SEC waarschuwt voor misconfiguratie NAS-, database- en cloud-opslagservers

De Amerikaanse Securities and Exchange Commission (SEC) heeft een beveiligingswaarschuwing uitgestuurd, waarmee bedrijven gewaarschuwd worden over het gevaar van het opslaan van klantinformatie op netwerkopslagoplossingen. Het gaat bijvoorbeeld op NAS-apparaten, database-servers en cloud-opslagaccounts.

De waarschuwing werd door de Office of Compliance Inspections and Examinations (OCIE) uitgestuurd, na een recent onderzoek bij bedrijven, schrijft ZDNet.  De OCIE waarschuwt specifiek voor bedrijven die via het netwerk toegankelijke opslagsystemen verkeerd configureren, wat leidt tot onbedoelde datalekken.

“Hoewel de meerderheid van deze netwerkopslagoplossingen encryptie, wachtwoordbescherming en andere beveiligingsfuncties ontworpen om ongeautoriseerde toegang te voorkomen bevatten, hebben onderzoekers vastgesteld dat bedrijven niet altijd de beschikbare beveiligingsfuncties gebruiken”, aldus de organisatie. Vooral bij beurshandelaren en investeringsbedrijven werden problemen vastgesteld.

Drie problemen

De OCIE-werknemers hebben drie belangrijke problemen met de opslagoplossingen die door beurshandelaren en investeringsbedrijven gebruikt worden uitgelicht. Allereerst blijken bedrijven de beveiligingsinstellingen op de opslagsystemen verkeerd te configureren, wat kan leiden tot ongeautoriseerde toegang tot klantdata.

Daarnaast hebben bedrijven niet genoeg toezicht op diensten van derde partijen die door de verkoper geleverd worden. “Bedrijven verzekerden niet via beleid of op een andere manier dat de beveiligingsinstellingen op door de verkoper geleverde oplossingen geconfigureerd waren in overeenstemming met de standaarden van het bedrijf.” Dit leidt vaak tot situaties waarin bedrijven de NAS, databases of cloud-opslag met standaard instellingen gebruiken, wat voor sommige apparaten kan betekenen dat ze standaard open staan.

Het derde probleem was dat bedrijven hun data niet classificeren op basis van hun gevoeligheid. Als gevolg daarvan hadden organisaties geen verschillende opslagsystemen opgezet met verschillende toegangsregels, wat leidt tot situaties waarin gevoelige data samen met niet-gevoelige data op open systemen opgeslagen wordt.

Niet nieuw

De problemen zijn niet nieuw, maar zijn juist veelvoorkomende scenario’s die we ook in het verleden hebben gezien. Vooralsnog zijn er echter geen grote datalekken geweest bij financiële en investeringsbedrijven, wat de SEC graag zo houdt. Daarom roept het bedrijven nu op om mogelijke problemen aan te pakken.