Securities and Exchange Commission.
(Billede: WSJ/Twitter)
En sikkerhedsrisiko indberetning sendt ud af US Securities and Exchange Commission advarer virksomheder, især broker-forhandlere og investeringsselskaber, om farerne ved at gemme kundeoplysninger på network storage løsninger-såsom NAS-enheder, database-servere og cloud storage konti.
Advarslen blev sendt ud i slutningen af Maj af SEC ‘ s Kontor for Overensstemmelse, Inspektioner og Undersøgelser (OCIE), efter de seneste undersøgelser og inspektioner på den virkelige verden selskaber.
Mere specifikt, alarm advarer om virksomheder misconfiguring netværk-adgang storage-systemer, der fører til utilsigtet data engagementer.
“Selv om de fleste af disse netværk, storage-løsninger, der tilbydes kryptering, password beskyttelse, og andre sikkerhedsfunktioner, der er designet til at forhindre uautoriseret adgang, [OCIE] eksaminatorer observeret, at virksomhederne ikke altid bruge de tilgængelige sikkerhedsfunktioner,” agenturet bemærkes.
Fejlkonfigurationer og et manglende overblik
OCIE personale fremhævet tre væsentlige problemer med netværk, storage-løsninger, der er anvendt af børsmæglere og investeringsselskaber.
Den første var spørgsmålet om virksomheder misconfiguring sikkerhedsindstillingerne på storage-systemer, som kan føre til uvedkommendes adgang til kundens data.
For det andet virksomheder ikke har tilstrækkelig kontrol af leverandør-forudsat at tredjeparts-tjenester.
“Virksomheder, der ikke sikrer gennem politikker, procedurer, kontraktmæssige bestemmelser, eller på anden måde, at sikkerhedsindstillingerne på sælger-forudsat netværk, storage-løsninger blev konfigureret i overensstemmelse med virksomhedens standarder,” SEK OCIE ansatte sagde.
Dette fører normalt til situationer, hvor virksomheder ender med at bruge NAS, databaser, eller cloud storage konti med standard indstillinger, som for nogle tjenester/enheder, der kan betyde “open-by-default”.
For det tredje, OCIE eksaminatorer fandt også, at virksomheder ikke klassificere deres data, baseret på deres følsomhed, og på grund af dette, ikke havde oprettet forskellige storage-systemer med forskellige adgangs-kontrol, der fører til situationer, hvor følsomme data, der blev gemt på åbne systemer, sammen med ikke-følsomme oplysninger.
Belgiske politi: glem ikke om offline redundans
Ingen af de tre årsager, der er anført af SEC i sin rådgivende er særligt nyt. Alle disse er almindelige situationer, som vi har set tidligere.
I de sidste tre-fire år, sikkerhed forskere har været at finde og rapportering af data lækager på større virksomheder, hvoraf de fleste var forårsaget af forkerte konfigurationer af databaser og cloud storage konti.
Forkert databaser og cloud-servere har forårsaget utætheder i analytics virksomheder, data mæglere, advokatfirmaer, sundhedsydelser kirker, banker, offentlige kontorer, og meget mere.
Ingen større finansielle og investeringsselskaber, der er blevet ramt, og SEC ville gerne holde det så ved at opfordre virksomheder til at løse eventuelle problemer med deres netværk, storage-systemer.
Men hvis virksomhederne er smart, udover at oprette ordentlig sikkerhed konfigurationer for deres netværk, storage-systemer, vil de også bruge alternative offline storage-systemer som backup, et råd Belgiske politi gav i en rådgivende sendte ud i går, advarer virksomheder, at de kan ende op i at miste data, hvis de er afhængige af cloud-baserede storage-systemer alene.
Relaterede offentlige dækning:
Kinesiske militær for at erstatte Windows OS midt i frygten af OS hackingCBP siger hackere stjal nummerplader og rejsende’ photosRussian militære bevæger sig tættere på at erstatte Windows med Astra LinuxApple og WhatsApp kampen forslag om at lade spioner tryk krypteret comms
Holland bliver det første land til at vise Amber indberetninger om ATMsEven NSA, er at opfordre til Windows-brugere til at lappe BlueKeep
Hvor Estland blev en e-regeringen kraftcenter TechRepublicSri Lanka blokke sociale medier efter dødbringende Påske eksplosioner CNET
Relaterede Emner:
Cloud
Sikkerhed-TV
Data Management
CXO
Datacentre