Morgan Stanley, który w tytule swojej witryny reklamuje się jako „globalny lider usług finansowych”, a w pierwszym zdaniu swojej strony głównej stwierdza, że „klienci są najważniejsi”, został ukarany grzywną $35,000,000 przez amerykańską Komisję Papierów Wartościowych i Giełd (SEC)…
…za wyprzedaż online starego sprzętu, w tym tysięcy dysków, które wciąż były obciążone informacjami umożliwiającymi identyfikację użytkownika (PII) należącymi do klientów.
Dzisiaj ogłosiliśmy zarzuty przeciwko firmie Morgan Stanley Smith Barney LLC wynikające z poważnych zaniedbań firmy w ochronie danych osobowych około 15 milionów klientów. MSSB zgodził się zapłacić 35 milionów dolarów kary za uregulowanie opłat SEC.
— Amerykańska Komisja Papierów Wartościowych i Giełd (@SECGov) 20 września 2022 r.
Ściśle mówiąc, nie jest to wyrok skazujący, więc kara nie jest technicznie grzywną, ale „nie jest grzywną” w podobny sposób, w jaki właściciele samochodów w Anglii nie otrzymują już mandatów za parkowanie, ale oficjalnie płacą mandaty karne zamiast.
Ponadto, ściśle mówiąc, Morgan Stanley nie sprzedawał bezpośrednio samych obraźliwych urządzeń.
Ale firma zleciła komuś innemu wyczyszczenie i sprzedaż przestarzałego sprzętu, a potem nie zawracała sobie głowy pilnowaniem procesu, aby upewnić się, że został wykonany prawidłowo.
Pełna historia
Oficjalny dokument SEC w tej sprawie, Numer akt postępowania administracyjnego 3-21112, faktycznie jest naprawdę przydatną lekturą dla każdego, kto zajmuje się SecOps lub cyberbezpieczeństwem.
Na 11 stronach nie jest zbyt długi, by przeczytać go w całości, a opowiadana historia jest fascynująca, odsłaniając liczne zwroty akcji, nieautoryzowane zmiany w podwykonawcach, brak nadzoru i kontynuacji oraz lekkomyślne skróty.
Jeśli masz coś wspólnego z bezpieczną utylizacją zbędnego sprzętu, koniecznie przeczytaj dokument końcowy SEC i upewnij się, że własne zasady i procedury uwzględniają uchybienia opisane w raporcie.
W szczególności upewnij się, że zrobiłeś, robisz i wykonasz lepszą pracę niż Morgan Stanley z:
- Zasady wycofywania sprzętu i niszczenia danych przyjmujesz z góry.
- Sposób, w jaki wybierasz Twoim wykonawcom niszczenia danych dla starych urządzeń.
- Procedury, których przestrzegasz aby śledzić postępy.
Jak widać z opowieści SEC o żałosnej samowoli (drugie słowo jest tym, którego SEC używa oficjalnie i formalnie w odniesieniu do Morgana Stanleya), wiele rzeczy może się nie udać, gdy pozbędziesz się starego zestawu IT.
Niemniej jednak główne punkty tej historii są po prostu przedstawione w podsumowaniu SEC, a mianowicie, że Morgan Stanley za pośrednictwem wykonawcy:
- Sprzedano około 4,900 zasobów informatycznych zawierających dane osobowe klienta, z których wiele nadal miało na sobie te dane identyfikacyjne, gdy dotarły do nowych właścicieli.
- Wycofane z użytku 500 sieciowych urządzeń buforujących zawierających dane osobowe klienta które były w najlepszym razie częściowo zaszyfrowane, z których 42 nie zostały rozliczone po ich rzekomym „usunięciu”.
Brudne uczynki i są robione tanio?
W pierwszym przypadku, datowanym na 2016 r., wydaje się, że wybrany przez Morgan Stanley wykonawca, być może zdając sobie sprawę, że firma nie sprawdza, jak wiernie przebiega proces wymazywania i sprzedaży, zdecydował się przejść na nowy (i niezatwierdzony) podwykonawca, który najwyraźniej pominął część „najpierw wyczyść” i bezpośrednio wystawił wycofane urządzenia na sprzedaż w internetowym serwisie aukcyjnym.
Ktoś w Oklahomie kupił kilka starych dysków, prawdopodobnie jako części zapasowe do własnych operacji IT, i zdał sobie sprawę, że nadal są one pełne danych klientów Morgan Stanley.
Według SEC nabywca skontaktował się z Morgan Stanley i powiedział: „Jesteś ważną instytucją finansową i powinieneś przestrzegać bardzo rygorystycznych wytycznych dotyczących radzenia sobie z wycofywanym sprzętem. Albo przynajmniej uzyskać jakąś weryfikację zniszczenia danych od dostawców, którym sprzedajesz sprzęt”.
Morgan Stanley ostatecznie odkupił te dyski, ale to nie dotyczyło żadnego z innych dysków, które zostały sprzedane gdzie indziej.
Rzeczywiście, SEC zauważa, że 14 kolejnych dysków ze skażonymi danymi zostało odkupionych od kogoś innego przez Morgan Stanley dopiero w czerwcu 2021 r., wciąż nieoczyszczonych, nadal działających dobrze i nadal zawierających „co najmniej 140,000 XNUMX sztuk PII klienta”.
Jak cierpko zauważa SEC: „Zdecydowana większość dysków twardych z likwidacji centrum danych w 2016 r. nadal brakuje”.
Jesteśmy pewni, że mogliśmy coś zaszyfrować
W drugim przypadku wycofanymi urządzeniami były serwery buforujące WAN (sieć rozległa), wykorzystywane przez oddziały w celu optymalizacji przepustowości Internetu w celu przyspieszenia dostępu do typowych dokumentów.
Jak na ironię, urządzenia te miały opcję szyfrowania dowolnych przechowywanych pakietów danych, która znacznie uprościłaby likwidację.
W końcu, jeśli możesz wykazać, że włączyłeś opcję szyfrowania i wyczyściłeś wszystkie znane kopie klucza odszyfrowywania, organy ochrony danych w wielu krajach będą również traktować zaszyfrowane dane jako wyczyszczone.
Dane, które są uważane za nie do odszyfrowania, nie mają większego znaczenia niż cyfrowa szatkowana kapusta.
Ale Morgan Stanley najwyraźniej nie aktywował opcji odszyfrowywania co najmniej rok po tym, jak urządzenia zaczęły być używane…
…a szyfrowanie dotyczyło tylko nowych danych zapisanych później na urządzeniu, a nie niczego, co było tam wcześniej.
Wszystko, co Morgan Stanley może „udowodnić” dla 42 urządzeń, które wciąż gdzieś tam są, to to, że każde urządzenie prawie na pewno zawiera przynajmniej niektóre dane osobowe klienta, które zdecydowanie nie są zaszyfrowane.
Co robić?
- Możesz zlecić swoje cyberbezpieczeństwo, ale nie możesz zlecić na zewnątrz swojej odpowiedzialności. Upewnij się, że przestrzegasz przepisów o ochronie danych, śledząc, w jaki sposób twoi kontrahenci również ich przestrzegają. Częścią skargi SEC na Morgan Stanley jest to, że powinno być oczywiste, że wybrany przez nią operator odstąpił od oficjalnego planu, a tym samym firma mogła łatwo uniknąć nieprzestrzegania przepisów i narażenia swoich klientów na ryzyko.
- Szyfrowanie na całym urządzeniu może pomóc w przestrzeganiu zasad ochrony danych. Prawidłowo zaszyfrowane dane bez klucza deszyfrującego są w rzeczywistości tylko przypadkowym szumem, dlatego wiele organów ochrony danych traktuje dyski „nieodszyfrowane” tak, jakby zostały wymazane lub w ogóle nie zawierały żadnych danych. Ale musisz być w stanie wykazać, że najpierw poprawnie aktywowałeś szyfrowanie, a także, że każdy, kto zdobędzie dysk w przyszłości, nie będzie mógł uzyskać klucza odszyfrowywania.
- W razie wątpliwości idź na zniszczenie urządzenia, a nie na wycieranie i sprzedaż. Istnieją uzasadnione powody środowiskowe, aby nie niszczyć na ślepo i nie poddawać recyklingowi każdego urządzenia komputerowego, które wycofujesz z eksploatacji, ale są malejące zwroty z ponownego użycia starego zestawu. Nawet duże urządzenia można fizycznie „rozdrobnić”, pozostawiając ich metale do odzyskania, ale nie dane. Jeśli nie możesz go ponownie wykorzystać, nie zawracaj sobie głowy sprzedawaniem go komuś innemu, kto może ostatecznie nie pozbyć się go tak solidnie jak ty. Pozbądź się go w sposób odpowiedzialny.
- Niewłaściwe dane osobowe mogą pojawić się lata po ich zgubieniu. W przeciwieństwie do odpadów ogrodowych w śmietniku na kompost lub starych rowerów wyrzuconych do kanału, niewłaściwie umieszczone urządzenia do przechowywania danych mogą pojawiać się w idealnym stanie, ze wszystkimi oryginalnymi danymi nienaruszonymi, przez lata po tym, jak można było założyć, że zostały utracone bez śladu lub zdegradowane poza naprawa.
Nie możemy się oprzeć, aby zakończyć rymowanką, którą często używamy, aby ostrzec ludzi przed ryzykiem nadmiernego udostępniania w mediach społecznościowych, ponieważ dotyczy to równie dobrze danych przechowywanych przez największy dział IT.
Jeśli masz wątpliwości / Nie podawaj tego.
ZOBACZ LATAJĄCE ISKRY – ROZDRABNIACZ DYSKÓW W AKCJI
(Zegarek bezpośrednio w YouTube jeśli wideo nie będzie tutaj odtwarzane).