Každá společnost se čas od času musí zbavit starého hardwaru, ale jen málokterá si plně uvědomuje související bezpečnostní rizika. Nedávná studie provedená analytiky společnosti ESET zjistila, že z 18 zakoupených použitých routerů bylo pouze 5 řádně vymazáno předchozími majiteli. Zbytek obsahoval citlivé informace, jako jsou přihlašovací údaje k firemním aplikacím, síťové přihlašovací údaje a šifrovací klíče.
Takové informace by mohly být cenné pro kyberzločince, a dokonce i pro hackerské skupiny podporované národními státy. Útočníci mohou prodávat data pro různé typy podvodů nebo využít podrobnosti o fungování podnikové sítě například k naplánování špionážní kampaně nebo průzkumu pro útok ransomwarem. V některých případech mohou routery odhalit zastaralé verze aplikací nebo operačních systémů, které obsahují zneužitelné zranitelnosti, což hackerům v podstatě poskytuje plán možných strategií útoku.
Vzhledem k tomu, že použitá zařízení jsou zlevněná, mohou kyberzločinci investovat do jejich nákupu, aby z nich vytěžili informace a přístup k síti, které mohou sami použít nebo dále prodat. Problém se neomezuje pouze na routery, např. specialisté společnosti Red Balloon Security zaznamenali stejné problémy i u jiných zařízení, jako jsou GPS systémy, televizory a digitální telefony.
Zvyšování povědomí o správném mazání zařízení je jedním ze základních kroků k lepšímu digitálnímu zabezpečení, a proto ESET ve svých výzkumech pravidelně mapuje situaci. Koneckonců existuje mnoho způsobů, jak chránit svou firmu. Jedním z řešení je pro firmy správné vymazání všech zařízení před jejich likvidací. To lze provést pomocí specializovaného softwaru, který data v zařízení několikrát přepíše novými daty a učiní je nečitelnými.
Dalším preventivním krokem je nechat všechna data zašifrovat. Šifrování zajistí, že i v případě krádeže nebude možné data přečíst bez šifrovacího klíče. Některé běžné routery již nabízejí šifrování a další bezpečnostní funkce, které mohou organizace využít. To může alespoň zmírnit následky, pokud zařízení, která nebyla vymazána, skončí v nesprávných rukou.
Nechte to na profesionálech
Jednou z možností je spolupráce s renomovanými firmami zabývajícími se správou zařízení nebo likvidací elektronického odpadu, které se specializují na likvidaci podnikových zařízení za účelem dalšího prodeje. Jak však ukázal výzkum společnosti ESET, ani to není stoprocentní zárukou, že vaše data nezůstanou v zařízení k dispozici pro dalšího majitele.
Ilustruje to případ výrobní firmy, která takovou službu využila. Přesto, jak zjistili experti společnosti ESET, jejich data (včetně citlivých firemních specifik, jako je umístění datových center a procesů, které v nich probíhaly) nebyla bezpečně odstraněna.
Takové informace by mohly útočníkům poskytnout cenné informace o interních procesech společnosti, což by je mohlo finančně poškodit. To poukazuje na důležitost důkladného prověřování poskytovatelů služeb třetích stran a zavedení důkladné politiky likvidace dat pro ochranu citlivých informací.
Jak zacházet s routery, které chcete zlikvidovat
Obecně existují tři situace, do kterých se můžete při likvidaci routerů dostat, a konkrétní kroky, které je třeba učinit:
- Pokud je zařízení stále ve firmě a funguje, vaše první kroky povedou na webové stránky výrobce, kde najdete konkrétní pokyny k bezpečnému vymazání dat. Pečlivě ověřte, zda v zařízení po vymazání nezůstaly žádné citlivé informace. Doporučuje se také uložit kopie všech důležitých informací, jako jsou příručky, firmware, software, dokumenty a tickety, na bezpečné místo v podnikové síti, bez ohledu na to, zda jsou tyto informace dostupné veřejně. Vytvořte si v kalendáři upomínku pro zařízení s předplacenou podporou, abyste zajistili obnovení smlouvy o podpoře a otestování postupů pro bezpečné vymazání zařízení a následného ověření, že se v něm již nenacházejí citlivé informace společnosti.
- Pokud je zařízení již nefunkční, zajistěte, aby z něj byla před jeho likvidací vymazána konfigurační data. Jednou z možností je zařízení fyzicky skartovat a zajistit, aby bylo ekologicky zlikvidováno. Případně pokud jste si jisti, že jediné místo, kde jsou citlivá data zaznamenána, je na vyměnitelném paměťovém médiu, jako je interní pevný disk nebo externí vyměnitelné nosiče dat, postačí fyzicky oddělit paměťové médium od routeru a provést příslušné kroky k vymazání dat a likvidaci tohoto média.
- Pokud zařízení nebylo řádně vymazáno a nachází se již mimo firmu, je důležité posoudit míru souvisejícího rizika. Pokud existuje možnost, že by zařízení mohlo obsahovat citlivé informace, doporučuje se podniknout příslušné kroky ke snížení tohoto rizika, jako je změna hesel nebo rotace kryptografických klíčů. Ke snížení rizika může přispět také zavedení modelu nulové důvěry, který omezí přístup k citlivým informacím pouze na oprávněné uživatele a zařízení.
V širším slova smyslu by podniky měly mít komplexní zásady správy dat, které zahrnují postupy pro bezpečnou likvidaci starých zařízení. To zahrnuje i sdílení těchto postupů se zaměstnanci, kteří se přímo podílejí na likvidaci starých firemních zařízení, a jejich proškolení, aby bylo zajištěno správné dodržování zásad.
| Další podrobnosti, včetně pokynů, jak správně zlikvidovat starý hardware, najdete v plné verzi studie „How I (could’ve) stolen your corporate secrets for $100“ od expertů z ESETu. |
Nezbytné je také udržovat veškerý firmware aktuální, protože zastaralý firmware může obsahovat zranitelnosti, které mohou hackeři zneužít. Výrobci vydávají pravidelné aktualizace, které zvyšují bezpečnost jejich zařízení, a jejich instalace se důrazně doporučuje.
Vzhledem k neustálému vývoji technologií může být pro firmy náročné monitorovat všechny potenciální hrozby. Uvědomujte si ale také rizika spojená se špatně zabezpečenými routery a podnikněte potřebné kroky k vaší ochraně. Dodržováním výše uvedených kroků můžete zvýšit šanci, že vaše firemní data zůstanou v bezpečí.
