Morgan Stanley, que se anuncia a sí mismo en la etiqueta del título de su sitio web como el "líder mundial en servicios financieros", y afirma en la oración inicial de su página principal que "los clientes son lo primero", ha sido multado $35,000,000 por la Comisión de Bolsa y Valores de los Estados Unidos (SEC)...
…por vender dispositivos de hardware antiguos en línea, incluidas miles de unidades de disco, que todavía estaban cargadas con información de identificación personal (PII) perteneciente a sus clientes.
Hoy anunciamos cargos contra Morgan Stanley Smith Barney LLC derivados de las extensas fallas de la empresa para proteger la información de identificación personal de aproximadamente 15 millones de clientes. MSSB acordó pagar una multa de $35 millones para liquidar los cargos de la SEC.
— Comisión de Bolsa y Valores de EE. UU. (@SECGov) 20 de septiembre de 2022
Estrictamente hablando, no es una condena penal, por lo que la sanción no es técnicamente una multa, pero "no es una multa" de la misma manera que los propietarios de automóviles en Inglaterra ya no reciben multas de estacionamiento, pero oficialmente pagan avisos de multas. en cambio.
Además, estrictamente hablando, Morgan Stanley no vendió directamente los dispositivos ofensivos.
Pero la empresa contrató a otra persona para que hiciera el trabajo de limpiar y vender el equipo jubilado y luego no se molestó en vigilar el proceso para asegurarse de que se hiciera correctamente.
La historia completa
El documento oficial de la SEC sobre el asunto, Expediente Administrativo Número 3-21112, en realidad es una lectura realmente útil para cualquier persona en SecOps o ciberseguridad.
Con 11 páginas, no es demasiado largo para leerlo completo, y la historia que cuenta es fascinante, revelando numerosos giros y vueltas, cambios no autorizados en subcontratistas, falta de supervisión y seguimiento, y atajos imprudentes.
Si tiene algo que ver con la eliminación segura de equipos redundantes, asegúrese de leer el documento final de la SEC y asegúrese de que sus propias políticas y procedimientos tengan en cuenta las fallas descritas en el informe.
En particular, asegúrese de que ha hecho, está haciendo y hará un mejor trabajo que Morgan Stanley con:
- Las políticas de retiro de equipos y destrucción de datos usted adopta por adelantado.
- La forma en que eliges sus contratistas de destrucción de datos para dispositivos antiguos.
- Los procedimientos que sigue para estar al tanto del progreso.
Como verá en las historias de terquedad lamentable de la SEC (la segunda palabra es una que la SEC usa oficial y formalmente con respecto a Morgan Stanley), hay muchas cosas que pueden salir mal cuando se deshace del viejo equipo de TI.
Sin embargo, los puntos principales de la historia se relatan simplemente en el resumen de la SEC, a saber, que Morgan Stanley, a través de un contratista:
- Vendió aproximadamente 4,900 activos de tecnología de la información que contenían PII del cliente, muchos de los cuales todavía tenían esa PII cuando llegaron a sus nuevos propietarios.
- 500 dispositivos de almacenamiento en caché de red retirados que contenían PII del cliente que estaban, en el mejor de los casos, parcialmente encriptados, de los cuales 42 no se encontraron después de su supuesta “eliminación”.
Hechos sucios y se hacen muy baratos
En el primer caso, que se remonta a 2016, parece que el contratista elegido por Morgan Stanley, quizás al darse cuenta de que la empresa no estaba comprobando la fidelidad con la que se seguía el proceso de limpieza y venta, decidió cambiar a un subcontratista nuevo (y no aprobado) que aparentemente se saltó la parte de "borrar primero" y puso directamente a la venta los dispositivos retirados en un sitio de subastas en línea.
Alguien en Oklahoma compró algunas de las unidades antiguas, presumiblemente como repuestos dinámicos para su propia operación de TI, y se dio cuenta de que todavía estaban llenas de datos de clientes de Morgan Stanley.
Según la SEC, el comprador se puso en contacto con Morgan Stanley y dijo: “[usted] es una institución financiera importante y debe seguir algunas pautas muy estrictas sobre cómo lidiar con el retiro del hardware. O, al menos, obtener algún tipo de verificación de la destrucción de datos de los proveedores a los que vende equipos”.
Morgan Stanley finalmente volvió a comprar esas unidades, pero eso no se ocupó de ninguno de los otros discos que se habían vendido en otros lugares.
De hecho, la SEC señala que Morgan Stanley volvió a comprar 14 discos más contaminados con datos de otra persona en junio de 2021, aún sin borrar, aún funcionando bien y aún conteniendo "al menos 140,000 piezas de PII del cliente".
Como señala irónicamente la SEC, “La gran mayoría de los discos duros del Desmantelamiento del centro de datos de 2016 siguen desaparecidos”.
Estamos seguros de que podemos haber encriptado algo
En el segundo caso, los dispositivos retirados eran servidores de almacenamiento en caché WAN (red de área amplia) utilizados por las sucursales para optimizar el ancho de banda de Internet a fin de acelerar el acceso a documentos comunes.
Irónicamente, estos dispositivos tenían una opción de encriptar cualquier paquete de datos almacenado que habría simplificado enormemente el desmantelamiento.
Después de todo, si puede demostrar que activó la opción de cifrado y que borró todas las copias conocidas de la clave de descifrado, los reguladores de protección de datos en muchos países también tratarán los datos cifrados como borrados.
Los datos que se consideran no descifrables no tienen más significado que el repollo triturado digital.
Pero Morgan Stanley aparentemente no activó la opción de descifrado hasta al menos un año después de que los dispositivos entraran en uso...
…y el cifrado solo se aplicó a los datos nuevos que se escribieron posteriormente en el dispositivo, no a nada que estuviera allí antes.
Así que todo lo que Morgan Stanley puede "probar", para los 42 dispositivos que todavía están por ahí, es que cada dispositivo casi con seguridad contiene al menos alguna PII del cliente que definitivamente no está encriptada.
¿Qué hacer?
- Puede subcontratar su ciberseguridad, pero no puede subcontratar su responsabilidad. Asegúrese de cumplir con las normas de protección de datos realizando un seguimiento de cómo sus contratistas también las cumplen. Parte de la queja de la SEC contra Morgan Stanley es que debería haber sido obvio que su operador elegido se había desviado del plan oficial y, por lo tanto, la empresa podría haber evitado fácilmente incumplir y poner en riesgo a sus clientes.
- El cifrado de todo el dispositivo puede ayudarlo a cumplir con las reglas de protección de datos. Los datos codificados correctamente sin la clave de descifrado son simplemente ruido aleatorio, por lo que muchos reguladores de protección de datos tratan los discos "no descifrables" como si hubieran sido borrados o nunca hubieran contenido ningún dato. Pero debe poder demostrar que activó el cifrado correctamente en primer lugar y que cualquier persona que adquiera el disco en el futuro no podrá adquirir la clave de descifrado.
- En caso de duda, opte por la destrucción del dispositivo, no por la limpieza y venta. Existen sólidas razones ambientales para no destruir y reciclar a ciegas todos los dispositivos informáticos que retira del servicio, pero hay rendimientos decrecientes al reutilizar equipos antiguos. Incluso los dispositivos grandes se pueden "triturar" físicamente, dejando sus metales abiertos para la recuperación, pero no sus datos. Si no puede reutilizarlo de manera útil, no se moleste en vendérselo a otra persona que, en última instancia, no se deshará de él tan bien como usted. Deséchelo responsablemente usted mismo.
- La PII mal manejada puede aparecer años después de que la perdiste. A diferencia de los desechos del jardín en el contenedor de compost o las bicicletas viejas tiradas en el canal, los dispositivos de almacenamiento de datos extraviados pueden aparecer en perfecto estado de funcionamiento, con todos sus datos originales intactos, durante años después de que podría haber asumido que se perdieron sin dejar rastro o se degradaron más allá. reparar.
No podemos resistirnos a terminar con la rima que a menudo usamos para advertir a las personas sobre los riesgos de compartir demasiado en las redes sociales, porque se aplica igualmente a los datos almacenados por el departamento de TI más grande.
En caso de duda / No lo des.
MIRA LAS CHISPAS VOLAR: UNA TRITURADORA DE DISCOS EN ACCIÓN
(Reloj directamente en YouTube si el video no se reproduce aquí)