O Morgan Stanley, que se autodenomina em sua tag de título do site como o “líder global em serviços financeiros”, e afirma na frase de abertura de sua página principal que “os clientes vêm em primeiro lugar”, foi multado $35,000,000 pela Comissão de Valores Mobiliários dos EUA (SEC)…
…por vender dispositivos de hardware antigos on-line, incluindo milhares de unidades de disco, que ainda estavam carregadas com informações de identificação pessoal (PII) pertencentes a seus clientes.
Hoje anunciamos acusações contra o Morgan Stanley Smith Barney LLC decorrentes das extensas falhas da empresa em proteger as informações de identificação pessoal de aproximadamente 15 milhões de clientes. A MSSB concordou em pagar uma multa de US$ 35 milhões para liquidar as acusações da SEC.
— Comissão de Valores Mobiliários dos EUA (@SECGov) 20 de Setembro de 2022
Estritamente falando, não é uma condenação criminal, então a penalidade não é tecnicamente uma multa, mas “não é uma multa” da mesma forma que os proprietários de carros na Inglaterra não recebem mais multas de estacionamento, mas oficialmente pagam multas. em vez de.
Além disso, estritamente falando, o Morgan Stanley não vendeu diretamente os dispositivos ofensivos.
Mas a empresa contratou outra pessoa para fazer o trabalho de limpar e vender os equipamentos obsoletos e depois não se preocupou em ficar de olho no processo para garantir que fosse feito corretamente.
A história completa
O documento oficial da SEC sobre o assunto, Arquivo de Processo Administrativo Número 3-21112, na verdade é uma leitura realmente útil para qualquer pessoa em SecOps ou segurança cibernética.
Com 11 páginas, não é muito longo para ler na íntegra, e a história que conta é fascinante, revelando inúmeras reviravoltas, trocas não autorizadas em subcontratados, falta de supervisão e acompanhamento e atalhos imprudentes.
Se você tiver algo a ver com o descarte seguro de equipamentos redundantes, certifique-se de ler o documento final da SEC e certifique-se de que suas próprias políticas e procedimentos levem em consideração as falhas descritas no relatório.
Notavelmente, certifique-se de que você fez, está fazendo e fará um trabalho melhor do que o Morgan Stanley com:
- As políticas de desativação de equipamentos e destruição de dados você adota de antemão.
- A maneira como você escolhe seus contratantes de destruição de dados para dispositivos antigos.
- Os procedimentos que você segue para acompanhar o progresso.
Como você verá nos contos da SEC sobre a obstinação lamentável (a segunda palavra é aquela que a SEC usa oficial e formalmente em relação ao Morgan Stanley), há muita coisa que pode dar errado quando você está se livrando do antigo kit de TI.
No entanto, os principais pontos da história são simplesmente contados no resumo da SEC, a saber, que o Morgan Stanley, por meio de um contratado:
- Vendeu aproximadamente 4,900 ativos de tecnologia da informação contendo PII do cliente, muitos dos quais ainda tinham essas PII quando chegaram aos novos proprietários.
- 500 dispositivos de cache de rede desativados contendo PII do cliente que foram, na melhor das hipóteses, parcialmente criptografados, dos quais 42 não foram contabilizados após sua suposta “eliminação”.
Ações sujas e elas são feitas muito baratas
No primeiro caso, que remonta a 2016, parece que o empreiteiro escolhido pelo Morgan Stanley, talvez percebendo que a empresa não estava verificando o quão fielmente o processo de limpeza e venda estava sendo seguido, decidiu mudar para um novo (e não aprovado) subcontratado que aparentemente pulou a parte “limpe-o primeiro” e colocou diretamente os dispositivos aposentados à venda em um site de leilões on-line.
Alguém em Oklahoma comprou alguns dos discos antigos, presumivelmente como hot spares para sua própria operação de TI, e percebeu que eles ainda estavam cheios de dados de clientes do Morgan Stanley.
De acordo com a SEC, o comprador entrou em contato com o Morgan Stanley e disse: “Você é uma grande instituição financeira e deve seguir algumas diretrizes muito rigorosas sobre como lidar com a aposentadoria de hardware. Ou, pelo menos, obter algum tipo de verificação de destruição de dados dos fornecedores para os quais você vende equipamentos.”
O Morgan Stanley finalmente comprou de volta essas unidades, mas isso não lidava com nenhum dos outros discos que haviam sido vendidos em outros lugares.
De fato, a SEC observa que mais 14 discos contaminados por dados foram comprados de outra pessoa pelo Morgan Stanley em junho de 2021, ainda não apagados, ainda funcionando bem e ainda contendo “pelo menos 140,000 peças de PII do cliente”.
Como a SEC observa ironicamente, “a grande maioria dos discos rígidos da desativação do data center de 2016 continua faltando.”
Temos certeza de que podemos ter criptografado algo
No segundo caso, os dispositivos aposentados eram servidores de cache WAN (rede de longa distância) usados por filiais para otimizar a largura de banda da Internet para acelerar o acesso a documentos comuns.
Ironicamente, esses dispositivos tinham uma opção de criptografar qualquer pacote de dados armazenado que simplificaria bastante o descomissionamento.
Afinal, se você puder mostrar que ativou a opção de criptografia e que apagou todas as cópias conhecidas da chave de descriptografia, os reguladores de proteção de dados em muitos países também tratarão os dados criptografados como apagados.
Dados considerados indecifráveis não são mais significativos do que repolho picado digital.
Mas o Morgan Stanley aparentemente não ativou a opção de descriptografia até pelo menos um ano depois que os dispositivos entraram em uso…
…e a criptografia se aplicava apenas a novos dados gravados posteriormente no dispositivo, não a qualquer coisa que estivesse lá antes.
Portanto, tudo o que o Morgan Stanley pode “provar”, para os 42 dispositivos que ainda existem em algum lugar, é que cada dispositivo quase certamente contém pelo menos algumas PII do cliente que definitivamente não são criptografadas.
O que fazer?
- Você pode terceirizar sua segurança cibernética, mas não pode terceirizar sua responsabilidade. Certifique-se de cumprir os regulamentos de proteção de dados, acompanhando também como seus contratados os estão cumprindo. Parte da reclamação da SEC contra o Morgan Stanley é que deveria ter sido óbvio que o operador escolhido havia se desviado do plano oficial e, portanto, a empresa poderia facilmente ter evitado se tornar incompatível e colocar seus clientes em risco.
- A criptografia completa do dispositivo pode ajudá-lo a cumprir as regras de proteção de dados. Dados embaralhados corretamente sem a chave de descriptografia são efetivamente apenas ruído aleatório, por isso muitos reguladores de proteção de dados tratam discos “não descriptografáveis” como se tivessem sido apagados ou nunca contivessem nenhum dado. Mas você precisa ser capaz de mostrar que ativou a criptografia corretamente em primeiro lugar e que qualquer pessoa que adquirir o disco no futuro não poderá adquirir a chave de descriptografia.
- Em caso de dúvida, opte pela destruição do dispositivo, não pela limpeza e venda. Existem razões ambientais sólidas para não destruir e reciclar cegamente todos os dispositivos de computação que você retira de serviço, mas há retornos decrescentes da reutilização de kits antigos. Mesmo dispositivos grandes podem ser fisicamente “triturados”, deixando seus metais abertos para recuperação, mas não seus dados. Se você não puder reutilizá-lo de maneira útil, não se preocupe em vendê-lo para outra pessoa que pode não descartá-lo tão bem quanto você. Descarte você mesmo com responsabilidade.
- PII mal tratadas podem aparecer anos depois que você as perdeu. Ao contrário do lixo do jardim na caixa de compostagem ou das bicicletas velhas jogadas no canal, os dispositivos de armazenamento de dados mal colocados podem aparecer em perfeito estado de funcionamento, com todos os seus dados originais intactos, por anos depois que você poderia supor que eles foram perdidos sem deixar vestígios ou degradados além reparar.
Não podemos resistir a terminar com a rima que costumamos usar para alertar as pessoas sobre os riscos do excesso de compartilhamento nas mídias sociais, porque se aplica igualmente bem aos dados armazenados pelo maior departamento de TI.
Em caso de dúvida / Não divulgue.
VEJA AS FAÍSCAS VOANDO - UM TRITURADOR DE DISCO EM AÇÃO
(Assistir diretamente no YouTube se o vídeo não for reproduzido aqui.)