ウェブサイトのタイトルタグで「金融サービスのグローバルリーダー」と自称し、メインページの冒頭文で「クライアントが第一」と述べているモルガン・スタンレーは、罰金を科されました。 $35,000,000 米国証券取引委員会(SEC)による…
…何千台ものディスク ドライブを含む古いハードウェア デバイスをオンラインで販売したことに対して、クライアントに属する個人を特定できる情報 (PII) がまだロードされていました。
本日、当社は、約 15 万人の顧客の個人識別情報を保護するための広範な怠慢に起因する Morgan Stanley Smith Barney LLC に対する起訴を発表しました。 MSSB は、SEC の請求を解決するために 35 万ドルの違約金を支払うことに同意しました。
—米国証券取引委員会(@SECGov) 2022 年 9 月 20 日
厳密に言えば、これは刑事上の有罪判決ではないため、技術的には罰金ではありませんが、イギリスの車の所有者が駐車違反の罰金を科されなくなったのとほぼ同じように、罰金ではありませんが、正式に罰金の通知を支払います。代わりは。
また、厳密に言えば、モルガン・スタンレーは問題のあるデバイス自体を直接売却したわけではありません。
しかし、その会社は老朽化した機器を一掃して売却する作業を別の誰かに委託し、それが適切に行われたことを確認するためにそのプロセスに目を光らせようとはしませんでした。
全文
この問題に関するSECの公式文書は、 行政手続ファイル番号 3-21112、実際にはSecOpsまたはサイバーセキュリティの誰にとっても非常に役立つ読み物になります.
11 ページで、全部読むのに長すぎることはなく、物語は魅力的なものであり、多くの紆余曲折、下請業者の無許可の切り替え、監視とフォローアップの欠如、無謀な近道を明らかにしています。
冗長な機器の安全な廃棄に関係する場合は、必ず SEC の最終文書を読み、レポートに記載されている失敗を考慮して独自のポリシーと手順を作成してください。
特に、モルガン・スタンレーよりも優れた仕事をしている、している、そしてこれからもするであろうことを確認してください。
- 機器の廃棄とデータ破棄のポリシー あなたは前もって採用します。
- あなたが選ぶ方法 古いデバイスのデータ破壊請負業者。
- 従う手順 進行状況を監視します。
SEC の悲惨な悪意の話からわかるように (XNUMX 番目の言葉は、SEC がモルガン・スタンレーに関して公式および公式に使用する言葉です)、古い IT キットを取り除くときに、うまくいかないことがたくさんあります。
それにもかかわらず、この話の要点は、SEC の要約、つまりモルガン・スタンレーが請負業者を通じて次のように述べているだけです。
- クライアントの PII を含む約 4,900 の情報技術資産を販売、新しい所有者に到達したとき、その多くはまだその PII を持っていました。
- クライアントの PII を含む 500 台のネットワーク キャッシング デバイスを廃止しました それらはせいぜい部分的に暗号化されたものであり、そのうち 42 件は「廃棄」されたとされて行方不明になっています。
汚れた行為は安上がりに行われる
2016年にさかのぼる最初のケースでは、モルガン・スタンレーが選んだ請負業者は、おそらく会社が拭き取りと売却のプロセスがどれほど忠実に守られているかを確認していないことに気づき、新しい (そして承認されていない) 下請け業者は、明らかに「最初に消去する」部分をスキップし、使用済みのデバイスを直接オンライン オークション サイトに売りに出しました。
オクラホマ州の誰かが古いドライブを数台購入しましたが、これはおそらく自社の IT 運用用のホット スペアとして使用されたもので、モルガン スタンレーの顧客データがまだいっぱいであることに気付きました。
SEC によると、購入者はモルガン・スタンレーに連絡を取り、次のように述べています。 「あなたは主要な金融機関であり、廃止されたハードウェアに対処する方法について、いくつかの非常に厳しいガイドラインに従う必要があります。 または、少なくとも、機器を販売しているベンダーから、データ破壊の何らかの検証を取得してください。」
モルガン・スタンレーは最終的にそれらのドライブを買い戻しましたが、他の場所で販売された他のディスクは取り扱われませんでした。
実際、SEC は、14 年 2021 月にモルガン・スタンレーがさらに XNUMX 台のデータ汚染されたディスクを別の誰かから買い戻したことに注目しています。 「少なくとも 140,000 個の顧客 PII」.
SECが皮肉を込めて指摘しているように、 「2016 年のデータ センターの廃止措置からのハード ドライブの大部分は行方不明のままです。」
何かを暗号化した可能性があることは確かです
XNUMX 番目のケースでは、廃止されたデバイスは、一般的なドキュメントへのアクセスを高速化するためにインターネット帯域幅を最適化するためにブランチ オフィスで使用されていた WAN (ワイド エリア ネットワーク) キャッシュ サーバーでした。
皮肉なことに、これらのデバイスには、廃棄を大幅に簡素化する、任意の保存データ パケットの暗号化オプションがありました。
結局のところ、暗号化オプションをオンにして、復号化キーの既知のコピーをすべて消去したことを示すことができれば、多くの国のデータ保護規制当局は、暗号化されたデータも消去済みとして扱います。
解読できないと見なされるデータは、デジタルの細切りキャベツほど意味がありません。
しかし、モルガン・スタンレーは、デバイスが使用されてから少なくとも XNUMX 年後まで、復号化オプションを有効にしなかったようです…
…そして暗号化は、その後デバイスに書き込まれた新しいデータにのみ適用され、以前に存在したデータには適用されませんでした.
そのため、モルガン・スタンレーが「証明」できるのは、まだどこかにある 42 台のデバイスについて、各デバイスには暗号化されていない少なくとも一部のクライアント PII がほぼ確実に含まれているということだけです。
何をするか?
- サイバーセキュリティを外部委託することはできますが、責任を外部委託することはできません。 請負業者がデータ保護規制にどのように準拠しているかを追跡することにより、データ保護規制にも準拠していることを確認してください。 モルガン・スタンレーに対する SEC の苦情の一部は、彼らが選んだ事業者が公式の計画から逸脱したことは明らかであるべきだったということであり、したがって、同社はコンプライアンス違反や顧客を危険にさらすことを容易に回避できたはずである.
- デバイス全体の暗号化は、データ保護規則への準拠に役立ちます。 復号化キーなしで適切にスクランブルされたデータは、事実上単なるランダム ノイズであるため、多くのデータ保護規制当局は、「復号化できない」ディスクを消去されたか、まったくデータが含まれていないかのように扱います。 ただし、最初に暗号化を正しく有効にしたことと、将来ディスクを取得した人が復号化キーを取得できないことの両方を示す必要があります。
- 疑わしい場合は、消去して販売するのではなく、デバイスの破棄を行ってください。 使用をやめたすべてのコンピューティング デバイスをやみくもに破棄してリサイクルしないことには、環境上の正当な理由がありますが、古いキットを再利用することによる利益は減少します。 大型のデバイスでさえ物理的に「細断」することができ、金属は回復できる状態のままですが、データは回復できません。 有効に再利用できない場合は、最終的にあなたほど健全に処分しない可能性のある他の人にわざわざ販売しないでください。 自分で責任を持って処分してください。
- PII の取り扱いを誤ると、紛失してから数年後に表示される可能性があります。 堆肥箱の庭の廃棄物や運河に投棄された古い自転車とは異なり、置き忘れられたデータ ストレージ デバイスは、元のデータがすべて損なわれていない状態で、完全に機能する状態で現れることがあります。修理。
ソーシャル メディアで過剰に共有することのリスクについて人々に警告するためによく使用する韻律で締めくくることは避けられません。なぜなら、それは最大の IT 部門によって保存されているデータにも同様に当てはまるからです。
疑わしい場合 / 渡さないでください。
火花が散るのを見る – ディスクシュレッダーの動作
(見る YouTubeで直接 ビデオがここで再生されない場合。)