<p dir="ltr">UPDATE:</p>
<p dir="ltr">Hi guys, realise it's late, been a long night and you all realise the life of a programmer (which is my background), you're up at all hours. Thought it important to make my friends aware of a risk I've become aware about in my industry (technology) while running a large hosting firm and data centre. I've reached out to security agencies and or technology departments in Australia, currently waiting to hear back. My email to CSIRO was as follows (with a few minor definition updates such as those that approached me and didn't know what ASX was, are you serious!!!!);</p>
<p dir="ltr">Hi Jake,</p>
<p dir="ltr">Thanks for your time today. Andrew Croft from Codan Defence Electronics suggested I make contact with you guys. My background is in running data centres, running technology company Intervolve 2007-2016 as CEO/MD.</p>
<p dir="ltr">I have several concerns/risks to discuss with you;</p>
<p dir="ltr">1. Currently Australian Data centres do not scan for potentially damaging substances. There is generally no processes to test for this kind of risk. At times individual service may be up to 600 kgs in weight. Customers may also provide fully equipped racks wheeled into data centres. The data centre standards including Tia-942 and The Uptime Institute tier ratings do not include this type of risk being assessed. Neither does PCI compliance, which are required by APRA on some of it's members and also clients of banks with high volumes of online merchant transactions. Our financial markets may also be exposed to this risk, with the ASX (Australian Stock Exchange) appearing to confirm they allow customers to host equipment from the same data centre facilities as their own transactions;</p>
<p dir="ltr">I would also ask the question whether our financial market is exposed<br>
in any way to this risk, and whether the Australian Stock Exchange<br>
sufficiently scans computer equipment delivered for installation into<br>
its' data centre facilities in particular by third party customers. I<br>
don't know the answer. I hope they do, if not, the question really<br>
needs to be asked, why not?</p>
<p dir="ltr">Quoting from ASX document<br>
(<a href="http://www.asx.com.au/documents/professionals/alc-connectivity-guide.pdf">http://www.asx.com.au/documents/professionals/alc-connectivity-guide.pdf</a>)<br>
which is available on their website currently;</p>
<p dir="ltr">"The Australian Liquidity Centre (ALC) is a state-of-the-art data<br>
centre and financial markets community located just outside Sydney’s<br>
CBD. It enables ASX customers to connect with each other and the<br>
Australian and global financial markets like never before.</p>
<p dir="ltr">Offering one central location for fast, simple connection to the<br>
financial markets community, the ALC provides low latency connectivity<br>
options to domestic and global liquidity sources, ASX market data and<br>
all ASX markets.</p>
<p dir="ltr">The ALC is designed to maximise the potential of its community. It<br>
houses all of ASX’s primary trading, clearing and settlement systems<br>
as well as providing hosting facilities for its customers which<br>
include buy and sell-side firms, market infrastructure and liquidity<br>
venues, information and technology vendors, and infrastructure and<br>
network service providers."</p>
<p dir="ltr">I've previously visited a previous ASX data centre location located at 530 Collins Street that is now closed and didn't see any technologies scanning equipment of this kind.</p>
<p dir="ltr">The banks have also confirmed there is a technology gap in such risks the provision of client safety deposit boxes/vaults.</p>
<p dir="ltr">2. Collaboration of a new inexpensive technology to enable the state police departments to track stolen mobile phones and retrieve electronic stolen property to the rightful owners. It is my personal assertion (and some within the police department agree), if we enabled police to confiscate equipment stolen at this level of gateway crime (even without criminal conviction but a first and final warning) we would stop future escalation to higher methods of crime for those alleged perpetrators by 70-80%. I'm certain I can develop the software in under 1000 hours including algorithms that will assist police to be provided with the safest apprehension points, and reasons why my software calculates this and how for their consideration.</p>
<p dir="ltr">3. Scanning of Australian airwaves for extremely severe vulnerabilities and requesting up space owners. One known risk is a issue with Fortinet hardware devices, I'm aware of many devices within Australia that allow a secret user administrative encrypted method to gain full administrative access. The reality is there's no scans to pickup such severe vulnerabilities.</p>
<p dir="ltr">4. IT risk committee. There really needs to be one made to government departments and educational institutes, there's really severe gaps in IT security due to the lack of experience/exposure in the decision makers. We need more people in this area that have run large data centres that understand the gaps in facilities and have a thorough understanding of all facets of online service provision.</p>
<p dir="ltr">These are thoughts and opinions, I'd ask who would be the best person to discuss this with at CSIRO preferably in Adelaide?</p>
<p dir="ltr">Looking forward to your reply/suggested next steps.</p>
<p dir="ltr">Christopher Edward Macko<br>
(Details Removed)</p>
<p dir="ltr">CSIRO have confirmed they've received my memo and that concerns have been escalated upward. Currently awaiting contact from various government agencies and departments over the concerns. Thought it best to share with you. If it's not relevant to you, that's ok, Chris.</p>
<div class="gmail_quot<blockquote class=" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear Industry Colleagues,<br>
<br>
In the last week, in reflection of previous data centre tours I have<br>
undertaken across the country and the risks that face us all within<br>
the IT industry, a concern came to mind in our physical security layer<br>
in relation to data centre facilities. It is my understanding<br>
currently in Australia (and for other countries as per discussions<br>
with colleagues), colocated computer equipment provided by customers<br>
is not inspected nor scanned for any potentially damaging substances<br>
before being installed within data centres, by organisations providing<br>
these services. At times, singular servers may be extremely bulky, and<br>
there may also be occasions when customers provide multiple racks<br>
fully equipped that is positioned within the data centre without any<br>
closer inspection apart from basic identification checks, as per<br>
understanding of information provided from some of our largest data<br>
centres. Considering this, I feel it's a risk that we don't scan<br>
equipment as it is being delivered/installed, similar to airports, in<br>
particular when it has been delivered locally.<br>
<br>
It's my understanding as an industry we spend billions each year<br>
securing our data security layer within data centres, however it<br>
appears that even with the strictest data centre audits (including by<br>
government risk assessors), these have not scrutinised this risk to<br>
any degree. I'm not aware if the Attorney General's department nor our<br>
federal or state governments perform any such checks when equipment is<br>
being installed into their own data centre facilities. I also don't<br>
believe I ever saw any such risk considered under any data centre<br>
rating specification. As a point, what good is bullet-proof glass<br>
within the foyer of a data centre and specific outline of the<br>
construction of a goods lift, when there is a greater threat for<br>
potentially damaging substances to be wheeled into a data centre<br>
within equipment without scrutiny.<br>
<br>
I would also ask the question whether our financial market is exposed<br>
in any way to this risk, and whether the Australian Stock Exchange<br>
sufficiently scans computer equipment delivered for installation into<br>
its' data centre facilities in particular by third party customers. I<br>
don't know the answer. I hope they do, if not, the question really<br>
needs to be asked, why not?<br>
<br>
Quoting from ASX document<br>
(<a href="http://www.asx.com.au/documents/professionals/alc-connectivity-guide.pdf" rel="noreferrer" target="_blank">http://www.asx.com.au/<wbr>documents/professionals/alc-<wbr>connectivity-guide.pdf</a>)<br>
which is available on their website currently;<br>
<br>
"The Australian Liquidity Centre (ALC) is a state-of-the-art data<br>
centre and financial markets community located just outside Sydney’s<br>
CBD. It enables ASX customers to connect with each other and the<br>
Australian and global financial markets like never before.<br>
<br>
Offering one central location for fast, simple connection to the<br>
financial markets community, the ALC provides low latency connectivity<br>
options to domestic and global liquidity sources, ASX market data and<br>
all ASX markets.<br>
<br>
The ALC is designed to maximise the potential of its community. It<br>
houses all of ASX’s primary trading, clearing and settlement systems<br>
as well as providing hosting facilities for its customers which<br>
include buy and sell-side firms, market infrastructure and liquidity<br>
venues, information and technology vendors, and infrastructure and<br>
network service providers."<br>
<br>
I've reached out to several colleagues within the industry, who also<br>
agree the lack of scanning of potentially damaging substances is a<br>
serious concern, I'd ask that you consider your thoughts on this risk<br>
in regards to safeguarding our technology and investments made by all<br>
involved, and what you believe should be done to address this risk<br>
moving forward.<br>
<br>
Kind regards,<br>
<br>
Chris Macko<br>
</div>