Morgan Stanley, der i sit websteds titel-tag angiver sig selv som "global leder inden for finansielle tjenesteydelser", og udtaler i åbningssætningen på sin hovedside, at "kunder kommer først", er blevet idømt en bøde $35,000,000 af US Securities and Exchange Commission (SEC)...
…for at sælge gamle hardwareenheder online, inklusive tusindvis af diskdrev, der stadig var fyldt med personligt identificerbare oplysninger (PII) tilhørende dets klienter.
I dag annoncerede vi anklager mod Morgan Stanley Smith Barney LLC, der stammer fra firmaets omfattende fejl i at beskytte de personlige identifikationsoplysninger om cirka 15 millioner kunder. MSSB har indvilget i at betale en bøde på $35 millioner for at afvikle SEC-afgifterne.
— US Securities and Exchange Commission (@SECGov) September 20, 2022
Strengt taget er det ikke en straffedom, så straffen er teknisk set ikke en bøde, men det er "ikke en bøde" på nogenlunde samme måde, som bilejere i England ikke længere får parkeringsbøder, men officielt betaler bøder i stedet.
Også, strengt taget, solgte Morgan Stanley ikke direkte selv de fornærmende enheder.
Men virksomheden kontraherede en anden til at udføre arbejdet med at tørre-og-sælge ud af det pensionerede udstyr, og så gad de ikke holde øje med processen for at sikre, at det blev gjort ordentligt.
Den fulde historie
SEC's officielle dokument om sagen, Administrativ procedure filnummer 3-21112, gør faktisk virkelig nyttig læsning for alle i SecOps eller cybersikkerhed.
På 11 sider er den ikke for lang at læse i sin helhed, og historien, den fortæller, er fascinerende, og den afslører adskillige drejninger, uautoriserede skift hos underleverandører, manglende tilsyn og opfølgning og hensynsløse genveje.
Hvis du har noget at gøre med sikker bortskaffelse af overflødigt udstyr, skal du sørge for at læse SEC's endelige dokument og sørge for, at dine egne politikker og procedurer tager højde for de mangler, der er beskrevet i rapporten.
Sørg især for, at du har gjort, gør og vil gøre et bedre stykke arbejde end Morgan Stanley med:
- Udstyrspensionering og datadestruktionspolitikker du adopterer på forhånd.
- Måden du vælger dine data-destruktionsentreprenører for gamle enheder.
- De procedurer du følger at holde øje med fremskridt.
Som du vil se fra SEC's fortællinger om bedrøvet egenrådighed (det andet ord er et, som SEC bruger officielt og formelt med hensyn til Morgan Stanley), er der utroligt meget, der kan gå galt, når du slipper af med gammelt it-kit.
Ikke desto mindre er hovedpunkterne i historien blot fortalt i SEC's resumé, nemlig at Morgan Stanley via en entreprenør:
- Solgte cirka 4,900 informationsteknologiaktiver indeholdende klient-PII, hvoraf mange stadig havde den PII på sig, da de nåede deres nye ejere.
- Dekommissionerede 500 netværkscache-enheder, der indeholder klient-PII der i bedste fald var delvist krypteret, hvoraf 42 ikke blev redegjort for efter deres påståede "bortskaffelse".
Beskidte gerninger og de er lavet billigt
I det første tilfælde, der går tilbage til 2016, ser det ud til, at entreprenøren valgt af Morgan Stanley, måske indså, at firmaet ikke tjekkede op på, hvor trofast rensning-og-salg-processen blev fulgt, besluttede at skifte til en ny (og ikke-godkendt) underleverandør, der tilsyneladende sprang "tør det først"-delen over og direkte satte de pensionerede enheder til salg på en online auktionsside.
Nogen i Oklahoma købte et par af de gamle drev, formentlig som reservedele til deres egen it-drift, og indså, at de stadig var fulde af Morgan Stanley-klientdata.
Ifølge SEC kontaktede køberen Morgan Stanley og sagde: "[du] er en stor finansiel institution og bør følge nogle meget strenge retningslinjer for, hvordan man håndterer hardware, der går på pension. Eller i det mindste få en form for verifikation af datadestruktion fra de leverandører, du sælger udstyr til."
Morgan Stanley købte til sidst disse drev tilbage, men det handlede ikke om nogen af de andre diske, der var blevet solgt andre steder.
Faktisk bemærker SEC, at 14 flere data-plettede diske blev købt tilbage fra en anden af Morgan Stanley så sent som i juni 2021, stadig uryddet, stadig fungerer fint og stadig indeholder "mindst 140,000 stykker kunde-PII".
Som SEC skævt bemærker, "Langt størstedelen af harddiskene fra 2016 Data Center Decommissioning mangler stadig."
Vi er sikre på, at vi kan have krypteret noget
I det andet tilfælde var de pensionerede enheder WAN (wide area network) cachingservere, der blev brugt af afdelingskontorer til at optimere internetbåndbredden for at fremskynde adgangen til almindelige dokumenter.
Ironisk nok havde disse enheder en mulighed for kryptering af alle lagrede datapakker, som ville have forenklet nedlukningen meget.
Når alt kommer til alt, hvis du kan vise, at du har slået krypteringsindstillingen til, og at du har slettet alle kendte kopier af dekrypteringsnøglen, så vil databeskyttelsesmyndigheder i mange lande også behandle de krypterede data som slettede.
Data, der anses for at være udekrypterbare, er ikke mere meningsfulde end digital strimlet kål.
Men Morgan Stanley aktiverede tilsyneladende ikke dekrypteringsmuligheden før mindst et år efter, at enhederne blev taget i brug...
…og krypteringen gjaldt kun for nye data, der efterfølgende blev skrevet til enheden, ikke til noget, der var der før.
Så alt, som Morgan Stanley kan "bevise", for de 42 enheder, der stadig er derude et eller andet sted, er, at hver enhed næsten helt sikkert indeholder mindst noget klient-PII, der bestemt ikke er krypteret.
Hvad skal jeg gøre?
- Du kan outsource din cybersikkerhed, men du kan ikke outsource dit ansvar. Sørg for, at du overholder databeskyttelsesreglerne ved også at holde styr på, hvordan dine entreprenører overholder dem. En del af SEC's klage over Morgan Stanley er, at det burde have været indlysende, at deres valgte operatør havde afveget fra den officielle plan, og at virksomheden dermed nemt kunne have undgået at blive non-compliant og udsætte deres kunder for fare.
- Kryptering med fuld enhed kan hjælpe dig med at overholde databeskyttelsesreglerne. Korrekt krypterede data uden dekrypteringsnøglen er i virkeligheden kun tilfældig støj, så mange databeskyttelsesregulatorer behandler "ikke-krypterbare" diske, som om de var blevet slettet eller aldrig indeholdt nogen data overhovedet. Men du skal både kunne vise, at du aktiverede krypteringen korrekt i første omgang, og at enhver, der anskaffer disken fremover, ikke vil være i stand til at erhverve dekrypteringsnøglen.
- Hvis du er i tvivl, så gå efter enhedsdestruktion, ikke for at tørre-og-sælge-på. Der er sunde miljømæssige grunde til ikke blindt at ødelægge og genbruge enhver computerenhed, som du trækker dig tilbage fra tjenesten, men der er et faldende afkast ved at genbruge gammelt sæt. Selv store enheder kan fysisk "makuleres", hvilket efterlader deres metaller åbne for gendannelse, men ikke deres data. Hvis du ikke med fordel kan genbruge det, så lad være med at sælge det videre til en anden, som måske ikke i sidste ende kommer af med det så forsvarligt som dig. Bortskaf det selv ansvarligt.
- Mishandlet PII kan dukke op år efter, du har mistet det. I modsætning til haveaffald i kompostbeholderen eller gamle cykler, der er smidt i kanalen, kan fejlplacerede datalagringsenheder dukke op i perfekt funktionsdygtig stand, med alle deres originale data intakte, i årevis efter, at du måske havde antaget, at de var gået tabt uden spor eller forringet. reparation.
Vi kan ikke lade være med at slutte med det rim, vi ofte bruger til at advare folk om risikoen ved overdeling på sociale medier, for det gælder lige så godt for data, der er lagret af den største it-afdeling.
Hvis du er i tvivl / Giv det ikke ud.
SE GNISTERNE FLY – EN DISKMASKINER I AKTION
(Kigge på direkte på YouTube hvis videoen ikke kan afspilles her.)