웹사이트 제목 태그에서 "금융 서비스의 글로벌 리더"로 광고하고 메인 페이지의 첫 문장에서 "고객 우선"이라고 명시한 Morgan Stanley가 벌금형을 받았습니다. $35,000,000 미국 증권거래위원회(SEC)에서…
...고객 소유의 개인 식별 정보(PII)가 여전히 로드된 수천 개의 디스크 드라이브를 포함하여 오래된 하드웨어 장치를 온라인으로 판매한 경우.
오늘 우리는 약 15만 고객의 개인 식별 정보를 보호하는 회사의 광범위한 실패로 인해 Morgan Stanley Smith Barney LLC에 대한 혐의를 발표했습니다. MSSB는 SEC 비용을 해결하기 위해 35만 달러의 벌금을 지불하기로 합의했습니다.
— 미국 증권 거래 위원회(@SECGov) 2022 년 9 월 20 일
엄밀히 말하면 형사처벌이 아니므로 벌금은 기술적으로 벌금이 아니지만 영국의 자동차 소유자가 더 이상 주차 벌금을 받지 않고 공식적으로 벌금 고지서를 지불하는 것과 거의 같은 방식으로 "벌금이 아닙니다". 대신에.
또한 엄밀히 말하면 Morgan Stanley는 문제가 되는 장치 자체를 직접 판매하지 않았습니다.
그러나 회사는 노후 장비를 닦고 판매하는 작업을 다른 사람에게 맡기고 제대로 되었는지 확인하기 위해 프로세스를 계속 주시하지 않았습니다.
전체 이야기
이 문제에 대한 SEC의 공식 문서, 행정소송번호 3-21112, 실제로 SecOps 또는 사이버 보안에 있는 모든 사람에게 정말 유용한 읽기 자료입니다.
11페이지에 달하는 분량으로, 전체를 다 읽기에는 너무 길지 않고, 수많은 우여곡절, 하청업체의 무단 변경, 감독과 후속 조치의 부재, 무모한 지름길 등을 드러내는 이야기가 매력적입니다.
중복 장비의 안전한 폐기와 관련이 있는 경우 SEC의 최종 문서를 읽고 자신의 정책 및 절차가 보고서에 설명된 오류를 고려하는지 확인하십시오.
특히, 다음을 통해 Morgan Stanley보다 더 나은 일을 해왔고, 하고 있으며, 앞으로도 할 것입니다.
- 장비 폐기 및 데이터 파기 정책 당신은 전면에 채택합니다.
- 당신이 선택하는 방법 오래된 장치에 대한 데이터 파괴 계약자.
- 당신이 따르는 절차 진행 상황에 대한 탭을 유지합니다.
SEC의 비참한 사악함에 대한 이야기에서 알 수 있듯이(두 번째 단어는 SEC가 Morgan Stanley와 관련하여 공식적으로 사용하는 단어입니다), 오래된 IT 키트를 제거할 때 잘못될 수 있는 일이 엄청나게 많습니다.
그럼에도 불구하고 이야기의 요점은 계약자를 통해 SEC의 요약, 즉 Morgan Stanley에 간단히 설명되어 있습니다.
- 클라이언트 PII가 포함된 약 4,900개의 정보 기술 자산 판매, 많은 사람들이 새 소유자에게 연락했을 때 여전히 해당 PII를 가지고 있었습니다.
- 클라이언트 PII가 포함된 500개의 네트워크 캐싱 장치 사용 중지 기껏해야 부분적으로 암호화된 것으로, 그 중 42개는 "처분"이 의심되는 후 설명되지 않았습니다.
더러운 행동과 그들은 아주 싸게 끝났어
2016년으로 거슬러 올라가는 첫 번째 경우, Morgan Stanley가 선택한 계약자는 회사가 닦아내고 판매하는 프로세스가 얼마나 충실하게 준수되고 있는지 확인하지 않는다는 것을 깨닫고 다음으로 전환하기로 결정한 것 같습니다. 분명히 "먼저 닦아라" 부분을 건너뛰고 폐기된 장치를 온라인 경매 사이트에서 직접 판매용으로 올린 새로운(승인되지 않은) 하청업체입니다.
오클라호마에 사는 어떤 사람은 아마도 자신들의 IT 운영을 위한 핫 스페어로 오래된 드라이브 몇 개를 샀고 그 드라이브에 여전히 Morgan Stanley 클라이언트 데이터가 가득하다는 것을 깨달았습니다.
SEC에 따르면 구매자는 Morgan Stanley에 연락하여 다음과 같이 말했습니다. “[귀하]는 주요 금융 기관이며 폐기되는 하드웨어를 처리하는 방법에 대한 몇 가지 매우 엄격한 지침을 따라야 합니다. 아니면 최소한 장비를 판매하는 공급업체로부터 데이터 파괴에 대한 일종의 검증을 받아야 합니다.”
Morgan Stanley는 궁극적으로 해당 드라이브를 다시 구입했지만 다른 곳에서 판매되었던 다른 디스크는 다루지 않았습니다.
실제로 SEC는 14년 2021월까지만 해도 Morgan Stanley가 다른 사람에게서 데이터로 오염된 디스크 XNUMX개를 다시 구입했으며 여전히 삭제되지 않고 정상적으로 작동하며 "최소 140,000개의 고객 PII".
SEC가 조심스럽게 언급했듯이, "2016년 데이터 센터 폐기로 인한 하드 드라이브의 대다수는 여전히 실종 상태입니다."
우리는 우리가 무언가를 암호화했을 수 있다고 확신합니다
두 번째 경우, 폐기된 장치는 지사에서 공통 문서에 대한 액세스를 가속화하기 위해 인터넷 대역폭을 최적화하는 데 사용하는 WAN(광역 네트워크) 캐싱 서버였습니다.
아이러니하게도 이러한 장치에는 폐기를 크게 단순화할 수 있는 모든 저장 데이터 패킷 암호화 옵션이 있었습니다.
결국 암호화 옵션을 켜고 암호 해독 키의 알려진 모든 복사본을 지웠다는 것을 보여줄 수 있다면 많은 국가의 데이터 보호 규제 기관에서도 암호화된 데이터를 지워진 것으로 취급할 것입니다.
해독할 수 없는 것으로 간주되는 데이터는 디지털 양배추보다 더 의미가 없습니다.
그러나 Morgan Stanley는 장치가 사용된 후 최소 XNUMX년이 지나야 암호 해독 옵션을 활성화하지 않은 것 같습니다...
… 그리고 암호화는 이전에 있던 것이 아니라 이후에 장치에 기록된 새 데이터에만 적용되었습니다.
따라서 Morgan Stanley가 여전히 어딘가에 있는 42개의 장치에 대해 "증명"할 수 있는 것은 각 장치에 확실히 암호화되지 않은 클라이언트 PII가 적어도 일부 포함되어 있다는 것입니다.
무엇을해야 하는가?
- 사이버 보안은 아웃소싱할 수 있지만 책임은 아웃소싱할 수 없습니다. 계약자가 어떻게 데이터 보호 규정을 준수하는지 추적하여 데이터 보호 규정을 준수하는지 확인하십시오. Morgan Stanley에 대한 SEC의 불만 사항 중 일부는 선택한 운영자가 공식 계획에서 벗어났으므로 회사가 규정을 준수하지 않고 고객을 위험에 빠뜨리는 것을 쉽게 피할 수 있었음이 분명해야 한다는 것입니다.
- 전체 장치 암호화는 데이터 보호 규칙을 준수하는 데 도움이 될 수 있습니다. 복호화 키 없이 적절하게 스크램블된 데이터는 사실상 무작위 노이즈일 뿐입니다. 따라서 많은 데이터 보호 규제 기관은 "암호화할 수 없는" 디스크를 마치 삭제되었거나 데이터가 전혀 포함되지 않은 것처럼 취급합니다. 그러나 처음에 암호화를 올바르게 활성화했으며 나중에 디스크를 획득하는 사람은 암호 해독 키를 획득할 수 없다는 것을 둘 다 보여줄 수 있어야 합니다.
- 확실하지 않은 경우 닦고 판매하는 것이 아니라 장치를 파기하십시오. 서비스를 중단하는 모든 컴퓨팅 장치를 맹목적으로 파괴하고 재활용하지 않는 건전한 환경적 이유가 있지만 오래된 키트를 재사용하면 수익이 줄어들고 있습니다. 대형 장치도 물리적으로 "파쇄"할 수 있으므로 금속은 복구할 수 있지만 데이터는 사용할 수 없습니다. 그것을 유용하게 재사용할 수 없다면 궁극적으로 당신만큼 건전하게 처분하지 못할 수도 있는 다른 사람에게 그것을 판매하는 것을 귀찮게 하지 마십시오. 스스로 책임감 있게 폐기하십시오.
- 잘못 처리된 PII는 분실한 지 몇 년 후에 나타날 수 있습니다. 퇴비통에 있는 정원 쓰레기나 운하에 버려진 오래된 자전거와 달리, 잘못 배치된 데이터 저장 장치는 흔적도 없이 분실되거나 성능이 저하된 것으로 생각했을 수 있는 몇 년 후에도 모든 원래 데이터가 손상되지 않은 상태로 완벽하게 작동하는 상태로 나타날 수 있습니다. 수리하다.
우리는 소셜 미디어에서 과도하게 공유하는 것의 위험에 대해 사람들에게 경고하기 위해 자주 사용하는 운율로 끝나는 것을 거부할 수 없습니다. 가장 큰 IT 부서에서 저장하는 데이터에도 똑같이 잘 적용되기 때문입니다.
의심스러우면 / 주지 마세요.
불꽃이 날아가는 모습 보기 - 작동 중인 디스크 분쇄기
(손목 시계 YouTube에서 직접 비디오가 재생되지 않는 경우)