מורגן סטנלי, שמציגה את עצמה בתג הכותרת של האתר שלה כ"מובילה עולמית בשירותים פיננסיים", ומצהירה במשפט הפתיחה של העמוד הראשי שלה כי "הלקוחות קודמים לכל", נקנסה $35,000,000 על ידי הרשות לניירות ערך בארה"ב (SEC)...
...על מכירת התקני חומרה ישנים באינטרנט, כולל אלפי כונני דיסקים, שעדיין היו עמוסים במידע אישי מזהה (PII) השייך ללקוחותיה.
היום הודענו על אישומים נגד מורגן סטנלי סמית' בארני LLC הנובעים מהכשלים הנרחבים של החברה בהגנה על המידע המזהה האישי של כ-15 מיליון לקוחות. MSSB הסכימה לשלם קנס של 35 מיליון דולר כדי להסדיר את חיובי ה-SEC.
— רשות ניירות ערך בארה"ב (@SECGov) ספטמבר 20, 2022
למען האמת, זו לא הרשעה פלילית, אז העונש הוא לא קנס טכני, אבל זה "לא קנס" באותה צורה שבה בעלי מכוניות באנגליה כבר לא מקבלים קנסות חניה, אלא משלמים רשמית הודעות אישום. במקום זאת.
כמו כן, למהדרין, מורגן סטנלי לא מכר ישירות את המכשירים הפוגעים בעצמו.
אבל החברה התקשרה עם מישהו אחר שיבצע את העבודה של ניגוב ומכירה של הציוד המופחת, ולאחר מכן לא טרחה לפקוח עין על התהליך כדי לוודא שהוא נעשה כראוי.
הסיפור המלא
המסמך הרשמי של ה-SEC בנושא, מספר תיק בהליך מנהלי 3-21112, למעשה הופך קריאה מועילה באמת לכל אחד ב-SecOps או באבטחת סייבר.
עם 11 עמודים, זה לא ארוך מדי לקריאה במלואה, והסיפור שהוא מספר הוא סיפור מרתק, חושף פיתולים רבים, מעברים לא מורשים בקבלני משנה, חוסר פיקוח ומעקב וקיצורי דרך פזיזים.
אם יש לך משהו לעשות עם סילוק מאובטח של ציוד מיותר, הקפד לקרוא את המסמך הסופי של ה-SEC, וודא שהמדיניות והנהלים שלך לוקחים בחשבון את הכשלים המתוארים בדוח.
שימו לב, ודא שעשית, עושה ותעשה עבודה טובה יותר ממורגן סטנלי עם:
- מדיניות פרישת הציוד והשמדת נתונים אתה מאמץ מראש.
- הדרך שאתה בוחר קבלני השמדת הנתונים שלך עבור מכשירים ישנים.
- הנהלים שאתה עוקב אחריהם כדי לעקוב אחר ההתקדמות.
כפי שתראו מהסיפורים של ה-SEC על רצונות אומללה (המילה השנייה היא כזו שה-SEC משתמש בה באופן רשמי ורשמית לגבי מורגן סטנלי), יש הרבה מאוד דברים שיכולים להשתבש כשאתה נפטר מערכת IT ישנה.
עם זאת, עיקרי הסיפור מסופרים בפשטות בסיכום ה-SEC, כלומר מורגן סטנלי, באמצעות קבלן:
- מכר כ-4,900 נכסי טכנולוגיית מידע המכילים PII של הלקוח, שלרבים מהם עדיין היה PII זה עליהם כשהם הגיעו לבעלים החדשים שלהם.
- הוצא משימוש 500 התקני מטמון ברשת המכילים PII של לקוח שהיו לכל היותר מוצפנים חלקית, מתוכם 42 לא טופלו לאחר "סילוקם" לכאורה.
מעשים מלוכלכים והם נעשים בזול
במקרה הראשון, שראשיתו ב-2016, נראה שהקבלן שנבחר על ידי מורגן סטנלי, אולי הבין שהחברה לא בודקת באיזו נאמנות מתבצע תהליך הניגוב והמכירה, החליט לעבור ל- קבלן משנה חדש (ולא מאושר) שככל הנראה דילג על החלק "מחק את זה תחילה", והעמיד ישירות את המכשירים שיצאו לפועל למכירה באתר מכירות פומביות מקוונות.
מישהו באוקלהומה קנה כמה מהכוננים הישנים, ככל הנראה כחלפים חמים לתפעול ה-IT שלו, והבין שהם עדיין מלאים בנתוני לקוחות של מורגן סטנלי.
לפי ה-SEC, הרוכש יצר קשר עם מורגן סטנלי ואמר: "אתה מוסד פיננסי גדול וצריך לעקוב אחר כמה הנחיות מחמירות מאוד כיצד להתמודד עם חומרה שפורשת. או לכל הפחות לקבל איזשהו אימות של השמדת נתונים מהספקים שאתה מוכר להם ציוד".
מורגן סטנלי בסופו של דבר קנה בחזרה את הכוננים האלה, אבל זה לא התמודד עם אף אחד מהדיסקים האחרים שנמכרו במקומות אחרים.
ואכן, ה-SEC מציינת שעוד 14 דיסקים נגועים בנתונים נקנו בחזרה ממישהו אחר על ידי מורגן סטנלי לאחרונה כמו יוני 2021, עדיין לא נמחקו, עדיין עובדים כמו שצריך, ועדיין מכילים "לפחות 140,000 חלקים של PII של לקוחות".
כפי שה-SEC מציין בעוולה, "הרוב המכריע של הכוננים הקשיחים מהשבתת מרכז הנתונים של 2016 נותר חסר."
אנחנו בטוחים שייתכן שהצפנו משהו
במקרה השני, המכשירים שיצאו משימוש היו שרתי מטמון WAN (רשת רחבה) ששימשו את משרדי הסניפים כדי לייעל את רוחב הפס האינטרנט על מנת להאיץ את הגישה למסמכים נפוצים.
למרבה האירוניה, למכשירים הללו הייתה אפשרות להצפין-כל-מאוחסנות-נתונים-מנות שהייתה מפשטת מאוד את ההשבתה.
אחרי הכל, אם אתה יכול להראות שהפעלת את אפשרות ההצפנה ושמחקת את כל העותקים הידועים של מפתח הפענוח, אז הרגולטורים להגנה על נתונים במדינות רבות יתייחסו גם לנתונים המוצפנים כמומחקים.
נתונים שנחשבים בלתי ניתנים להצפנה אינם משמעותיים יותר מכרוב גרוס דיגיטלי.
אבל מורגן סטנלי כנראה לא הפעיל את אפשרות הפענוח עד שנה אחת לפחות לאחר שהמכשירים נכנסו לשימוש...
...וההצפנה חלה רק על נתונים חדשים שנכתבו לאחר מכן למכשיר, לא על שום דבר שהיה שם קודם.
אז כל מה שמורגן סטנלי יכול "להוכיח", עבור 42 המכשירים שעדיין נמצאים שם איפשהו, הוא שכל מכשיר כמעט בוודאות מכיל לפחות PII של לקוח שהוא בהחלט לא מוצפן.
מה לעשות?
- אתה יכול למיקור חוץ של אבטחת הסייבר שלך, אבל אתה לא יכול להוציא את האחריות שלך. ודא שאתה מציית לתקנות הגנת מידע על ידי מעקב אחר האופן שבו הקבלנים שלך מצייתים להן. חלק מהתלונה של ה-SEC נגד מורגן סטנלי הוא שהיה צריך להיות ברור שהמפעיל שבחרו סטה מהתוכנית הרשמית, וכך החברה יכלה בקלות להימנע מאי-ציות ולסכן את לקוחותיה.
- הצפנת מכשיר מלאה יכולה לעזור לך לעמוד בכללי הגנת נתונים. נתונים מקושקשים כהלכה ללא מפתח הפענוח הם למעשה רק רעש אקראי, ולכן רגולטורים רבים להגנת נתונים מתייחסים לדיסקים "בלתי ניתנים להצפנה" כאילו נמחקו, או שמעולם לא הכילו נתונים כלל. אבל אתה צריך להיות מסוגל להראות גם שהפעלת את ההצפנה בצורה נכונה מלכתחילה, וגם שכל מי שירכוש את הדיסק בעתיד לא יוכל לרכוש את מפתח הפענוח.
- אם יש לך ספק, לך על השמדת מכשיר, לא על ניגוב ומכירה. ישנן סיבות סביבתיות טובות לא להרוס ולמחזר באופן עיוור כל מכשיר מחשוב שאתה מוציא משירות, אבל יש תשואה פוחתת משימוש חוזר בערכה ישנה. אפילו מכשירים גדולים יכולים להיות "לגרוס" פיזית, ולהשאיר את המתכות שלהם פתוחות לשחזור אבל לא את הנתונים שלהם. אם אינך יכול לעשות בו שימוש חוזר, אל תטרח למכור אותו למישהו אחר שאולי לא יפטר ממנו בסופו של דבר בצורה נכונה כמוך. השלך אותו באחריות בעצמך.
- PII לא מטופל יכול להופיע שנים אחרי שאיבדת אותו. שלא כמו פסולת גינה בפח הקומפוסט או אופניים ישנים שנזרקו בתעלה, התקני אחסון נתונים שלא במקומם יכולים להופיע במצב תקין, עם כל הנתונים המקוריים שלהם שלמים, במשך שנים לאחר שאולי הנחת שהם אבדו ללא עקבות, או התקלקלו מעבר. לְתַקֵן.
אנחנו לא יכולים להתאפק לסיים בחריזה שבה אנו משתמשים לעתים קרובות כדי להזהיר אנשים מפני הסיכונים של שיתוף יתר במדיה החברתית, מכיוון שהיא חלה באותה מידה על נתונים המאוחסנים על ידי מחלקת ה-IT הגדולה ביותר.
אם יש ספק / אל תמסור אותו.
צפו בניצוצות עפים - מגרסת דיסקים בפעולה
(שעון ישירות ביוטיוב אם הסרטון לא יופעל כאן.)