मॉर्गन स्टेनली, जो खुद को "वित्तीय सेवाओं में वैश्विक नेता" के रूप में अपनी वेबसाइट शीर्षक टैग में बिल करता है, और अपने मुख्य पृष्ठ के शुरुआती वाक्य में बताता है कि "ग्राहक पहले आते हैं", पर जुर्माना लगाया गया है $35,000,000 अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) द्वारा…
... हजारों डिस्क ड्राइव सहित पुराने हार्डवेयर उपकरणों को ऑनलाइन बेचने के लिए, जो अभी भी अपने ग्राहकों से संबंधित व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) से भरे हुए थे।
आज हमने मॉर्गन स्टेनली स्मिथ बार्नी एलएलसी के खिलाफ आरोपों की घोषणा की, जो लगभग 15 मिलियन ग्राहकों की व्यक्तिगत पहचान की जानकारी की रक्षा करने में फर्म की व्यापक विफलताओं से उपजा है। MSSB SEC शुल्कों को निपटाने के लिए $35 मिलियन का जुर्माना देने पर सहमत हो गया है।
- यूएस सिक्योरिटीज एंड एक्सचेंज कमीशन (@SECGov) सितम्बर 20, 2022
कड़ाई से बोलते हुए, यह एक आपराधिक सजा नहीं है, इसलिए जुर्माना तकनीकी रूप से ठीक नहीं है, लेकिन यह "ठीक नहीं है" उसी तरह से है जैसे इंग्लैंड में कार मालिकों को अब पार्किंग जुर्माना नहीं मिलता है, लेकिन आधिकारिक तौर पर जुर्माना शुल्क नोटिस का भुगतान करते हैं बजाय।
इसके अलावा, कड़ाई से बोलते हुए, मॉर्गन स्टेनली ने सीधे आपत्तिजनक उपकरणों को नहीं बेचा।
लेकिन कंपनी ने किसी और को सेवा-निवृत्त उपकरणों को पोंछने और बेचने का काम करने के लिए अनुबंधित किया, और फिर यह सुनिश्चित करने के लिए प्रक्रिया पर नज़र रखने की जहमत नहीं उठाई कि यह ठीक से किया गया था।
पूरी कहानी
इस मामले पर एसईसी का आधिकारिक दस्तावेज, प्रशासनिक कार्यवाही फ़ाइल संख्या 3-21112, वास्तव में SecOps या साइबर सुरक्षा में किसी के लिए भी वास्तव में उपयोगी रीडिंग बनाता है।
11 पृष्ठों में, इसे पूरा पढ़ना बहुत लंबा नहीं है, और यह जो कहानी बताता है वह एक आकर्षक है, जिसमें कई मोड़ और मोड़, उप-ठेकेदारों में अनधिकृत स्विच, निरीक्षण और अनुवर्ती की कमी, और लापरवाह शॉर्टकट का खुलासा होता है।
यदि आपको अनावश्यक उपकरणों के सुरक्षित निपटान से कोई लेना-देना है, तो एसईसी के अंतिम दस्तावेज़ को पढ़ना सुनिश्चित करें, और सुनिश्चित करें कि आपकी अपनी नीतियां और प्रक्रियाएं रिपोर्ट में वर्णित विफलताओं को ध्यान में रखती हैं।
विशेष रूप से, सुनिश्चित करें कि आपने मॉर्गन स्टेनली की तुलना में बेहतर काम किया है, कर रहे हैं और करेंगे:
- उपकरण सेवानिवृत्ति और डेटा विनाश नीतियां आप सामने अपनाएं।
- जिस तरह से आप चुनते हैं पुराने उपकरणों के लिए आपके डेटा-विनाश ठेकेदार।
- आपके द्वारा अनुसरण की जाने वाली प्रक्रियाएं प्रगति पर नजर रखने के लिए।
जैसा कि आप एसईसी की विकट इच्छाशक्ति की कहानियों से देखेंगे (दूसरा शब्द वह है जिसे एसईसी मॉर्गन स्टेनली के संबंध में आधिकारिक और औपचारिक रूप से उपयोग करता है), एक बहुत कुछ है जो गलत हो सकता है जब आप पुराने आईटी किट से छुटकारा पा रहे हों।
फिर भी, कहानी के मुख्य बिंदुओं को केवल एसईसी के सारांश में बताया गया है, अर्थात् मॉर्गन स्टेनली, एक ठेकेदार के माध्यम से:
- क्लाइंट PII वाली लगभग 4,900 सूचना प्रौद्योगिकी परिसंपत्तियां बेचीं, जिनमें से कई के पास अभी भी वह PII था जब वे अपने नए मालिकों के पास पहुंचे।
- क्लाइंट PII वाले 500 नेटवर्क कैशिंग डिवाइस बंद कर दिए गए हैं जो आंशिक रूप से एन्क्रिप्टेड थे, जिनमें से 42 उनके कथित "निपटान" के बाद बेहिसाब थे।
गंदे काम और वे सस्ते में गंदगी करते हैं
पहले मामले में, 2016 में वापस डेटिंग, ऐसा लगता है कि मॉर्गन स्टेनली द्वारा चुने गए ठेकेदार, शायद यह महसूस कर रहे थे कि कंपनी इस बात की जांच नहीं कर रही थी कि कितनी ईमानदारी से पोंछने और बेचने की प्रक्रिया का पालन किया जा रहा था, स्विच करने का फैसला किया एक नया (और अस्वीकृत) उपठेकेदार जिसने स्पष्ट रूप से "इसे पहले मिटाएं" भाग को छोड़ दिया, और सीधे ऑनलाइन नीलामी साइट पर सेवानिवृत्त उपकरणों को बिक्री के लिए रखा।
ओक्लाहोमा में किसी ने कुछ पुराने ड्राइव खरीदे, संभवतः अपने आईटी ऑपरेशन के लिए गर्म पुर्जों के रूप में, और महसूस किया कि वे अभी भी मॉर्गन स्टेनली क्लाइंट डेटा से भरे हुए थे।
एसईसी के अनुसार, खरीदार ने मॉर्गन स्टेनली से संपर्क किया और कहा, "[y] आप एक प्रमुख वित्तीय संस्थान हैं और सेवानिवृत्त होने वाले हार्डवेयर से निपटने के तरीके पर कुछ बहुत कड़े दिशानिर्देशों का पालन करना चाहिए। या कम से कम उन विक्रेताओं से डेटा विनाश का किसी प्रकार का सत्यापन प्राप्त करना, जिन्हें आप उपकरण बेचते हैं। ”
मॉर्गन स्टेनली ने अंततः उन ड्राइवों को वापस खरीद लिया, लेकिन यह किसी भी अन्य डिस्क के साथ सौदा नहीं करता था जो कि कहीं और बेचा गया था।
वास्तव में, एसईसी ने नोट किया कि हाल ही में जून 14 तक मॉर्गन स्टेनली द्वारा 2021 और डेटा-दागी डिस्क किसी और से वापस खरीदी गई थी, अभी भी बिना पोंछे, अभी भी ठीक काम कर रही है, और अभी भी युक्त है "ग्राहक PII के कम से कम 140,000 टुकड़े".
जैसा कि एसईसी ने स्पष्ट रूप से नोट किया है, "2016 डेटा सेंटर डीकमिशनिंग से हार्ड ड्राइव का विशाल बहुमत गायब रहता है।"
हमें यकीन है कि हमने कुछ एन्क्रिप्ट किया होगा
दूसरे मामले में, सेवानिवृत्त उपकरण WAN (वाइड एरिया नेटवर्क) कैशिंग सर्वर थे जिनका उपयोग शाखा कार्यालयों द्वारा सामान्य दस्तावेजों तक पहुंच में तेजी लाने के लिए इंटरनेट बैंडविड्थ को अनुकूलित करने के लिए किया जाता था।
विडंबना यह है कि इन उपकरणों में एक एन्क्रिप्ट-एनी-स्टोरेड-डेटा-पैकेट विकल्प था जो कि डीकमीशनिंग को बहुत सरल करता।
आखिरकार, यदि आप यह दिखा सकते हैं कि आपने एन्क्रिप्शन विकल्प चालू कर दिया है, और आपने डिक्रिप्शन कुंजी की सभी ज्ञात प्रतियों को मिटा दिया है, तो कई देशों में डेटा सुरक्षा नियामक एन्क्रिप्टेड डेटा को भी मिटा दिया जाएगा।
डेटा जिसे अगोचर माना जाता है, डिजिटल कटा हुआ गोभी से अधिक सार्थक नहीं है।
लेकिन मॉर्गन स्टेनली ने उपकरणों के उपयोग में आने के कम से कम एक साल बाद तक डिक्रिप्शन विकल्प को स्पष्ट रूप से सक्रिय नहीं किया ...
... और एन्क्रिप्शन केवल नए डेटा पर लागू होता है जिसे बाद में डिवाइस पर लिखा जाता है, न कि कुछ भी जो पहले था।
तो मॉर्गन स्टेनली उन 42 उपकरणों के लिए "साबित" कर सकता है जो अभी भी कहीं बाहर हैं, यह है कि प्रत्येक डिवाइस में लगभग निश्चित रूप से कम से कम कुछ क्लाइंट पीआईआई होते हैं जो निश्चित रूप से एन्क्रिप्टेड नहीं होते हैं।
क्या करना है?
- आप अपनी साइबर सुरक्षा को आउटसोर्स कर सकते हैं, लेकिन आप अपनी जिम्मेदारी को आउटसोर्स नहीं कर सकते। सुनिश्चित करें कि आप डेटा सुरक्षा नियमों का पालन करते हैं, इस बात पर नज़र रखते हुए कि आपके ठेकेदार उनका पालन कैसे कर रहे हैं। मॉर्गन स्टेनली के खिलाफ एसईसी की शिकायत का एक हिस्सा यह है कि यह स्पष्ट होना चाहिए था कि उनके चुने हुए ऑपरेटर आधिकारिक योजना से विचलित हो गए थे, और इस प्रकार कंपनी आसानी से गैर-अनुपालन बनने और अपने ग्राहकों को जोखिम में डालने से बच सकती थी।
- पूर्ण-डिवाइस एन्क्रिप्शन डेटा सुरक्षा नियमों का पालन करने में आपकी सहायता कर सकता है। डिक्रिप्शन कुंजी के बिना उचित रूप से स्क्रैम्बल किया गया डेटा प्रभावी रूप से केवल यादृच्छिक शोर है, इसलिए कई डेटा सुरक्षा नियामक "अनडिक्रिप्टेबल" डिस्क का इलाज करते हैं जैसे कि उन्हें मिटा दिया गया था, या कभी भी कोई डेटा नहीं था। लेकिन आपको दोनों को यह दिखाने में सक्षम होने की आवश्यकता है कि आपने एन्क्रिप्शन को पहले स्थान पर सही ढंग से सक्रिय किया है, और यह कि भविष्य में डिस्क प्राप्त करने वाला कोई भी व्यक्ति डिक्रिप्शन कुंजी प्राप्त करने में असमर्थ होगा।
- यदि संदेह है, तो डिवाइस को नष्ट करने के लिए जाएं, न कि पोंछने और बेचने के लिए। आपके द्वारा सेवा से सेवानिवृत्त होने वाले प्रत्येक कंप्यूटिंग डिवाइस को आँख बंद करके नष्ट और पुनर्चक्रण न करने के लिए ध्वनि पर्यावरणीय कारण हैं, लेकिन पुरानी किट के पुन: उपयोग से कम रिटर्न है। यहां तक कि बड़े उपकरणों को भौतिक रूप से "कटा हुआ" किया जा सकता है, जिससे उनकी धातुओं को पुनर्प्राप्ति के लिए खुला छोड़ दिया जा सकता है, लेकिन उनका डेटा नहीं। यदि आप इसे उपयोगी रूप से पुन: उपयोग नहीं कर सकते हैं, तो इसे किसी और को बेचने की जहमत न उठाएं, जो अंततः इसे आपकी तरह अच्छी तरह से निपटाने में सक्षम न हो। इसे जिम्मेदारी से स्वयं निपटाएं।
- गलत तरीके से व्यवहार किया गया PII आपके खो जाने के वर्षों बाद भी दिखाई दे सकता है। कंपोस्ट बिन में बगीचे के कचरे या नहर में डंप की गई पुरानी साइकिलों के विपरीत, गलत डेटा स्टोरेज डिवाइस सही काम करने के क्रम में दिखाई दे सकते हैं, उनके सभी मूल डेटा बरकरार रहने के बाद, वर्षों तक आप मान सकते हैं कि वे बिना ट्रेस के खो गए थे, या उससे आगे खराब हो गए थे। मरम्मत।
हम सोशल मीडिया पर ओवरशेयरिंग के जोखिमों के बारे में लोगों को चेतावनी देने के लिए अक्सर इस्तेमाल की जाने वाली कविता के साथ समाप्त होने का विरोध नहीं कर सकते, क्योंकि यह सबसे बड़े आईटी विभाग द्वारा संग्रहीत डेटा पर समान रूप से लागू होता है।
यदि संदेह हो / न दें।
स्पार्क फ्लाई देखें - कार्रवाई में एक डिस्क श्रेडर
(घड़ी सीधे YouTube पर अगर वीडियो यहाँ नहीं चलेगा।)