Компания Morgan Stanley, которая в заголовке своего веб-сайта называет себя «мировым лидером в сфере финансовых услуг» и заявляет в первом предложении своей главной страницы, что «клиенты на первом месте», была оштрафована. $35,000,000 Комиссией по ценным бумагам и биржам США (SEC)…
…для продажи через Интернет старых аппаратных устройств, включая тысячи дисководов, которые все еще были загружены личной идентифицирующей информацией (PII), принадлежащей ее клиентам.
Сегодня мы объявили об обвинениях против Morgan Stanley Smith Barney LLC в связи с неспособностью фирмы защитить личную информацию примерно 15 миллионов клиентов. MSSB согласилась выплатить штраф в размере 35 миллионов долларов для урегулирования обвинений SEC.
— Комиссия по ценным бумагам и биржам США (@SECGov) 20 сентября, 2022
Строго говоря, это не уголовное осуждение, поэтому штраф технически не является штрафом, но это «не штраф» во многом так же, как владельцы автомобилей в Англии больше не получают штрафы за парковку, а официально платят уведомления о начислении штрафов. вместо.
Кроме того, строго говоря, Morgan Stanley не продавал напрямую устройства-нарушители.
Но компания наняла кого-то другого, чтобы он выполнил работу по очистке и продаже устаревшего оборудования, а затем не удосужилась следить за процессом, чтобы убедиться, что он был сделан должным образом.
Полная история
Официальный документ SEC по этому вопросу, Номер файла административного производства 3-21112, действительно полезное чтение для всех, кто занимается SecOps или кибербезопасностью.
На 11 страницах не так уж много времени, чтобы прочитать полностью, и история, которую она рассказывает, является увлекательной, раскрывая многочисленные повороты и повороты, несанкционированные переключения субподрядчиков, отсутствие надзора и последующих действий, а также безрассудные ярлыки.
Если вы имеете какое-либо отношение к безопасной утилизации избыточного оборудования, обязательно прочитайте окончательный документ SEC и убедитесь, что ваши собственные политики и процедуры учитывают недостатки, описанные в отчете.
В частности, убедитесь, что вы сделали, делаете и будете делать лучше, чем Morgan Stanley:
- Политика вывода оборудования из эксплуатации и уничтожения данных вы принимаете вперед.
- Как вы выбираете ваши подрядчики по уничтожению данных для старых устройств.
- Процедуры, которым вы следуете чтобы следить за прогрессом.
Как вы увидите из рассказов Комиссии по ценным бумагам и биржам о прискорбном своеволии (второе слово — это то слово, которое Комиссия по ценным бумагам и биржам официально и официально использует в отношении Morgan Stanley), очень многое может пойти не так, когда вы избавляетесь от старого ИТ-комплекта.
Тем не менее, основные моменты истории просто изложены в сводке SEC, а именно, что Morgan Stanley через подрядчика:
- Продано около 4,900 активов информационных технологий, содержащих персональные данные клиентов., на многих из которых все еще была эта PII, когда они достигли своих новых владельцев.
- Выведено из эксплуатации 500 сетевых устройств кэширования, содержащих персональные данные клиента. которые были в лучшем случае частично зашифрованы, из которых 42 пропали без вести после их якобы «утилизации».
Грязные дела, и они сделаны очень дешево
В первом случае, относящемся к 2016 году, кажется, что подрядчик, выбранный Morgan Stanley, возможно, понимая, что компания не проверяет, насколько добросовестно соблюдается процесс вытирания и продажи, решил перейти на новый (и неутвержденный) субподрядчик, который, по-видимому, пропустил часть «сначала очистите его» и напрямую выставил устаревшие устройства на продажу на онлайн-аукционе.
Кто-то в Оклахоме купил несколько старых дисков, предположительно, в качестве запасных частей для своей собственной ИТ-операции, и понял, что они все еще полны клиентских данных Morgan Stanley.
По данным SEC, покупатель связался с Morgan Stanley и сказал: «[Вы] являетесь крупным финансовым учреждением и должны следовать очень строгим правилам обращения с оборудованием, выводимым из эксплуатации. Или, по крайней мере, получить какое-то подтверждение уничтожения данных от поставщиков, которым вы продаете оборудование».
Morgan Stanley в конце концов выкупил эти диски, но это не касалось других дисков, которые продавались в других местах.
Действительно, SEC отмечает, что еще 14 дисков с испорченными данными были выкуплены Morgan Stanley у кого-то еще в июне 2021 года, все еще не стерты, все еще работают нормально и все еще содержат «не менее 140,000 XNUMX штук PII клиента».
Как иронично отмечает SEC, «Подавляющее большинство жестких дисков после вывода из эксплуатации центра обработки данных в 2016 году по-прежнему отсутствуют».
Мы уверены, что могли что-то зашифровать
Во втором случае выведенные из эксплуатации устройства представляли собой серверы кэширования WAN (глобальной сети), которые использовались филиалами для оптимизации пропускной способности Интернета с целью ускорения доступа к общим документам.
По иронии судьбы, у этих устройств была опция шифрования любых сохраненных пакетов данных, которая значительно упростила бы вывод из эксплуатации.
В конце концов, если вы можете показать, что вы включили опцию шифрования и стерли все известные копии ключа дешифрования, то регуляторы защиты данных во многих странах также будут рассматривать зашифрованные данные как стертые.
Данные, которые считаются не поддающимися шифрованию, не более значимы, чем цифровая нашинкованная капуста.
Но Morgan Stanley, по-видимому, не активировал опцию расшифровки, по крайней мере, через год после того, как устройства начали использоваться…
…и шифрование применялось только к новым данным, впоследствии записанным на устройство, а не ко всему, что было там раньше.
Таким образом, все, что Morgan Stanley может «доказать» для 42 устройств, которые все еще где-то там, это то, что каждое устройство почти наверняка содержит по крайней мере какую-то клиентскую PII, которая определенно не зашифрована.
Что делать?
- Вы можете передать на аутсорсинг свою кибербезопасность, но вы не можете передать на аутсорсинг свою ответственность. Убедитесь, что вы соблюдаете правила защиты данных, отслеживая, как ваши подрядчики также соблюдают их. Часть жалобы SEC на Morgan Stanley заключается в том, что должно было быть очевидно, что выбранный ими оператор отклонился от официального плана, и, таким образом, компания могла легко избежать нарушения требований и риска для своих клиентов.
- Полное шифрование устройства может помочь вам соблюдать правила защиты данных. Правильно зашифрованные данные без ключа дешифрования фактически являются просто случайным шумом, поэтому многие регуляторы защиты данных относятся к «неподдающимся шифрованию» дискам так, как если бы они были стерты или вообще не содержали никаких данных. Но вы должны быть в состоянии показать, что вы правильно активировали шифрование в первую очередь, и что любой, кто приобретет диск в будущем, не сможет получить ключ дешифрования.
- Если вы сомневаетесь, идите на уничтожение устройства, а не на его стирание и продажу. Существуют веские экологические причины, по которым нельзя слепо уничтожать и утилизировать каждое выведенное из эксплуатации вычислительное устройство, но от повторного использования старого комплекта снижается отдача. Даже большие устройства могут быть физически «уничтожены», оставляя открытыми для восстановления их металлы, но не их данные. Если вы не можете повторно использовать его с пользой, не утруждайте себя продажей его кому-то еще, кто в конечном итоге может не избавиться от него так же разумно, как вы. Утилизируйте его самостоятельно.
- Неправильно обработанная личная информация может обнаружиться спустя годы после того, как вы ее потеряли. В отличие от садовых отходов в мусорном ведре или старых велосипедов, выброшенных в канал, неуместные устройства хранения данных могут обнаруживаться в идеальном рабочем состоянии со всеми исходными данными нетронутыми в течение многих лет после того, как вы, возможно, предполагали, что они бесследно утеряны или испорчены. ремонт.
Мы не можем удержаться от того, чтобы не закончить рифмой, которую мы часто используем, чтобы предупредить людей о рисках чрезмерного обмена в социальных сетях, потому что она одинаково хорошо применима к данным, хранящимся в самом большом ИТ-отделе.
Если сомневаетесь / Не выдавайте.
НАБЛЮДАЙТЕ, КАК ЛЕТЯТ ИСКРЫ — ДИСКОВЫЙ ШРЕДЕР В ДЕЙСТВИИ
(Часы прямо на YouTube если видео не будет воспроизводиться здесь.)