Morgan Stanley, care se autoproclamă pe eticheta de titlu a site-ului său drept „lider global în servicii financiare”, și afirmă în fraza de deschidere a paginii sale principale că „clienții sunt pe primul loc”, a fost amendat. $35,000,000 de Comisia pentru Valori Mobiliare și Burse din SUA (SEC)...
… pentru vânzarea online de dispozitive hardware vechi, inclusiv mii de unități de disc, care încă erau încărcate cu informații de identificare personală (PII) aparținând clienților săi.
Astăzi am anunțat acuzații împotriva Morgan Stanley Smith Barney LLC ca urmare a eșecurilor extinse ale companiei de a proteja informațiile personale de identificare a aproximativ 15 milioane de clienți. MSSB a fost de acord să plătească o penalizare de 35 de milioane de dolari pentru a achita taxele SEC.
— Comisia pentru Valori Mobiliare și Burse din SUA (@SECGov) 20 Septembrie, 2022
Strict vorbind, nu este o condamnare penală, așa că pedeapsa nu este din punct de vedere tehnic o amendă, dar „nu este o amendă” în același fel în care proprietarii de mașini din Anglia nu mai primesc amenzi de parcare, ci plătesc oficial notificări de penalizare. in schimb.
De asemenea, strict vorbind, Morgan Stanley nu a vândut în mod direct dispozitivele ofensive în sine.
Dar compania a contractat pe altcineva să efectueze lucrările de ștergere și vânzare a echipamentului supraanuat și apoi nu s-a obosit să urmărească procesul pentru a se asigura că acesta a fost făcut corect.
Povestea completă
Documentul oficial al SEC cu privire la această problemă, Dosarul de procedură administrativă numărul 3-21112, face de fapt citiri foarte utile pentru oricine din SecOps sau securitate cibernetică.
La 11 pagini, nu este prea lung pentru a le citi integral, iar povestea pe care o spune este una fascinantă, dezvăluind numeroase răsturnări și întorsături, comutări neautorizate ale subcontractanților, lipsă de supraveghere și urmărire și scurtături nesăbuite.
Dacă aveți ceva de-a face cu eliminarea în siguranță a echipamentelor redundante, asigurați-vă că citiți documentul final al SEC și asigurați-vă că propriile politici și proceduri țin cont de defecțiunile descrise în raport.
În special, asigurați-vă că ați făcut, faceți și că veți face o treabă mai bună decât Morgan Stanley cu:
- Politicile de retragere a echipamentelor și distrugere a datelor adopti in fata.
- Felul în care alegi contractorii tăi de distrugere a datelor pentru dispozitive vechi.
- Procedurile pe care le urmați pentru a urmări progresul.
După cum veți vedea din poveștile SEC despre o intenție neplăcută (al doilea cuvânt este unul pe care SEC îl folosește oficial și oficial în ceea ce privește Morgan Stanley), există o mulțime de lucruri care pot merge prost atunci când scăpați de vechiul kit IT.
Cu toate acestea, punctele principale ale poveștii sunt pur și simplu spuse în rezumatul SEC, și anume că Morgan Stanley, prin intermediul unui contractant:
- S-au vândut aproximativ 4,900 de active din tehnologia informației care conțin informații personale ale clienților, dintre care multe aveau încă acele date de identificare personale când au ajuns la noii proprietari.
- S-au scos din funcțiune 500 de dispozitive de stocare în cache de rețea care conțin PII client care au fost în cel mai bun caz parțial criptate, dintre care 42 nu au fost identificate după presupusa lor „eliminare”.
Fapte murdare și s-au făcut foarte ieftin
În primul caz, datând din 2016, se pare că antreprenorul ales de Morgan Stanley, realizând poate că compania nu verifica cât de fidel era urmat procesul de ștergere și vânzare, a decis să treacă la un nou subcontractant (și neaprobat) care aparent a sărit peste partea „șterge-o mai întâi” și a pus direct dispozitivele scoase la vânzare pe un site de licitație online.
Cineva din Oklahoma a cumpărat câteva dintre vechile unități, probabil ca piese de rezervă pentru propria operațiune IT și și-a dat seama că erau încă pline de date despre clienții Morgan Stanley.
Potrivit SEC, cumpărătorul a contactat Morgan Stanley și a spus: „Sunteți o instituție financiară importantă și ar trebui să urmați niște îndrumări foarte stricte cu privire la modul de a face față retragerii hardware-ului. Sau cel puțin obținerea unui fel de verificare a distrugerii datelor de la vânzătorii cărora le vindeți echipamente.”
Morgan Stanley a cumpărat în cele din urmă acele unități, dar asta nu a avut de-a face cu niciunul dintre celelalte discuri care fuseseră vândute în altă parte.
Într-adevăr, SEC observă că încă 14 discuri contaminate cu date au fost cumpărate înapoi de la altcineva de către Morgan Stanley chiar în iunie 2021, încă neșterse, încă funcționând bine și încă conținând „cel puțin 140,000 de informații despre client”.
După cum observă ironic SEC, „majoritatea mare a hard disk-urilor de la dezafectarea centrului de date din 2016 rămân dispărute.”
Suntem siguri că este posibil să fi criptat ceva
În cel de-al doilea caz, dispozitivele retrase au fost servere de caching WAN (rețea largă) utilizate de sucursale pentru a optimiza lățimea de bandă a internetului pentru a accelera accesul la documentele comune.
În mod ironic, aceste dispozitive aveau o opțiune de criptare a tuturor pachetelor de date stocate care ar fi simplificat foarte mult dezafectarea.
La urma urmei, dacă puteți demonstra că ați activat opțiunea de criptare și că ați șters toate copiile cunoscute ale cheii de decriptare, atunci autoritățile de reglementare a protecției datelor din multe țări vor trata și datele criptate ca șterse.
Datele care sunt considerate necriptabile nu sunt mai semnificative decât varza mărunțită digitală.
Dar se pare că Morgan Stanley nu a activat opțiunea de decriptare decât la cel puțin un an după ce dispozitivele au intrat în funcțiune...
…iar criptarea s-a aplicat numai datelor noi scrise ulterior pe dispozitiv, nu a nimic din ceea ce a fost acolo înainte.
Deci, tot ceea ce Morgan Stanley poate „demonstra”, pentru cele 42 de dispozitive care sunt încă acolo undeva, este că aproape sigur fiecare dispozitiv conține cel puțin unele PII client care cu siguranță nu sunt criptate.
Ce să fac?
- Vă puteți externaliza securitatea cibernetică, dar nu vă puteți externaliza responsabilitatea. Asigurați-vă că respectați reglementările privind protecția datelor, urmărind și modul în care contractanții dvs. le respectă. O parte a plângerii SEC împotriva Morgan Stanley este că ar fi trebuit să fie evident că operatorul ales de ei s-a abătut de la planul oficial și, prin urmare, compania ar fi putut evita cu ușurință să nu devină neconform și să-și pună clienții în pericol.
- Criptarea completă a dispozitivului vă poate ajuta să respectați regulile de protecție a datelor. Datele amestecate corect fără cheia de decriptare sunt de fapt doar zgomot aleatoriu, așa că mulți autorități de reglementare a protecției datelor tratează discurile „necriptabile” ca și cum ar fi fost șterse sau nu ar fi conținut niciodată deloc date. Dar trebuie să puteți arăta atât că ați activat corect criptarea în primul rând, cât și că oricine va achiziționa discul în viitor nu va putea obține cheia de decriptare.
- Dacă aveți îndoieli, mergeți pentru distrugerea dispozitivului, nu pentru ștergere și vânzare. Există motive temeinice de mediu pentru a nu distruge și recicla orbește fiecare dispozitiv de calcul pe care îl retrageți din serviciu, dar există profituri în scădere din reutilizarea kit-ului vechi. Chiar și dispozitivele mari pot fi „distrucționate” fizic, lăsând metalele lor deschise pentru recuperare, dar nu și datele lor. Dacă nu îl puteți reutiliza în mod util, nu vă obosiți să îl vindeți altcuiva care, în cele din urmă, ar putea să nu o elimine la fel de bine ca tine. Aruncă-l singur în mod responsabil.
- PII manipulate greșit pot apărea la ani după ce l-ați pierdut. Spre deosebire de deșeurile de grădină din coșul de compost sau de bicicletele vechi aruncate în canal, dispozitivele de stocare a datelor nelocate pot apărea în stare perfectă de funcționare, cu toate datele lor originale intacte, timp de ani de zile după ce ați fi presupus că s-au pierdut fără urmă sau s-au degradat mai departe. reparație.
Nu ne putem abține să încheiem cu rima pe care o folosim adesea pentru a avertiza oamenii despre riscurile oversharing-ului pe rețelele sociale, deoarece se aplică la fel de bine și datelor stocate de cel mai mare departament IT.
Dacă aveți îndoieli / Nu-l dați.
Uitați-vă la scântei care zboară – UN DISC SHREDDER ÎN ACȚIUNE
(Ceas direct pe YouTube dacă videoclipul nu va fi redat aici.)