Morgan Stanley, kes nimetab end oma veebisaidi pealkirjasildis "finantsteenuste ülemaailmseks liidriks" ja ütleb oma avalehe avalauses, et "kliendid on esikohal", sai trahvi. $35,000,000 USA väärtpaberi- ja börsikomisjoni (SEC) poolt…
… vanade riistvaraseadmete, sealhulgas tuhandete kettaseadmete veebis mahamüümise eest, mis olid endiselt laetud klientidele kuuluva isikut tuvastava teabega (PII).
Täna teatasime Morgan Stanley Smith Barney LLC-le süüdistustest, mis tulenevad ettevõtte ulatuslikest suutmatusest kaitsta ligikaudu 15 miljoni kliendi isikuandmeid. MSSB on nõustunud SEC-i tasude tasumiseks maksma 35 miljonit dollarit trahvi.
— USA väärtpaberi- ja börsikomisjon (@SECGov) September 20, 2022
Rangelt võttes ei ole tegemist kriminaalkaristusega, nii et karistus ei ole tehniliselt trahv, kuid see ei ole "trahv" samamoodi nagu autoomanikud Inglismaal ei saa enam parkimistrahve, vaid maksavad ametlikult trahviteateid. selle asemel.
Ka rangelt võttes ei müünud Morgan Stanley otseselt rikkuvaid seadmeid ise maha.
Ettevõte sõlmis aga lepingu kellegi teisega, kes teeks vananenud seadmete pühkimise ja mahamüümise ning ei vaevunud siis protsessil silma peal hoidma, et see oleks korralikult tehtud.
Kogu lugu
SECi ametlik dokument selle kohta, Haldusmenetluse toimiku number 3-21112, on tegelikult kasulik lugemine kõigile, kes tegelevad SecOpsi või küberturvalisusega.
11-leheküljelisena pole see liiga pikk, et täismahus lugeda, ja lugu, mida see jutustab, on põnev, paljastades arvukalt keerdkäike, alltöövõtjate volitamata lülitusi, järelevalve ja järelkontrolli puudumist ning hoolimatuid otseteid.
Kui teil on midagi pistmist üleliigsete seadmete turvalise kõrvaldamisega, lugege kindlasti SEC-i lõppdokumenti ja veenduge, et teie enda poliitikad ja protseduurid võtaksid arvesse aruandes kirjeldatud tõrkeid.
Eelkõige veenduge, et olete teinud, teete ja teete paremat tööd kui Morgan Stanley:
- Seadmete kasutuselt kõrvaldamise ja andmete hävitamise eeskirjad lapsendad enne.
- Teie valitud viis teie vanade seadmete andmete hävitamise töövõtjad.
- Protseduurid, mida järgite edusammude jälgimiseks.
Nagu näete SEC-i lugudest kurvast kavatsusest (teine sõna on see, mida SEC kasutab ametlikult ja ametlikult Morgan Stanley kohta), võib vanast IT-komplektist vabanemisel palju valesti minna.
Sellegipoolest on loo põhipunktid lihtsalt SECi kokkuvõttes öeldud, nimelt see, et Morgan Stanley töövõtja kaudu:
- Müüs ligikaudu 4,900 infotehnoloogiavara, mis sisaldasid kliendi isikuandmeid, millest paljudel oli see PII alles, kui nad uute omanikeni jõudsid.
- Kasutusest kõrvaldatud 500 võrgu vahemäluseadet, mis sisaldavad kliendi isikut tuvastavat teavet mis olid parimal juhul osaliselt krüptitud, millest 42 jäi pärast nende väidetavat "utiliseerimist" teadmata.
Räpased teod ja tehakse ropult odavalt
Esimesel juhul, mis pärineb aastast 2016, näib, et Morgan Stanley valitud töövõtja, olles võib-olla aru saanud, et ettevõte ei kontrollinud, kui täpselt pühkimis- ja edasimüümisprotsessi järgitakse, otsustas üle minna uus (ja heakskiitmata) alltöövõtja, kes ilmselt jättis osa "kõigepealt pühkima" vahele ja pani kasutuselt kõrvaldatud seadmed otse veebioksjoni saidile müüki.
Keegi Oklahomas ostis mõned vanad draivid, arvatavasti oma IT-toimingute jaoks kuumaks varuks, ja mõistis, et need on endiselt Morgan Stanley kliendiandmeid täis.
SECi sõnul võttis ostja ühendust Morgan Stanleyga ja ütles: "[Te] olete suur finantsasutus ja peaksite järgima mõningaid väga rangeid juhiseid selle kohta, kuidas riistvara kasutuselt kõrvaldada. Või vähemalt saada müüjatelt, kellele seadmeid müüte, mingisugune kinnitus andmete hävitamise kohta.
Morgan Stanley ostis need draivid lõpuks tagasi, kuid see ei puudutanud ühtegi muud kettad, mida mujal müüdi.
Tõepoolest, SEC märgib, et alles 14. aasta juunis ostis Morgan Stanley kelleltki teiselt tagasi veel 2021 andmetega rikutud ketast, mis on veel puhastamata, töötavad endiselt hästi ja sisaldavad endiselt "vähemalt 140,000 XNUMX kliendi isikut tõendavat infot".
Nagu SEC viletsalt märgib, "Valdav enamus 2016. aasta andmekeskuse kasutusest kõrvaldamise kõvakettaid on endiselt puudu."
Oleme kindlad, et oleme midagi krüpteerinud
Teisel juhul olid kasutusest kõrvaldatud seadmed WAN-i (laivõrgu) vahemäluserverid, mida harukontorid kasutasid Interneti ribalaiuse optimeerimiseks, et kiirendada juurdepääsu tavadokumentidele.
Irooniline, et nendel seadmetel oli suvand krüpteerida kõik salvestatud andmepaketid, mis oleks kasutuselt kõrvaldamist oluliselt lihtsustanud.
Lõppude lõpuks, kui suudate näidata, et lülitasite krüpteerimisvaliku sisse ja kustutasite kõik teadaolevad dekrüpteerimisvõtme koopiad, käsitlevad paljude riikide andmekaitseregulaatorid ka krüptitud andmeid kustutatuna.
Andmed, mida peetakse dekrüpteerimatuks, pole tähendusrikkamad kui digitaalne hakitud kapsas.
Kuid ilmselt aktiveeris Morgan Stanley dekrüpteerimisvalikut alles vähemalt aasta pärast seadmete kasutuselevõttu…
…ja krüpteerimist rakendati ainult seadmesse hiljem kirjutatud uutele andmetele, mitte millelegi, mis seal varem oli.
Nii et kõik, mida Morgan Stanley suudab 42 seadme puhul, mis on veel kuskil väljas, "tõestada", on see, et iga seade sisaldab peaaegu kindlasti vähemalt mõnda kliendi isikut tuvastavat teavet, mis pole kindlasti krüptitud.
Mida teha?
- Saate oma küberjulgeolekut väljast tellida, kuid te ei saa oma vastutust väljast tellida. Veenduge, et järgite andmekaitseeeskirju, jälgides ka seda, kuidas teie töövõtjad neid järgivad. Osa SEC-i kaebusest Morgan Stanley vastu seisneb selles, et oleks pidanud olema ilmselge, et nende valitud operaator kaldus ametlikust plaanist kõrvale ja seega oleks ettevõte võinud kergesti vältida nõuetele mittevastavust ja oma klientide ohtu seadmist.
- Täisseadme krüpteerimine aitab teil järgida andmekaitsereegleid. Korralikult skrambleeritud andmed ilma dekrüpteerimisvõtmeta on tegelikult lihtsalt juhuslik müra, nii et paljud andmekaitseregulaatorid kohtlevad dekrüptimatuid kettaid nii, nagu need oleks kustutatud või ei sisaldanud üldse andmeid. Kuid peate suutma näidata nii seda, et aktiveerisite krüptimise alguses õigesti, kui ka seda, et igaüks, kes ketta tulevikus omandab, ei saa dekrüpteerimisvõtit hankida.
- Kui kahtlete, proovige seadet hävitada, mitte pühkida ja edasi müüa. On kaalukaid keskkonnaalaseid põhjusi, miks mitte pimesi hävitada ja ringlusse võtta iga kasutuselt kõrvaldatud arvutiseadet, kuid vana komplekti taaskasutamine väheneb. Isegi suuri seadmeid saab füüsiliselt hakkida, jättes taastamiseks avatuks nende metallid, kuid mitte andmed. Kui te ei saa seda kasulikult taaskasutada, ärge viitsige seda edasi müüa kellelegi teisele, kes ei pruugi seda lõppkokkuvõttes nii mõistlikult käsutada kui teie. Visake see ise vastutustundlikult ära.
- Valesti käsitletud isikut tõendavad andmed võivad ilmuda aastaid pärast selle kaotamist. Erinevalt kompostikastis olevatest aiajäätmetest või kanalisse visatud vanadest jalgratastest võivad valesti paigutatud andmesalvestusseadmed ilmuda ideaalses töökorras ja kõigi nende algandmetega alles aastaid pärast seda, kui võisite arvata, et need on jäljetult kadunud või halvenenud. remont.
Me ei suuda lõpetada riimiga, mida sageli kasutame, et hoiatada inimesi sotsiaalmeedias ülejagamise riskide eest, sest see kehtib sama hästi ka suurima IT-osakonna salvestatud andmete kohta.
Kui kahtled / ära anna välja.
VAATA, KUID SÄDEMED LENDAVAD – KETTAPURUSTUS TÖÖS
(Vaata otse YouTube'is kui videot siin ei esitata.)