Morgan Stanley, joka mainitsee itsensä verkkosivuillaan "rahoituspalveluiden maailmanlaajuiseksi johtajaksi" ja toteaa pääsivunsa avauslauseessa, että "asiakkaat ovat etusijalla", on saanut sakon. $35,000,000 US Securities and Exchange Commissionin (SEC) toimesta…
...vanhojen laitteistojen myymisestä verkossa, mukaan lukien tuhansia levyasemia, jotka olivat edelleen ladattu sen asiakkaille kuuluvilla henkilökohtaisilla tunnistetiedoilla (PII).
Tänään julkistimme syytteet Morgan Stanley Smith Barney LLC:tä vastaan, koska yritys ei ole pystynyt suojaamaan noin 15 miljoonan asiakkaan henkilötietoja. MSSB on suostunut maksamaan 35 miljoonan dollarin sakon SEC-maksujen selvittämiseksi.
– US Securities and Exchange Commission (@SECGov) Syyskuu 20, 2022
Tarkkaan ottaen se ei ole rikostuomio, joten rangaistus ei ole teknisesti sakko, mutta se ei ole "sakko" samalla tavalla kuin auton omistajat Englannissa eivät enää saa pysäköintisakkoja, vaan maksavat virallisesti rangaistusmaksuilmoitukset. sen sijaan.
Tarkkaan ottaen Morgan Stanley ei myöskään myynyt suoraan loukkaavia laitteita itse.
Mutta yritys teki sopimuksen jonkun muun pyyhkimään ja myymään vanhentuneet laitteet, eikä se sitten vaivautunut pitämään prosessia silmällä varmistaakseen, että se tehtiin oikein.
Koko tarina
SEC:n virallinen asiakirja aiheesta, Hallinnollisen menettelyn tiedostonumero 3-21112, on todella hyödyllistä luettavaa kaikille SecOpsin tai kyberturvallisuuden parissa.
11-sivuisena se ei ole liian pitkä luettavaksi kokonaan, ja sen kerrottu tarina on kiehtova, paljastaen lukuisia käänteitä, luvattomia vaihtoja alihankkijoissa, valvonnan ja seurannan puutetta sekä holtittomia oikoteitä.
Jos sinulla on jotain tekemistä redundanttien laitteiden turvallisen hävittämisen kanssa, muista lukea SEC:n loppuasiakirja ja varmistaa, että omat käytännöt ja menettelytavat ottavat huomioon raportissa kuvatut puutteet.
Varmista erityisesti, että olet tehnyt, teet ja teet parempaa työtä kuin Morgan Stanley seuraavilla tavoilla:
- Laitteiden käytöstä poistamista ja tietojen tuhoamista koskevat käytännöt adoptoit etukäteen.
- Valitsemallasi tavalla vanhojen laitteiden tietojen tuhoamisurakoitsijat.
- Menettelyt, joita noudatat seurataksesi edistymistä.
Kuten näet SEC:n tarinoista surkeasta tahallisuudesta (toinen sana on se, jota SEC käyttää virallisesti ja muodollisesti Morgan Stanleyn suhteen), hirveän paljon voi mennä pieleen, kun olet luopumassa vanhasta IT-sarjasta.
Siitä huolimatta tarinan pääkohdat kerrotaan yksinkertaisesti SEC:n yhteenvedossa, nimittäin että Morgan Stanley urakoitsijan kautta:
- Myytiin noin 4,900 XNUMX tietotekniikkakohdetta, jotka sisälsivät asiakkaan henkilökohtaisia tunnistetietoja, joista monilla oli edelleen henkilökohtaisia tunnistetietoja, kun he saavuttivat uuden omistajansa.
- Käytöstä poistettu 500 verkon välimuistilaitetta, jotka sisältävät asiakkaan henkilökohtaisia tunnistetietoja jotka olivat parhaimmillaan osittain salattuja, joista 42 jäi tiedostamatta väitetyn "hävittämisen" jälkeen.
Likaiset teot ja ne tehdään lian halvalla
Ensimmäisessä tapauksessa, joka on peräisin vuodelta 2016, näyttää siltä, että Morgan Stanleyn valitsema urakoitsija, ehkä ymmärtänyt, että yritys ei tarkistanut, kuinka uskollisesti pyyhkimis- ja myyntiprosessia noudatettiin, päätti vaihtaa uusi (ja ei-hyväksytty) alihankkija, joka ilmeisesti ohitti "pyyhi ensin" -osan ja laittoi käytöstä poistetut laitteet suoraan myyntiin online-huutokauppasivustolla.
Joku Oklahomasta osti muutaman vanhan aseman, oletettavasti kuumavaraosiksi omaa IT-toimintaansa varten, ja tajusi, että ne olivat edelleen täynnä Morgan Stanley -asiakastietoja.
SEC:n mukaan ostaja otti yhteyttä Morgan Stanleyyn ja sanoi: "[Olet] suuri rahoituslaitos ja sinun pitäisi noudattaa joitain erittäin tiukkoja ohjeita siitä, kuinka käsitellä laitteiston käytöstä poistumista. Tai ainakin saada jonkinlainen vahvistus tietojen tuhoutumisesta toimittajilta, joille myyt laitteita."
Morgan Stanley osti lopulta nämä asemat takaisin, mutta se ei koskenut muita levyjä, jotka oli myyty muualla.
Itse asiassa SEC toteaa, että Morgan Stanley osti vielä 14 muuta datan pilaamaa levyä joltain toiselta vielä kesäkuussa 2021, vielä pyyhkimättä, toimivat edelleen hyvin ja sisältävät edelleen "vähintään 140,000 XNUMX kappaletta asiakkaan henkilökohtaisia tunnistetietoja".
Kuten SEC haikeasti huomauttaa, "Suurin osa vuoden 2016 palvelinkeskuksen käytöstäpoiston kiintolevyistä puuttuu."
Olemme varmoja, että olemme saaneet salata jotain
Toisessa tapauksessa käytöstä poistetut laitteet olivat WAN-välimuistipalvelimia (Wide Area Network), joita sivutoimistot käyttivät optimoimaan Internetin kaistanleveyttä yleisten asiakirjojen saatavuuden nopeuttamiseksi.
Ironista kyllä, näissä laitteissa oli salata kaikki tallennetut datapaketit -vaihtoehto, joka olisi yksinkertaistanut käytöstä poistamista huomattavasti.
Loppujen lopuksi, jos pystyt osoittamaan, että otit salausvaihtoehdon käyttöön ja että pyyhit kaikki tunnetut salauksenpurkuavaimen kopiot, monien maiden tietosuojaviranomaiset käsittelevät myös salattuja tietoja pyyhittyinä.
Tieto, jota ei pidetä salaamattomana, ei ole sen merkityksellisempää kuin digitaalinen silputtu kaali.
Mutta Morgan Stanley ilmeisesti ei aktivoinut salauksen purkuvaihtoehtoa ennen kuin vähintään vuosi sen jälkeen, kun laitteet otettiin käyttöön…
…ja salausta sovellettiin vain laitteeseen myöhemmin kirjoitettuihin uusiin tietoihin, ei mihinkään aiemmin olleeseen.
Joten kaikki, mitä Morgan Stanley voi "todistaa" niille 42 laitteelle, jotka ovat edelleen jossain, on, että jokainen laite sisältää lähes varmasti ainakin joitain asiakkaan henkilökohtaisia tunnistetietoja, joita ei ehdottomasti ole salattu.
Mitä tehdä?
- Voit ulkoistaa kyberturvallisuuttasi, mutta et voi ulkoistaa vastuutasi. Varmista, että noudatat tietosuojamääräyksiä seuraamalla myös, kuinka urakoitsijasi noudattavat niitä. Osa SEC:n valitusta Morgan Stanleya vastaan on se, että olisi pitänyt olla ilmeistä, että heidän valitsemansa operaattori oli poikennut virallisesta suunnitelmasta, ja siten yritys olisi helposti voinut välttää rikkomukset ja asiakkaidensa vaarantumisen.
- Koko laitteen salaus voi auttaa sinua noudattamaan tietosuojasääntöjä. Oikein salatut tiedot ilman salauksenpurkuavainta ovat käytännössä vain satunnaista kohinaa, joten monet tietosuojaviranomaiset kohtelevat "salauksen purkamattomia" levyjä ikään kuin ne olisi pyyhitty tai ne eivät koskaan sisältäneet tietoja. Sinun on kuitenkin pystyttävä osoittamaan, että olet aktivoinut salauksen alun perin oikein, ja että kukaan, joka hankkii levyn tulevaisuudessa, ei pysty hankkimaan salauksen purkuavainta.
- Jos olet epävarma, mene laitteen tuhoamiseen, älä pyyhkimiseen ja myyntiin. On olemassa hyviä ympäristösyitä, miksi kaikkia käytöstä poistuneita tietokonelaitteita ei sokeasti tuhota ja kierrätetä, mutta vanhan sarjan uudelleenkäytön tuotto vähenee. Jopa suuret laitteet voidaan fyysisesti "murskata", jolloin niiden metallit jäävät talteen, mutta eivät niiden tietoja. Jos et voi käyttää sitä hyödyllisesti uudelleen, älä vaivaudu myymään sitä jollekin toiselle, joka ei ehkä lopulta hävitä sitä yhtä järkevästi kuin sinä. Hävitä se vastuullisesti itse.
- Väärin käsitellyt henkilötiedot voivat tulla näkyviin vuosia sen jälkeen, kun olet kadottanut ne. Toisin kuin puutarhajätteet kompostisäiliössä tai vanhat polkupyörät, jotka on upotettu kanavaan, väärin sijoitetut tiedontallennuslaitteet voivat näkyä täydellisessä toimintakunnossa ja kaikki alkuperäiset tiedot vahingoittumattomina vuosia sen jälkeen, kun olet voinut olettaa, että ne ovat kadonneet jälkiä jättämättä tai huonontuneet. korjaus.
Emme voi vastustaa lopettamista riimiin, jota käytämme usein varoittamaan ihmisiä ylijakamisen riskeistä sosiaalisessa mediassa, koska se pätee yhtä hyvin myös suurimman IT-osaston tallentamiin tietoihin.
Jos olet epävarma / älä luovuta sitä.
KATSO KIPINÄT LENNÄT – LEVYSIRKKAUS TOIMINNASSA
(Katsella suoraan YouTubessa jos videota ei toisteta täällä.)