美国证券交易委员会发出的安全风险警报警告公司,尤其是经纪自营商和投资公司,将客户信息存储在网络存储解决方案(如NAS设备,数据库和云存储帐户)中的危险。
在最近对一些公司进行检查后,美国证券交易委员会的合规监察办公室(OCIE)于5月底发出了警报。
更具体地说,警报警告公司错误配置网络可访问的存储系统,导致意外的数据泄露。
“尽管大多数这些网络存储解决方案都提供加密,密码保护和其他旨在防止未经授权访问的安全功能,但[OCIE]审查员发现公司并不总是使用可用的安全功能,”该机构指出。
配置错误,缺乏监督
OCIE工作人员强调了经纪自营商和投资公司使用的网络存储解决方案的三个主要问题。
第一个问题是公司错误配置存储系统上的安全设置,这可能导致未经授权访问客户数据。
其次,公司没有对供应商提供的第三方服务进行充分监督。
“公司没有通过政策,程序,合同条款或其他方式确保供应商提供的网络存储解决方案的安全设置是按照公司的标准配置的,”SEC OCIE工作人员说。
这通常会导致公司最终使用默认设置的NAS,数据库或云存储帐户,而某些服务/设备可能意味着“默认打开”。
第三,OCIE审查员还发现公司没有根据其敏感性对数据进行分类,因此,没有设置具有不同访问控制的不同存储系统,导致敏感数据存储在开放系统上的情况,有非敏感信息。
比利时警方:不要忘记离线冗余
美国证券交易委员会在其咨询报告中列出的三个根本原因都不是特别新的。所有这些都是我们过去看到的常见情景。
在过去的三四年中,安全研究人员一直在寻找和报告主要公司的数据泄露,其中大部分是由数据库和云存储帐户的错误配置引起的。
错误配置的数据库和云服务器已经导致分析公司,数据经纪人,律师事务所,医疗机构,银行,政府机构等的泄密。
没有主要的金融和投资公司受到打击,美国证券交易委员会希望通过敦促公司解决其网络存储系统中的任何潜在问题来保持这一点。
但如果公司聪明,除了为其网络存储系统设置适当的安全配置外,他们还将使用备用离线存储系统作为备份; 比利时警方在昨天发出的一份咨询报告中提出的建议,警告公司,如果他们单独依赖基于云的存储系统,他们最终可能会丢失数据。
