Служба безопасности SAP начала расследование, связанное с появлением на eBay одного из накопителей, пропавших в одном из ЦОД компании. Как сообщает издание The Register, инцидент произошёл ещё в ноябре прошлого года в немецком городе Вальдорф земли Баден-Вюртмеберг. Известно, что из дата-центра компании пропали сразу четыре SSD. Это уже пятый инцидент с исчезновением накопителей из европейских ЦОД SAP за последние два года, передаёт издание.

В результате расследования выяснилось, что охрана была организована очень плохо, поскольку никто не проверял людей, покидавших считавшийся защищённым ЦОД. В результате диски переместили в «небезопасное» здание в комплексе строений штаб-квартиры, откуда они и были украдены без особых проблем. В компании отметили, что на дисках не хранилось какой-либо личной информации, но, как оказалось, эти данные не вполне соответствовали действительности.

В своё время в SAP утверждали, что подходят к безопасности данных очень серьёзно, и, хотя служебная информация не подлежит разглашению, представители разработчика ПО заверили, что свидетельства утраты данных клиентов или сотрудников отсутствуют. Однако один из четырёх SSD, оказавшийся на eBay, приобрёл сотрудник самой SAP, после чего выяснилось, что накопитель содержал персональные записи о сотне сотрудников компании. Местонахождение трёх оставшихся дисков неизвестно до сих пор.

Изображение: Bru-nO / Pixabay

Хотя свою роль сыграла человеческая ошибка и несоблюдение протоколов безопасности, основной причиной утери всё-таки назвали кражу. Инцидент не может не вызывать беспокойства как у самих разработчиков, так и у их клиентов, поскольку в последние годы SAP активно продвигает собственные облачные решения и продажу ПО по модели услуг, предоставляемых как на базе собственных ЦОД, так и дата-центров партнёров.

Инцидент в IT-индустрии не первый и, вероятнее всего, не последний. В 2019 году финская компания Blancco, занимающаяся безопасной очисткой накопителей, обнаружила, что из 159 случайным образом выбранных на eBay накопителях из США и Европы 42 % несли данные, оставшиеся от прежних владельцев. Доступ к ним могли получить даже люди, имеющие базовую компьютерную грамотность. Более того, в 15 % случаев накопители хранили и персональные сведения.

Впрочем, даже неправильный вывод из экплуатации может привести к проблемам. Так, банк Morgan Stanley, сэкономив $100 тыс. на утилизации HDD, в итоге потерял $120 млн. Но это касается и другого оборудования. Недавний анализ, проведённый ESET, показал, что выставляемые на продажу сетевые устройства зачастую содержат массу информации, позволяющей как минимум скомпрометировать сети крупных компаний.

Компания Meta✴ прибегла к необычному экспериментальному способу утилизации строительного мусора. Совместно с биоинженерами Mycocycle она занялась превращением остатков гипсокартона, сохранившихся после строительства ЦОД Meta✴ в Галлатине (США), в ценное сырьё. Как сообщает DataCenter Dynamics, мусор буквально пожирают грибы. Ранее Meta✴ c партнёрами уже разработали с помощью ИИ «зелёный» экобетон для своих новых дата-центров.

Только в США ежегодно «генерируется» 660 млн тонн строительных отходов, как от самой стройки, так и в результате предварительного сноса зданий и очистки строительных площадок. Одним из наиболее распространённых и при этом проблемных материалов является гипсокартон, простые методы переработки которого пока отсутствуют — гипсокартон может вступать в реакции с другими материалами, в результате чего выделяются опасные вещества, в том числе сероводород и аммиак. Meta✴ же является одним из крупных «поставщиков» таких отходов на мусорные полигоны.

Источник изображения: Meta✴

В результате сотрудничества Meta✴ с Mycocycle с 2022 года разрабатывается метод, позволяющий буквально «скармливать» гипсокартон грибам, в результате чего создаётся перспективный побочный продукт, который тоже можно использовать в качестве строительного материала. Он, например, может применяться в составе термо- или шумоизоляционных панеле. В Meta✴ уже сообщили о сотрудничестве с крупными строительными компаниями для расширения экспериментов по созданию многократно перерабатываемого сырья.

Вырастая на гипсокартоне, грибы распространяют грибницу, которая буквально «взламывает» сам материал, питаясь мелкими остатками. Новый композит на основе остатков гипсокартона и грибницы может служить для формирования огнеупорного, крепкого и водонепроницаемого сырья, в перспективе способного заменить пластик. Известно, что Mycocycle уже участвовала в исследовании на эту же тему, профинансированным Microsoft.

Источник изображения: Meta✴

По мнению представителей строительной компании DPR, тоже участвующей в проекте Meta✴, инициатива имеет критически важное значение, поскольку отходы гипсокартона являются огромной проблемой для строительной отрасли. Как сообщает DataCenter Dynamics, Mycocycle уже «тренировала» грибы для переработки других типов материалов — например, битумной черепицы. Пока не уточняется, какие меры безопасности принимаются и как грибы смогут отличить «полезный» гипсокартон от строительного мусора.

Компания Seagate Technology Holdings объявила о том, что она более чем на 50 % выполнила план по полному переходу на возобновляемые источники энергии. Кроме того, увеличен срок службы более 1 млн HDD и SSD в рамках программы восстановления в 2022 финансовом году. Данные приведены в отчёте Seagate Sustainable Datasphere: FY2022 ESG Performance Report.

Seagate отмечает, что на сегодняшний день четыре из семи её глобальных производственных площадок полностью переведены на «зелёную» энергию. Это обеспечивается благодаря контрактам на покупку возобновляемой энергии, а также путём установки солнечных батарей. Таким образом, теперь компания получает более половины всей затрачиваемой энергии из возобновляемых источников. Также компания в течение года продлила срок службы 1,16 млн накопителей. Они были восстановлены путём ремонта, что дало возможность их повторного использования. А это предотвратило попадание на свалку более 540 т электронных отходов.

Источник изображения: Seagate

Говорится также, что в 2022 финансовом году компания выработала благодаря солнечным панелям на своих объектах 1352 МВт·ч энергии. Около 82 % опасных отходов, образовавшихся в течение года, было переработано. Повторное использование воды в годовом исчислении увеличилось на 17,5 %. В целом, благодаря инициативам по энергосбережению и повышению эффективности в 2022 финансовом году сэкономлено 21 ГВт·ч электроэнергии против первоначальной цели в 10 ГВт·ч.

Эксперты ESET предупредили об опасности продажи бывших в употреблении магистральных роутеров и иного сетевого оборудования, не прошедших предпродажного удаления данных. Как сообщает портал Dark Reading, в компании выяснили, что многие устройства подобного типа хранят большие массивы данных, позволяющие скомпрометировать корпоративные сети.

Б/у оборудование всегда было традиционным источником угроз для его бывших владельцев. Проданные или сданные на утилизацию смартфоны, жёсткие диски, принтеры и другое оборудование содержат немало важных сведений. По данным ряда исследований, лишь немногим устройствам очищают память должным образом.

Купив маршрутизатор Juniper SRX240H на eBay, один из сотрудников ESET обнаружил, что в памяти устройства сохранилась масса информации о бывшем владельце — разрабатывающей ПО компании из Кремниевой долины. После этого в ESET провели небольшое расследование, купив другие устройства: четыре Cisco Systems ASA 5500, три Fortinet FortiGate и одиннадцать экземпляров Juniper Networks SRX Series Services Gateway.

Изображение: Luke Robertson / Pixabay

Выяснилось, что девять из них содержали ключевую информацию о конфигурации сетей бывших владельцев, учётные данные, а также некоторые сведениях о клиентах, партнёрах, используемых с сетями приложениях и т.д. Фактически речь шла о полных макетах сетевой инфраструктуры компаний, как внутренней, так и внешней. Извлечённых сведений, по мнению ESET, оказалось достаточно для подготовки атак разных типов.

Конечно, довольно легко оказалось установить и сами компании, некогда владевшие оборудованием. По словам экспертов, маршрутизаторы связаны буквально со всем, что происходит в информационных системах подключённых организаций, включая облачные хранилища, а сведения об используемом ПО и ОС позволяют подобрать подходящие уязвимости и инструменты для их использования.

ESET попыталась связаться с бывшими владельцами. И если представители IT-компаний сразу поняли, о чём идёт речь, и даже выплатили вознаграждение, то с компаниями вне технологического сектора оказались не только сложно связаться, но и найти уполномоченных вести дела в случае раскрытия информации. При этом один из маршрутизаторов оказался снабжён доступом для удалённого администрирования из недружественной США страны. Впрочем, эксперты не исключили, что доступ в своё время просто использовался сотрудником на аутсорсе.

К счастью, как сообщают в ESET, стереть данные в маршрутизаторах «большой тройки» — Cisco, Fortinet и Juniper — довольно легко, а на сайтах компаний имеются подробные инструкции сброса до заводских настроек.

Начиная с этого лета компания OVHcloud, являющаяся крупным облачным провайдером и оператором дата-центров, намерена отчитываться перед клиентами о выбросах Scope 3, косвенно относящихся к инфраструктуре компании, сообщает DataCenter Dynamics. Фактически речь идёт об углеродных выбросах — результатах активности компаний в цепочках поставок, не связанных с OVHCloud напрямую. Тем не менее, своей деятельностью облачный провайдер косвенно влияет на объём таких выбросов.

Уже этим летом данные будут доступны пользователям bare metal решений, то в конце года — клиентам частных облаков, а в 2024 году — пользователям публичного облака. В OVH заявляют, что оценивают весь цикл работы партнёров благодаря модели вертикальной интеграции. Известно не только происхождения каждого элемента в каждом сервере, но и его воздействие на окружающую среду, а также воздействие на окружающую среду при потреблении электричества того или иного происхождения. Утверждается, что конкуренты вроде AWS или Microsoft Azure не могут подсчитать выбросы с такой точностью.

Источник изображения: OVHcloud

Оператор также рассказал DataCenter Dynamics о других инициативах в области экологии. Так, например, OVHcloud самостоятельно выпускает серверные стойки. Неисправное оборудование возвращается на фабрику, где по возможности восстанавливается и тестируется. Пригодные к использованию компоненты продаются на вторичном рынке, если они не нужны самой OVH, а те, что восстановить нельзя, отправляются на переработку для извлечения полезных материалов. По оценкам OVH, «вторую жизнь» получает порядка 40 % серверов, а к 2025 году оператор намерен вообще не отправлять отходов на мусорные полигоны. Компания и сама закупает б/у OCP-серверы.

Наконец, OVHCloud развивает собственную технологию гибридного иммерсионного охлаждения серверов, которая поможет повысить энергоэффективность ЦОД и также снизить углеродные выбросы. Интересно, будет ли OVH и другие компании учитывать выбросы в результате пожаров, которые в последнее время только участились.

Verity ES, основанная компанией Revert, занимающейся утилизацией и ликвидацией корпоративного оборудования, предложила решение, позволяющее владельцам серверов и СХД с большим числом накопителей не только надёжно стереть с них все данные в случае необходимости, но и сэкономить. По словам главы обеих компаний, сертифицированное и патентованное ПО Verity ES позволяет навсегда и быстро стереть данные на самых различных устройствах и типах накопителей.

Verity ES напомнила о себе после обвинений IT-гигантов в том, что они отправляют миллионы HDD и SSD на физическое уничтожение вместо удаления данных и отправки на повторное использование, чем оказывают крайне негативное воздействие на экологию, не только увеличивая объёмы электронного мусора, но и объёмы выбросов при производстве новых накопителей. Делают они это в первую очередь из-за страха утечки данных. Известно, что финансовые последствия небрежного уничтожения конфиденциальных данных могут быть чрезвычайно тяжёлыми.

Изображение: Michael Schwarzenberger/Pixabay

Так, в начале года американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Ранее он уже был оштрафован ещё на $60 млн из-за неспособности вывести должным образом из эксплуатации собственные дата-центры. Из-за ошибочных действий банка данные его клиентов не были должны образом удалены со списанных вместе с остальным оборудованием жёстких дисков, которые затем попали к неустановленным третьим лицам. На данной операции банк сэкономил всего $100 тыс.

При этом существующие системы утилизации, предусматривающие физическое уничтожение самих накопителей, не только вредны для окружающей среды, но и, в теории, не гарантируют бесповоротного удаления всех данных, особенно если речь идёт об SSD. По словам Verity ES, её решение позволяет даже сэкономить с учётом того, что некоторые ЦОД уничтожают более 500 тыс. накопителей ежегодно. По данным компании, одному из клиентов благодаря сохранению работоспособности обработанных накопителей удалось получить остаточную стоимость в размере $2,7 млн — это около 36 тыс. HDD и SSD, которые можно использовать или перепродать.

Изображение: Filip Filipović/Pixabay

При этом утверждается, что ПО конкурентов не смогло полностью уничтожить информацию. Решение Verity ES в три захода стирает данные, записывая информацию поверх уже имеющейся. Всё это осуществляется исключительно на оборудовании клиента, причём производительность процесса регулируется, а параллельно можно обрабатывать более 500 накопителей — наиболее эффективный метод уничтожения на каждом устройстве и для каждого типа информации определяется автоматически. Обеспечивается соблюдение локальных требований к уничтожению данных для более чем 25 стран. При этом компания избегает утверждений о том, что уровень успешного уничтожения данных всегда составляет 100 %.

По словам представителя Revert, на стирание информации с одного накопителя на 8 Тбайт обычно уходит до 70 часов, на 18 Тбайт — до 6,5 дней. На полную проверку качества удаления требуется ещё 20 часов. Поддерживаются SATA/SAS HDD/SSD и NVMe SSD (в том числе M.2). В компании подчёркивают, что физическое уничтожение накопителей обычно обходится в $15–20/шт. и не гарантирует полного уничтожения информации. Кроме того, такой способ наносит ущерб окружающей среде, а в случае, если утилизация поручается третьей стороне, не исключён риск перепродажи накопителей вместо их уничтожения.

Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имени 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.

В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жёстких дисков, возможно, не была стёрта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.

Фото: Pixabay/pastedo

Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролёра денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот «не осуществлял надлежащего надзора». Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в «игнорировании отраслевых стандартов» в отношении надлежащей утилизации ИТ-активов (ITAD).

Согласно документам, банк отказался от услуг IBM в пользу «неизвестного и неквалифицированного поставщика» для вывода из эксплуатации своего IT-оборудования в рамках «решений, ориентированных на получение прибыли», чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жёстких дисков, продала оборудование компании KruseCom.

Как поступила с ним KruseCom неизвестно — оборудование либо было продано ещё кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьёй.