Os dados confidenciais de empresas e pessoas geralmente deixam as organizações, mas permanecem em dispositivos descartados. Uma cadeia de custódia auditável que mostre a destruição de dados é essencial para qualquer programa ITAD.
A alienação de ativos normalmente não é um daqueles temas críticos que são os mais lembrados pelos CISOs, mas todo CISO deve ser capaz de abordá-lo quando solicitado a descrever seu programa de descarte de ativos de tecnologia da informação (information technology asset disposal – ITAD). A falta da sinalização de um programa para tratar esses dados pode colocá-los em risco quando o equipamento é reciclado; a presença de um programa sinaliza atenção à proteção de dados. Nenhum CISO quer encontrar o primeiro problema deste tipo; todo CISO deseja ser associado a ser um protetor de dados, embora possa existir um falso-positivo se o programa não incluir uma cadeia de custódia auditável / com a inclusão de detalhes sobre a destruição de dados.
Será que você, o CISO, ou sua equipe responsável pelo ITAD, poderia descrever como cada dispositivo provisionado e emitido dentro da empresa é rastreado? Como os dados no dispositivo são contabilizados e quando e como esse dispositivo é removido do ecossistema da empresa em uma forma de proteger os dados da empresa e de seus clientes?
ITAD um vetor de ameaça identificado
A orientação recente fornecida pela Agência de Segurança Cibernética e de Infraestrutura (CISA) incluiu o ITAD como um vetor de ameaça identificado em sua orientação sobre defesa contra ataques à cadeia de suprimentos de software. Cada entidade precisa de um programa ITAD, e o programa deve garantir que os dispositivos estejam livres de dados quando saem do controle da empresa.
A dura realidade é que muitos não tratam dessa forma os dados descartados, e entre aqueles que o fazem, muitos dependem de certificados de destruição e não de uma cadeia de custódia auditável e visual envolvendo dados e dispositivos. O primeiro requer confiança; o último inclui verificação.
Recentemente, o modelo de negócios da WV Technologies foi descrito na edição online da Austrália do National Cybersecurity News. Eles compravam muitos equipamentos antigos do governo em leilão e, embora os dispositivos devessem ser limpos de dados, dados operacionais, configurações de VOIP, cartões SD, drives SSD cheios de dados eram freqüentemente encontrados. A empresa se envolve na destruição de dados e notou no final de maio de 2021 que suas vendas desses dispositivos “recondicionados” haviam secado completamente. Anteriormente, a empresa vendia “pelo menos um contêiner de equipamentos por mês” para compradores estrangeiros. Eles atribuíram a redução do interesse do mercado ao ajuste nas metodologias de destruição de dados.
O Escritório de Direitos Civis da Casa e Serviços Humanos detonou a Filefax, uma empresa que havia fechado suas portas com uma multa monetária por manuseio incorreto de informações protegidas de saúde (PHI). Eles providenciaram para que os registros médicos fossem destruídos por um empreiteiro, levaram os registros para as instalações e deixaram-nos sem vigilância durante a noite em um caminhão destrancado – boas intenções com péssima execução.
Depois, há o caso do ShopRite, que acabou recebendo uma multa monetária por “não descartar adequadamente os aparelhos eletrônicos usados para coletar assinaturas e informações de compra dos clientes da farmácia”. O procurador-geral de Nova Jersey observou como a empresa jogou os dispositivos em uma lixeira sem limpar os dados confidenciais.
Miranda Yan, fundadora do VinPit, comenta como os controles internos se destinam a garantir a conformidade regulamentar ou legal para uma empresa. Enquanto Ted Barassi, especialista em privacidade de dados e governança de informações da tecnologia FTI, observa como o Gabinete do Controlador da Moeda multou um grande banco do centro financeiro devido a uma violação decorrente da falha de um fornecedor em descartar unidades de disco contendo dados de clientes como parte de um projeto de desativação de data center. (Morgan Stanley foi multado em US $ 60 milhões pelo OCC em outubro de 2020 pelo incidente de 2016.) Ele acrescenta que é importante que os ativos descartados sejam identificados e rastreados de forma exclusiva em um processo documentado e que o descarte seja certificado pelo fornecedor que realiza o trabalhos.
Embora a certificação seja importante, Kyle Marks, especialista em cadeia de custódia ITAD e CEO da Retire-IT, destaca como um único ativo não protegido pode expor uma organização a ransomware ou outras ameaças à segurança de dados. Ele aconselha que obter um “certificado de destruição” é inadequado, “Não é nada mais do que um troféu de participação”. Os certificados são impressos facilmente; a verificação e a cadeia de custódia precisam ser integrais.
ITAD interno ou terceirizado?
A questão para os CISOs não é: “Preciso de um programa ITAD?” Você faz. Não apenas você precisa de um programa, mas seu programa deve garantir que inclua 100% dos dispositivos que são de propriedade da empresa, bem como aqueles que são propriedade de funcionários / contratados (BYOD) e têm dados da empresa / cliente residentes.
A decisão de construir um programa ITAD internamente ou contratar especialistas externos é única para cada organização, mas qualquer que seja o caminho escolhido, deve ser repleto de controles e contrapesos para garantir a integridade verificável do processo ITAD e evitar que qualquer dispositivo saia do ecossistema com dados a bordo.
Fonte: IT asset disposal is a security risk CISOs need to take seriously
Posts relacionados: O estresse de funcionários em lockdown pode aumentar o risco de cibersegurança / Explicando o Ransomware DarkSide: Como funciona e quem está por trás e Trabalho remoto aumenta as ameaças de dispositivos IoT do consumidor