Morgan Stanley, die zichzelf in de titeltag van zijn website bestempelt als de "wereldwijde leider in financiële diensten", en in de openingszin van zijn hoofdpagina stelt dat "klanten op de eerste plaats komen", is beboet $35,000,000 door de Amerikaanse Securities and Exchange Commission (SEC)...
...voor het online verkopen van oude hardwareapparaten, waaronder duizenden diskdrives, die nog steeds vol zaten met persoonlijk identificeerbare informatie (PII) van haar klanten.
Vandaag hebben we aanklachten aangekondigd tegen Morgan Stanley Smith Barney LLC als gevolg van het uitgebreide falen van het bedrijf om de persoonlijke identificatie-informatie van ongeveer 15 miljoen klanten te beschermen. MSSB heeft ingestemd met het betalen van een boete van $ 35 miljoen om de SEC-kosten te betalen.
— Amerikaanse Securities and Exchange Commission (@SECGov) 20 september 2022
Strikt genomen is het geen strafrechtelijke veroordeling, dus de straf is technisch gezien geen boete, maar het is "geen boete" op vrijwel dezelfde manier waarop autobezitters in Engeland geen parkeerboetes meer krijgen, maar officieel boetes betalen in plaats van.
Strikt genomen heeft Morgan Stanley de gewraakte apparaten ook niet rechtstreeks verkocht.
Maar het bedrijf heeft iemand anders ingehuurd om het werk van het opruimen en verkopen van de verouderde apparatuur te doen, en nam vervolgens niet de moeite om het proces in de gaten te houden om ervoor te zorgen dat het goed werd gedaan.
Het volledige verhaal
Het officiële document van de SEC over de kwestie, Administratieve procedure dossiernummer 3-21112, maakt eigenlijk heel nuttig leesvoer voor iedereen in SecOps of cyberbeveiliging.
Met 11 pagina's is het niet te lang om volledig te lezen, en het verhaal dat het vertelt is fascinerend, het onthult talloze wendingen, ongeautoriseerde wisselingen in onderaannemers, gebrek aan toezicht en follow-up, en roekeloze snelkoppelingen.
Als u iets te maken heeft met de veilige verwijdering van overtollige apparatuur, lees dan het slotdocument van de SEC en zorg ervoor dat uw eigen beleid en procedures rekening houden met de tekortkomingen die in het rapport worden beschreven.
Zorg er met name voor dat u het beter hebt gedaan, doet en zult doen dan Morgan Stanley met:
- Het beleid voor het buiten gebruik stellen van apparatuur en gegevensvernietiging je adopteert van tevoren.
- De manier waarop u kiest uw gegevensvernietigingscontractanten voor oude apparaten.
- De procedures die u volgt om de voortgang bij te houden.
Zoals je zult zien in de verhalen van de SEC over treurige eigenzinnigheid (het tweede woord is er een dat de SEC officieel en formeel gebruikt met betrekking tot Morgan Stanley), kan er ontzettend veel misgaan als je oude IT-kit weggooit.
Niettemin worden de belangrijkste punten van het verhaal eenvoudig verteld in de samenvatting van de SEC, namelijk dat Morgan Stanley, via een aannemer:
- Verkocht ongeveer 4,900 informatietechnologie-activa die klant-PII bevatten, waarvan vele die PII nog bij zich hadden toen ze hun nieuwe eigenaren bereikten.
- Ontmantelde 500 netwerkcaching-apparaten die client-PII bevatten die op zijn best gedeeltelijk waren versleuteld, waarvan er 42 werden vermist na hun vermeende "verwijdering".
Vuile daden en ze zijn spotgoedkoop gedaan
In het eerste geval, daterend uit 2016, lijkt het erop dat de door Morgan Stanley gekozen aannemer, die zich misschien realiseerde dat het bedrijf niet controleerde hoe getrouw het proces van wissen en doorverkopen werd gevolgd, besloot over te schakelen naar een nieuwe (en niet-goedgekeurde) onderaannemer die blijkbaar het gedeelte "eerst wissen" oversloeg en de gepensioneerde apparaten direct te koop aanbood op een online veilingsite.
Iemand in Oklahoma kocht een paar van de oude schijven, vermoedelijk als hot spares voor hun eigen IT-activiteiten, en realiseerde zich dat ze nog steeds vol stonden met Morgan Stanley-klantgegevens.
Volgens de SEC nam de koper contact op met Morgan Stanley en zei: “[j]u bent een grote financiële instelling en zou een aantal zeer strikte richtlijnen moeten volgen over hoe om te gaan met afgeschreven hardware. Of op zijn minst een soort verificatie van gegevensvernietiging krijgen van de leveranciers aan wie je apparatuur verkoopt.”
Morgan Stanley kocht die schijven uiteindelijk terug, maar dat had niets te maken met de andere schijven die elders waren doorverkocht.
De SEC merkt inderdaad op dat nog 14 met gegevens besmette schijven door Morgan Stanley zijn teruggekocht van iemand anders in juni 2021, nog steeds niet gewist, nog steeds goed werkend en nog steeds “minstens 140,000 stuks klant-PII”.
Zoals de SEC wrang opmerkt, "de overgrote meerderheid van de harde schijven van de 2016 Data Center Decommissioning blijven ontbreken."
We zijn er zeker van dat we iets hebben versleuteld
In het tweede geval waren de gepensioneerde apparaten WAN-cachingservers (wide area network) die door filialen werden gebruikt om de internetbandbreedte te optimaliseren om de toegang tot veelvoorkomende documenten te versnellen.
Ironisch genoeg hadden deze apparaten een optie voor het versleutelen van alle opgeslagen gegevenspakketten, wat de ontmanteling aanzienlijk zou hebben vereenvoudigd.
Immers, als u kunt aantonen dat u de versleutelingsoptie hebt ingeschakeld en dat u alle bekende kopieën van de decoderingssleutel hebt gewist, zullen toezichthouders voor gegevensbescherming in veel landen de versleutelde gegevens ook als gewist behandelen.
Gegevens die als niet-decodeerbaar worden beschouwd, hebben niet meer betekenis dan digitale versnipperde kool.
Maar Morgan Stanley heeft de decoderingsoptie blijkbaar niet geactiveerd tot ten minste een jaar nadat de apparaten in gebruik waren genomen ...
... en de codering werd alleen toegepast op nieuwe gegevens die vervolgens naar het apparaat werden geschreven, niet op iets dat er eerder was.
Dus alles wat Morgan Stanley kan "bewijzen", voor de 42 apparaten die er nog steeds zijn, is dat elk apparaat vrijwel zeker op zijn minst een of andere client PII bevat die absoluut niet versleuteld is.
Wat te doen?
- U kunt uw cyberbeveiliging uitbesteden, maar u kunt uw verantwoordelijkheid niet uitbesteden. Zorg ervoor dat u voldoet aan de voorschriften voor gegevensbescherming door bij te houden hoe uw contractanten deze ook naleven. Een deel van de klacht van de SEC tegen Morgan Stanley is dat het duidelijk had moeten zijn dat de door hen gekozen operator was afgeweken van het officiële plan, en dat het bedrijf dus gemakkelijk had kunnen voorkomen dat het niet-conform werd en hun klanten in gevaar bracht.
- Versleuteling van het volledige apparaat kan u helpen te voldoen aan de regels voor gegevensbescherming. Correct gecodeerde gegevens zonder de decoderingssleutel zijn in feite gewoon willekeurige ruis, dus veel regelgevers voor gegevensbescherming behandelen "niet-decodeerbare" schijven alsof ze zijn gewist of helemaal geen gegevens bevatten. Maar u moet zowel kunnen aantonen dat u de versleuteling in de eerste plaats correct hebt geactiveerd, en dat iedereen die de schijf in de toekomst verwerft, niet in staat zal zijn om de ontsleutelingssleutel te verkrijgen.
- Ga bij twijfel voor apparaatvernietiging, niet voor wissen en doorverkopen. Er zijn goede milieuredenen om niet blindelings elk computerapparaat dat u uit dienst neemt te vernietigen en te recyclen, maar er zijn steeds minder opbrengsten van het hergebruiken van oude apparatuur. Zelfs grote apparaten kunnen fysiek worden "versnipperd", waardoor hun metalen kunnen worden hersteld, maar niet hun gegevens. Als je het niet nuttig kunt hergebruiken, doe dan niet de moeite om het door te verkopen aan iemand anders die er uiteindelijk misschien niet zo goed over beschikt als jij. Gooi het zelf op verantwoorde wijze weg.
- Verkeerd behandelde PII kan jaren nadat u het kwijt bent, opduiken. In tegenstelling tot tuinafval in de compostbak of oude fietsen die in het kanaal zijn gedumpt, kunnen zoekgeraakte apparaten voor gegevensopslag in perfecte staat worden weergegeven, met al hun originele gegevens intact, jarenlang nadat je misschien had aangenomen dat ze spoorloos verloren waren gegaan of verder waren aangetast. reparatie.
We kunnen het niet laten om te eindigen met het rijm dat we vaak gebruiken om mensen te waarschuwen voor de risico's van te veel delen op sociale media, omdat het even goed van toepassing is op gegevens die zijn opgeslagen door de grootste IT-afdeling.
Bij twijfel / Geef het niet uit.
BEKIJK DE VONKEN VLIEG – EEN SCHIJFVERSNIPPER IN ACTIE
(Kijk maar rechtstreeks op YouTube als de video hier niet wordt afgespeeld.)