строгих мер безопасности в процессе прекращения эксплуатации устройств, но мы обнаружили обратное. Организациям следует понимать, что остается на уже ненужных устройствах, поскольку большинство устройств, которые мы получили на вторичном рынке, содержали цифровой план компании, включая информацию об основной сети, данные приложений, корпоративные учетные данные и информацию о партнерах, поставщиках и клиентах".
Организации часто утилизируют устаревшую технику через сторонние компании, которые отвечают за проверку безопасного уничтожения или переработку цифрового оборудования и утилизацию данных на нем. Однако из-за ошибок таких организаций или из-за несовершенных внутренних процессов утилизации самих компаний, на роутерах был найден ряд данных, в частности:
"Существуют регламентированные процессы надлежащего прекращения эксплуатации аппаратного обеспечения, и это исследование показывает, что многие компании не соблюдают их при подготовке устройств для вторичного рынка, — рассказывает Тони Анскомб, главный специалист ESET по безопасности. — Использование уязвимости или выманивание учетных данных является потенциально сложным процессом для киберпреступников. Но наше исследование показывает, что есть гораздо более простой способ получить эти данные. Мы призываем организации, занимающиеся утилизацией устройств, очисткой данных и перепродажей устройств, внимательно пересмотреть свои процессы и убедиться, что они соответствуют действующим стандартам NIST".
Роутеры в этом исследовании принадлежали разным организациям — от среднего бизнеса до крупных предприятий в различных отраслях (центры обработки данных, юридические фирмы, сторонние поставщики технологий, производственные и технологические компании, а также разработчики программного обеспечения). В рамках процесса обнаружения специалисты ESET, где это было возможно, делились выводами с каждой идентифицированной организацией. Некоторые из этих организаций не реагировали на неоднократные попытки ESET связаться с ними, в то время как другие рассматривали событие как полномасштабное нарушение безопасности.
Поэтому организациям следует убедиться, что они используют проверенную и компетентную компанию для утилизации устройств или принимают все необходимые меры предосторожности при самостоятельном выводе из эксплуатации. Это касается не только роутеров и жестких дисков, но и любого устройства, являющегося частью сети. Учитывая это, организациям рекомендуется следовать указаниям производителя по удалению всех данных из устройства перед тем, как устройство покинет пределы корпоративной сети.
Также компаниям следует серьезно относиться к сообщениям об утечке важных данных. В противном случае они могут столкнуться с серьезной утечкой данных и значительным репутационным ущербом в дальнейшем.
Подробное исследование читайте по ссылке.
Справка. ESET — эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.