مورغان ستانلي ، التي وصفت نفسها في عنوان موقعها على الإنترنت بأنها "الرائد العالمي في الخدمات المالية" ، وتذكر في الجملة الافتتاحية من صفحتها الرئيسية أن "العملاء يأتون أولاً" ، تم تغريمهم $35,000,000 من قبل لجنة الأوراق المالية والبورصات الأمريكية (SEC) ...
... لبيع الأجهزة القديمة عبر الإنترنت ، بما في ذلك الآلاف من محركات الأقراص ، التي لا تزال محملة بمعلومات التعريف الشخصية (PII) الخاصة بعملائها.
أعلنا اليوم عن اتهامات ضد Morgan Stanley Smith Barney LLC نتيجة لإخفاقات الشركة الواسعة في حماية معلومات التعريف الشخصية لما يقرب من 15 مليون عميل. وافق MSSB على دفع غرامة قدرها 35 مليون دولار لتسوية رسوم هيئة الأوراق المالية والبورصات.
- لجنة الأوراق المالية والبورصات الأمريكية (SECGov) 20 سبتمبر 2022
بالمعنى الدقيق للكلمة ، هذه ليست إدانة جنائية ، لذا فإن العقوبة ليست غرامة من الناحية الفنية ، لكنها "ليست غرامة" بنفس الطريقة التي لم يعد يحصل بها مالكو السيارات في إنجلترا على غرامات وقوف السيارات ، ولكن دفع إخطارات الغرامة رسميًا في حين أن.
أيضًا ، بالمعنى الدقيق للكلمة ، لم يقم Morgan Stanley ببيع الأجهزة المخالفة نفسها بشكل مباشر.
لكن الشركة تعاقدت مع شخص آخر للقيام بعمل مسح وبيع المعدات المتقاعد ، ثم لم تكلف نفسها عناء مراقبة العملية للتأكد من أنها تمت بشكل صحيح.
القصة كاملة
الوثيقة الرسمية لهيئة الأوراق المالية والبورصات حول هذا الموضوع ، ملف الإجراءات الإدارية رقم 3-21112، يجعل القراءة مفيدة حقًا لأي شخص يعمل في SecOps أو الأمن السيبراني.
في 11 صفحة ، لم يستغرق الأمر وقتًا طويلاً للقراءة كاملة ، والقصة التي ترويها قصة رائعة ، حيث تكشف عن العديد من التقلبات والانعطافات ، والتبديل غير المصرح به في المقاولين من الباطن ، ونقص الإشراف والمتابعة ، والاختصارات المتهورة.
إذا كان لديك أي علاقة بالتخلص الآمن من المعدات الزائدة عن الحاجة ، فتأكد من قراءة الوثيقة النهائية للجنة الأوراق المالية والبورصات ، وتأكد من أن سياساتك وإجراءاتك تأخذ في الاعتبار أوجه القصور الموضحة في التقرير.
والجدير بالذكر ، تأكد من أنك قد أنجزت ، وتقوم بعمل ، وسوف تقوم بعمل أفضل من Morgan Stanley مع:
- سياسات تقاعد المعدات وتدمير البيانات أنت تتبنى مقدمًا.
- الطريقة التي تختارها مقاولو تدمير البيانات للأجهزة القديمة.
- الإجراءات التي تتبعها لمتابعة التقدم.
كما سترون من حكايات لجنة الأوراق المالية والبورصات (SEC) (الكلمة الثانية هي الكلمة التي تستخدمها هيئة الأوراق المالية والبورصات رسميًا ورسميًا فيما يتعلق بـ Morgan Stanley) ، فهناك الكثير من الأخطاء التي يمكن أن تسوء عندما تتخلص من مجموعة أدوات تكنولوجيا المعلومات القديمة.
ومع ذلك ، فإن النقاط الرئيسية للقصة يتم سردها ببساطة في ملخص لجنة الأوراق المالية والبورصات ، وهي أن Morgan Stanley ، عبر مقاول:
- تم بيع ما يقرب من 4,900 من أصول تكنولوجيا المعلومات التي تحتوي على معلومات تحديد الهوية الشخصية للعميل، والتي لا يزال العديد منها يحتوي على معلومات تحديد الهوية الشخصية (PII) عليها عندما وصلوا إلى أصحابها الجدد.
- تم إيقاف تشغيل 500 جهاز تخزين مؤقت للشبكة يحتوي على معلومات PII للعميل تم تشفيرها جزئيًا في أحسن الأحوال ، حيث لم يُعرف مصير 42 منها بعد "التخلص" المزعوم.
الأفعال القذرة ويتم القيام بها رخيصة الثمن
في الحالة الأولى ، التي يعود تاريخها إلى عام 2016 ، يبدو أن المقاول الذي اختاره مورجان ستانلي ، ربما أدرك أن الشركة لم تتحقق من مدى إخلاص اتباع عملية المسح والبيع ، فقرر التحول إلى مقاول من الباطن جديد (وغير معتمد) تخطى على ما يبدو الجزء "امسحه أولاً" ، وعرض الأجهزة المتوقفة للبيع مباشرة في موقع مزاد عبر الإنترنت.
اشترى شخص ما في أوكلاهوما عددًا قليلاً من محركات الأقراص القديمة ، ويُفترض أنها قطع غيار ساخنة لتشغيل تكنولوجيا المعلومات الخاصة به ، وأدرك أنها لا تزال مليئة ببيانات عميل Morgan Stanley.
وفقًا للجنة الأوراق المالية والبورصات ، اتصل المشتري بشركة Morgan Stanley وقال ، "[أنت] مؤسسة مالية كبرى ويجب أن تتبع بعض الإرشادات الصارمة جدًا حول كيفية التعامل مع الأجهزة المتقاعد. أو على الأقل الحصول على نوع من التحقق من إتلاف البيانات من البائعين الذين تبيع لهم المعدات ".
قام Morgan Stanley في النهاية بإعادة شراء محركات الأقراص هذه ، لكن ذلك لم يتعامل مع أي من الأقراص الأخرى التي تم بيعها في مكان آخر.
في الواقع ، لاحظت لجنة الأوراق المالية والبورصات أن 14 قرصًا ملوثًا بالبيانات تم شراؤها من شخص آخر بواسطة Morgan Stanley مؤخرًا في يونيو 2021 ، ولا تزال غير مضغوطة ، ولا تزال تعمل بشكل جيد ، ولا تزال تحتوي على "ما لا يقل عن 140,000 قطعة من معلومات تحديد الهوية الشخصية للعميل".
كما لاحظت هيئة الأوراق المالية والبورصات بسخرية ، "لا تزال الغالبية العظمى من محركات الأقراص الثابتة من إيقاف تشغيل مركز البيانات لعام 2016 مفقودة."
نحن على يقين من أننا ربما قمنا بتشفير شيء ما
في الحالة الثانية ، كانت الأجهزة المتوقفة هي خوادم التخزين المؤقت WAN (شبكة واسعة النطاق) التي تستخدمها المكاتب الفرعية لتحسين عرض النطاق الترددي للإنترنت من أجل تسريع الوصول إلى المستندات المشتركة.
ومن المفارقات ، أن هذه الأجهزة لديها خيار تشفير أي حزم بيانات مخزنة كان من شأنه أن يبسط إيقاف التشغيل إلى حد كبير.
بعد كل شيء ، إذا كان بإمكانك إظهار أنك قمت بتشغيل خيار التشفير ، وأنك مسحت جميع النسخ المعروفة من مفتاح فك التشفير ، فإن منظمي حماية البيانات في العديد من البلدان سيعاملون البيانات المشفرة على أنها ممسوحة أيضًا.
البيانات التي تعتبر غير قابلة للتشفير ليست أكثر أهمية من الملفوف الرقمي المقطع.
لكن يبدو أن Morgan Stanley لم ينشط خيار فك التشفير إلا بعد مرور عام على الأقل على استخدام الأجهزة ...
... ويتم تطبيق التشفير فقط على البيانات الجديدة التي تمت كتابتها لاحقًا على الجهاز ، وليس على أي شيء كان موجودًا من قبل.
لذا فإن كل ما يمكن لـ Morgan Stanley "إثباته" ، بالنسبة للأجهزة الـ 42 التي لا تزال موجودة في مكان ما ، هو أن كل جهاز يحتوي على الأقل على بعض معلومات تحديد الهوية الشخصية للعميل غير المشفرة بالتأكيد.
ماذا ستفعلين.. إذًا؟
- يمكنك الاستعانة بمصادر خارجية لأمنك الإلكتروني ، لكن لا يمكنك الاستعانة بمصادر خارجية لمسؤوليتك. تأكد من امتثالك للوائح حماية البيانات من خلال تتبع كيفية امتثال المتعاقدين معها أيضًا. جزء من شكوى هيئة الأوراق المالية والبورصات (SEC) ضد Morgan Stanley هو أنه كان يجب أن يكون واضحًا أن المشغل الذي تم اختياره قد انحرف عن الخطة الرسمية ، وبالتالي كان بإمكان الشركة بسهولة تجنب عدم الامتثال وتعريض عملائها للخطر.
- يمكن أن يساعدك تشفير الجهاز بالكامل على الامتثال لقواعد حماية البيانات. البيانات المشوشة بشكل صحيح بدون مفتاح فك التشفير هي في الواقع مجرد ضوضاء عشوائية ، لذا فإن العديد من منظمي حماية البيانات يتعاملون مع الأقراص "غير القابلة للتشفير" كما لو تم مسحها ، أو لم تحتوي على أي بيانات على الإطلاق. لكن عليك أن تكون قادرًا على إثبات أنك قمت بتنشيط التشفير بشكل صحيح في المقام الأول ، وأن أي شخص يحصل على القرص في المستقبل لن يتمكن من الحصول على مفتاح فك التشفير.
- إذا كنت في شك ، فابحث عن إتلاف الجهاز ، وليس للمسح والبيع. هناك أسباب بيئية سليمة لعدم التدمير الأعمى وإعادة تدوير كل جهاز كمبيوتر تتقاعد من الخدمة ، ولكن هناك عوائد متناقصة من إعادة استخدام المجموعة القديمة. حتى الأجهزة الكبيرة يمكن "تمزيقها" فعليًا ، مما يترك معادنها مفتوحة للاسترداد ولكن ليس بياناتها. إذا لم تتمكن من إعادة استخدامها بشكل مفيد ، فلا تزعج نفسك ببيعها إلى شخص آخر قد لا يتخلص منها في النهاية بشكل سليم مثلك. تخلص منها بمسؤولية بنفسك.
- يمكن أن تظهر معلومات تحديد الهوية الشخصية التي تم سوء التعامل معها بعد سنوات من فقدها. على عكس نفايات الحدائق في صندوق السماد أو الدراجات القديمة التي يتم إلقاؤها في القناة ، يمكن أن تظهر أجهزة تخزين البيانات في غير مكانها في حالة عمل مثالية ، مع جميع بياناتها الأصلية سليمة ، لسنوات بعد أن افترضت أنها فقدت دون أثر ، أو تدهورت إلى ما بعد يصلح.
لا يمكننا مقاومة النهاية بالقافية التي نستخدمها غالبًا لتحذير الناس من مخاطر الإفراط في المشاركة على وسائل التواصل الاجتماعي ، لأنها تنطبق بشكل جيد على البيانات المخزنة بواسطة أكبر قسم لتكنولوجيا المعلومات.
إذا كنت في شك / لا تعطها.
شاهد ذبابة الشرارة - أداة تفريغ قرصية أثناء العمل
(راقب مباشرة على موقع يوتيوب إذا لم يتم تشغيل الفيديو هنا.)