Morgan Stanley, som fakturerer seg selv i sin nettsteds tittelkode som "global leder innen finansielle tjenester", og uttaler i åpningssetningen på hovedsiden at "kundene kommer først", har blitt bøtelagt $35,000,000 av US Securities and Exchange Commission (SEC)...
…for å selge gamle maskinvareenheter på nettet, inkludert tusenvis av diskstasjoner, som fortsatt var lastet med personlig identifiserbar informasjon (PII) som tilhører kundene.
I dag kunngjorde vi siktelser mot Morgan Stanley Smith Barney LLC som stammer fra firmaets omfattende svikt i å beskytte personlig identifiserende informasjon til omtrent 15 millioner kunder. MSSB har gått med på å betale en bot på 35 millioner dollar for å avgjøre SEC-anklagene.
— US Securities and Exchange Commission (@SECGov) September 20, 2022
Strengt tatt er det ikke en straffedom, så straffen er teknisk sett ikke en bot, men den er "ikke en bot" på omtrent samme måte som bileiere i England ikke lenger får parkeringsbøter, men offisielt betaler varsel om straffegebyr. i stedet.
Også, strengt tatt, solgte ikke Morgan Stanley direkte de fornærmende enhetene selv.
Men selskapet kontraherte noen andre for å gjøre jobben med å tørke-og selge av det avviklede utstyret, og brydde seg ikke om å holde øye med prosessen for å sikre at det ble gjort riktig.
Hele historien
SECs offisielle dokument om saken, Administrativ prosedyre filnummer 3-21112, gjør faktisk veldig nyttig lesing for alle i SecOps eller cybersikkerhet.
På 11 sider er den ikke for lang å lese i sin helhet, og historien den forteller er fascinerende, og avslører mange vendinger, uautoriserte bytter hos underleverandører, mangel på tilsyn og oppfølging, og hensynsløse snarveier.
Hvis du har noe å gjøre med sikker avhending av overflødig utstyr, sørg for å lese SECs sluttdokument, og sørg for at dine egne retningslinjer og prosedyrer tar hensyn til feilene beskrevet i rapporten.
Spesielt, sørg for at du har gjort, gjør og vil gjøre en bedre jobb enn Morgan Stanley med:
- Retningslinjer for pensjonering av utstyr og dataødeleggelse du adopterer på forhånd.
- Måten du velger dine data-destruksjonsentreprenører for gamle enheter.
- Prosedyrene du følger for å følge med på fremdriften.
Som du vil se fra SECs historier om bedrøvet egenrådighet (det andre ordet er et som SEC bruker offisielt og formelt med hensyn til Morgan Stanley), er det mye som kan gå galt når du blir kvitt gammelt IT-sett.
Likevel er hovedpoengene i historien ganske enkelt fortalt i SECs sammendrag, nemlig at Morgan Stanley, via en entreprenør:
- Solgte omtrent 4,900 informasjonsteknologiske eiendeler som inneholder klient-PII, hvorav mange fortsatt hadde PII på seg da de nådde sine nye eiere.
- Utrangerte 500 nettverksbufringsenheter som inneholder klient-PII som i beste fall var delvis kryptert, hvorav 42 ble ikke redegjort for etter deres påståtte "avhending".
Skitne gjerninger og de er gjort skittbillige
I det første tilfellet, som dateres tilbake til 2016, ser det ut til at entreprenøren valgt av Morgan Stanley, kanskje innså at selskapet ikke sjekket hvor trofast prosessen med å tørke og selge videre ble fulgt, bestemte seg for å bytte til en ny (og ikke-godkjent) underleverandør som tilsynelatende hoppet over "tørk det først"-delen, og direkte la de pensjonerte enhetene ut for salg på en auksjonsside på nettet.
Noen i Oklahoma kjøpte noen av de gamle diskene, antagelig som reservedeler for sin egen IT-drift, og innså at de fortsatt var fulle av Morgan Stanley-klientdata.
I følge SEC kontaktet kjøperen Morgan Stanley og sa: «[du] er en stor finansinstitusjon og bør følge noen svært strenge retningslinjer for hvordan du skal håndtere pensjonerende maskinvare. Eller i det minste få en form for verifisering av dataødeleggelse fra leverandørene du selger utstyr til.»
Morgan Stanley kjøpte til slutt tilbake disse stasjonene, men det handlet ikke med noen av de andre diskene som hadde blitt solgt andre steder.
Faktisk bemerker SEC at 14 flere datatilsølte disker ble kjøpt tilbake fra noen andre av Morgan Stanley så sent som i juni 2021, fortsatt uavslettet, fortsatt fungerer fint og fortsatt inneholder "minst 140,000 XNUMX deler av kunde-PII".
Som SEC skjevt bemerker, "Det store flertallet av harddiskene fra 2016 Data Center Decommissioning mangler fortsatt."
Vi er sikre på at vi kan ha kryptert noe
I det andre tilfellet var de pensjonerte enhetene WAN-bufferservere (wide area network) som ble brukt av avdelingskontorer for å optimalisere internettbåndbredden for å akselerere tilgangen til vanlige dokumenter.
Ironisk nok hadde disse enhetene et alternativ for kryptering av alle lagrede datapakker som ville ha forenklet dekommisjonering betraktelig.
Tross alt, hvis du kan vise at du har slått på krypteringsalternativet, og at du har slettet alle kjente kopier av dekrypteringsnøkkelen, vil databeskyttelsesregulatorer i mange land også behandle de krypterte dataene som slettede.
Data som anses som ukrypterbare er ikke mer meningsfylt enn digital strimlet kål.
Men Morgan Stanley aktivert tilsynelatende ikke dekrypteringsalternativet før minst ett år etter at enhetene ble tatt i bruk ...
...og krypteringen gjaldt bare nye data som senere ble skrevet til enheten, ikke noe som var der før.
Så alt Morgan Stanley kan "bevise", for de 42 enhetene som fortsatt er der ute et sted, er at hver enhet nesten helt sikkert inneholder minst noen klient-PII som definitivt ikke er kryptert.
Hva gjør jeg?
- Du kan outsource cybersikkerheten din, men du kan ikke outsource ansvaret ditt. Sørg for at du overholder databeskyttelsesforskriftene ved å holde styr på hvordan entreprenørene dine også overholder dem. En del av SECs klage mot Morgan Stanley er at det burde vært åpenbart at den valgte operatøren hadde avviket fra den offisielle planen, og dermed at selskapet lett kunne ha unngått å ikke overholde kravene og sette sine kunder i fare.
- Full enhetskryptering kan hjelpe deg med å overholde databeskyttelsesregler. Riktig kryptert data uten dekrypteringsnøkkelen er i praksis bare tilfeldig støy, så mange databeskyttelsesregulatorer behandler "udekrypterbare" disker som om de hadde blitt slettet, eller aldri inneholdt noen data i det hele tatt. Men du må kunne vise både at du aktiverte krypteringen riktig i utgangspunktet, og at alle som anskaffer disken i fremtiden ikke vil kunne få tak i dekrypteringsnøkkelen.
- Hvis du er i tvil, gå for ødeleggelse av enheten, ikke for å tørke og selge videre. Det er gode miljømessige årsaker til å ikke blindt ødelegge og resirkulere alle dataenheter som du trekker deg tilbake fra tjenesten, men det er minkende avkastning fra gjenbruk av gammelt sett. Selv store enheter kan fysisk "makuleres", slik at metallene er åpne for gjenoppretting, men ikke dataene. Hvis du ikke kan bruke den på nytt, ikke bry deg med å selge den videre til noen andre som kanskje ikke til slutt avhender den like forsvarlig som deg. Kast det ansvarlig selv.
- Feilhåndtert PII kan dukke opp år etter at du mistet den. I motsetning til hageavfall i kompostbeholderen eller gamle sykler som er dumpet i kanalen, kan feilplasserte datalagringsenheter dukke opp i perfekt stand, med alle originale data intakte, i årevis etter at du kanskje hadde antatt at de gikk tapt sporløst eller degradert utover reparere.
Vi kan ikke motstå å avslutte med rimet vi ofte bruker for å advare folk om risikoen for overdeling på sosiale medier, fordi det gjelder like godt for data lagret av den største IT-avdelingen.
Hvis du er i tvil / ikke gi den ut.
SE GNISTERNE FLY – EN DISKEMASKINER I AKSJON
(Se direkte på YouTube hvis videoen ikke vil spilles av her.)