Morgan Stanley, yang menyebut dirinya dalam tag judul situs webnya sebagai โpemimpin global dalam layanan keuanganโ, dan menyatakan dalam kalimat pembuka halaman utamanya bahwa โklien didahulukanโ, telah didenda $35,000,000 oleh Komisi Sekuritas dan Bursa AS (SEC)โฆ
โฆuntuk menjual perangkat keras lama secara online, termasuk ribuan disk drive, yang masih memuat informasi pengenal pribadi (PII) milik kliennya.
Hari ini kami mengumumkan tuntutan terhadap Morgan Stanley Smith Barney LLC yang berasal dari kegagalan ekstensif perusahaan untuk melindungi informasi pengenal pribadi sekitar 15 juta pelanggan. MSSB telah setuju untuk membayar denda $35 juta untuk menyelesaikan biaya SEC.
โ Komisi Sekuritas dan Bursa AS (@SECGov) September 20, 2022
Sebenarnya, ini bukan hukuman pidana, jadi hukumannya secara teknis bukan denda, tapi "bukan denda" dengan cara yang sama seperti pemilik mobil di Inggris tidak lagi mendapatkan denda parkir, tetapi secara resmi membayar pemberitahuan biaya penalti alih-alih.
Juga, sebenarnya, Morgan Stanley tidak secara langsung menjual perangkat yang menyinggung itu sendiri.
Tetapi perusahaan itu mengontrak orang lain untuk melakukan pekerjaan membersihkan dan menjual peralatan yang sudah usang, dan kemudian tidak repot-repot mengawasi proses untuk memastikan bahwa itu dilakukan dengan benar.
Cerita lengkapnya
Dokumen resmi SEC tentang masalah ini, Berkas Proses Administrasi Nomor 3-21112, sebenarnya membuat bacaan yang sangat berguna bagi siapa saja di SecOps atau keamanan siber.
Pada halaman 11, itu tidak terlalu panjang untuk dibaca secara penuh, dan kisah yang diceritakannya sangat menarik, mengungkapkan banyak tikungan dan belokan, pergantian subkontraktor yang tidak sah, kurangnya pengawasan dan tindak lanjut, dan jalan pintas yang sembrono.
Jika Anda ada hubungannya dengan pembuangan peralatan yang berlebihan secara aman, pastikan untuk membaca dokumen akhir SEC, dan pastikan bahwa kebijakan dan prosedur Anda sendiri memperhitungkan kegagalan yang dijelaskan dalam laporan.
Khususnya, pastikan bahwa Anda telah melakukan, sedang melakukan, dan akan melakukan pekerjaan yang lebih baik daripada Morgan Stanley dengan:
- Kebijakan penghentian peralatan dan pemusnahan data Anda mengadopsi di depan.
- Cara yang Anda pilih kontraktor pemusnah data Anda untuk perangkat lama.
- Prosedur yang Anda ikuti untuk mengawasi kemajuan.
Seperti yang akan Anda lihat dari kisah SEC tentang kesengajaan yang menyedihkan (kata kedua adalah kata yang digunakan SEC secara resmi dan formal sehubungan dengan Morgan Stanley), ada banyak sekali yang bisa salah ketika Anda menyingkirkan perangkat IT lama.
Namun demikian, poin utama dari cerita tersebut hanya diceritakan dalam ringkasan SEC, yaitu bahwa Morgan Stanley, melalui kontraktor:
- Menjual sekitar 4,900 aset teknologi informasi yang berisi PII klien, banyak di antaranya masih memiliki PII tersebut saat sampai ke pemilik barunya.
- Menonaktifkan 500 perangkat caching jaringan yang berisi PII klien yang paling baik sebagian dienkripsi, 42 di antaranya tidak ditemukan setelah dugaan "pembuangan".
Perbuatan kotor dan itu dilakukan dengan sangat murah
Dalam kasus pertama, sejak tahun 2016, tampaknya kontraktor yang dipilih oleh Morgan Stanley, mungkin menyadari bahwa perusahaan tidak memeriksa seberapa setia proses penghapusan dan penjualan yang diikuti, memutuskan untuk beralih ke subkontraktor baru (dan tidak disetujui) yang tampaknya melewatkan bagian "hapus dulu", dan langsung menjual perangkat yang sudah tidak digunakan itu untuk dijual di situs lelang online.
Seseorang di Oklahoma membeli beberapa drive lama, mungkin sebagai cadangan panas untuk operasi TI mereka sendiri, dan menyadari bahwa mereka masih penuh dengan data klien Morgan Stanley.
Menurut SEC, pembeli menghubungi Morgan Stanley dan berkata, โ[Anda] adalah lembaga keuangan besar dan harus mengikuti beberapa pedoman yang sangat ketat tentang cara menangani perangkat keras yang sudah tidak digunakan lagi. Atau setidaknya mendapatkan semacam verifikasi pemusnahan data dari vendor tempat Anda menjual peralatan.โ
Morgan Stanley akhirnya membeli kembali drive itu, tetapi itu tidak berhubungan dengan disk lain yang telah dijual di tempat lain.
Memang, SEC mencatat bahwa 14 lebih banyak disk yang tercemar data dibeli kembali dari orang lain oleh Morgan Stanley baru-baru ini pada Juni 2021, masih belum dihapus, masih berfungsi dengan baik, dan masih berisi โminimal 140,000 lembar PII pelangganโ.
Sebagai catatan masam SEC, โsebagian besar hard drive dari Penonaktifan Pusat Data 2016 tetap hilang.โ
Kami yakin bahwa kami mungkin telah mengenkripsi sesuatu
Dalam kasus kedua, perangkat yang dihentikan adalah server caching WAN (wide area network) yang digunakan oleh kantor cabang untuk mengoptimalkan bandwidth internet guna mempercepat akses ke dokumen umum.
Ironisnya, perangkat ini memiliki opsi enkripsi-semua-tersimpan-paket data yang akan sangat menyederhanakan penonaktifan.
Lagi pula, jika Anda dapat menunjukkan bahwa Anda mengaktifkan opsi enkripsi, dan bahwa Anda menghapus semua salinan kunci dekripsi yang diketahui, maka regulator perlindungan data di banyak negara akan memperlakukan data terenkripsi sebagai dihapus juga.
Data yang dianggap tidak dapat didekripsi tidak lebih berarti dari kubis abon digital.
Tetapi Morgan Stanley tampaknya tidak mengaktifkan opsi dekripsi sampai setidaknya satu tahun setelah perangkat mulai digunakan ...
โฆdan enkripsi hanya berlaku untuk data baru yang kemudian ditulis ke perangkat, bukan untuk apa pun yang ada sebelumnya.
Jadi semua yang Morgan Stanley dapat "buktikan", untuk 42 perangkat yang masih ada di suatu tempat, adalah bahwa setiap perangkat hampir pasti berisi setidaknya beberapa PII klien yang pasti tidak dienkripsi.
Apa yang harus dilakukan?
- Anda dapat mengalihdayakan keamanan siber Anda, tetapi Anda tidak dapat mengalihdayakan tanggung jawab Anda. Pastikan Anda mematuhi peraturan perlindungan data dengan melacak bagaimana kontraktor Anda juga mematuhinya. Bagian dari keluhan SEC terhadap Morgan Stanley adalah bahwa seharusnya jelas bahwa operator yang mereka pilih telah menyimpang dari rencana resmi, dan dengan demikian perusahaan dapat dengan mudah menghindari ketidakpatuhan dan menempatkan klien mereka dalam risiko.
- Enkripsi perangkat lengkap dapat membantu Anda mematuhi aturan perlindungan data. Data yang diacak dengan benar tanpa kunci dekripsi secara efektif hanya derau acak, sehingga banyak regulator perlindungan data memperlakukan disk yang "tidak dapat dienkripsi" seolah-olah disk tersebut telah dihapus, atau tidak pernah berisi data apa pun sama sekali. Tetapi Anda harus dapat menunjukkan bahwa Anda mengaktifkan enkripsi dengan benar sejak awal, dan bahwa siapa pun yang memperoleh disk di masa mendatang tidak akan dapat memperoleh kunci dekripsi.
- Jika ragu, lakukan penghancuran perangkat, bukan untuk menghapus dan menjual. Ada alasan lingkungan yang baik untuk tidak menghancurkan dan mendaur ulang secara membabi buta setiap perangkat komputasi yang Anda hentikan dari layanan, tetapi ada hasil yang semakin berkurang dari penggunaan kembali kit lama. Bahkan perangkat besar dapat secara fisik "diparut", membiarkan logamnya terbuka untuk pemulihan tetapi bukan datanya. Jika Anda tidak dapat menggunakannya kembali, jangan repot-repot menjualnya kepada orang lain yang pada akhirnya mungkin tidak akan membuangnya sebaik Anda. Buang itu sendiri secara bertanggung jawab.
- PII yang salah penanganan dapat muncul bertahun-tahun setelah Anda kehilangannya. Tidak seperti sampah kebun di tempat sampah kompos atau sepeda tua yang dibuang di kanal, perangkat penyimpanan data yang salah tempat dapat muncul dalam kondisi kerja yang sempurna, dengan semua data aslinya utuh, selama bertahun-tahun setelah Anda mungkin berasumsi bahwa perangkat tersebut hilang tanpa jejak, atau terdegradasi. memperbaiki.
Kami tidak dapat menahan diri untuk tidak mengakhiri dengan sajak yang sering kami gunakan untuk memperingatkan orang tentang risiko berbagi secara berlebihan di media sosial, karena itu juga berlaku untuk data yang disimpan oleh departemen TI terbesar.
Jika ragu / Jangan berikan.
PERHATIKAN SPARKS FLY โ SHREDDER DISK BERAKSI
(Menonton langsung di YouTube jika video tidak dapat diputar di sini.)