มอร์แกน สแตนลีย์ ซึ่งเรียกเก็บเงินในแท็กชื่อเว็บไซต์ว่าเป็น "ผู้นำระดับโลกด้านบริการทางการเงิน" และระบุในประโยคเปิดของหน้าหลักว่า "ลูกค้ามาก่อน" ถูกปรับ $35,000,000 โดยสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐ (ก.ล.ต.)…
…สำหรับการขายอุปกรณ์ฮาร์ดแวร์เก่าทางออนไลน์ รวมถึงดิสก์ไดรฟ์หลายพันตัว ที่ยังคงเต็มไปด้วยข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ที่เป็นของลูกค้า
วันนี้ เราได้ประกาศข้อกล่าวหากับ Morgan Stanley Smith Barney LLC อันเนื่องมาจากความล้มเหลวอย่างกว้างขวางของบริษัทในการปกป้องข้อมูลระบุตัวบุคคลของลูกค้าประมาณ 15 ล้านราย MSSB ได้ตกลงที่จะจ่ายค่าปรับ 35 ล้านดอลลาร์เพื่อชำระค่าใช้จ่ายของ SEC
— สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (@SECGov) September 20, 2022
พูดอย่างเคร่งครัด มันไม่ใช่โทษทางอาญา ดังนั้นบทลงโทษจึงไม่ใช่การปรับในทางเทคนิค แต่ก็ "ไม่ปรับ" ในลักษณะเดียวกับที่เจ้าของรถในอังกฤษไม่ได้รับค่าปรับที่จอดรถอีกต่อไป แต่จะมีการแจ้งค่าปรับอย่างเป็นทางการ แทนที่.
พูดอย่างเคร่งครัด Morgan Stanley ไม่ได้ขายอุปกรณ์ที่ละเมิดโดยตรง
แต่บริษัทว่าจ้างคนอื่นให้ทำงานกวาดล้างและขายอุปกรณ์ที่เกษียณอายุแล้ว และจากนั้นก็ไม่สนใจที่จะคอยจับตาดูกระบวนการเพื่อให้แน่ใจว่าได้ดำเนินการอย่างถูกต้อง
เต็มเรื่อง
เอกสารอย่างเป็นทางการของ ก.ล.ต. ในเรื่อง ไฟล์การดำเนินการบริหาร 3-21112ทำให้การอ่านมีประโยชน์จริง ๆ สำหรับทุกคนใน SecOps หรือความปลอดภัยทางไซเบอร์
ที่ 11 หน้า อ่านแบบเต็มได้ไม่นานนัก และเรื่องราวที่เล่าก็น่าสนใจ โดยเผยให้เห็นจุดพลิกผันมากมาย สวิตช์ที่ไม่ได้รับอนุญาตในผู้รับเหมาช่วง ขาดการกำกับดูแลและติดตามผล และทางลัดที่ประมาท
หากคุณมีส่วนเกี่ยวข้องกับการทิ้งอุปกรณ์สำรองอย่างปลอดภัย โปรดอ่านเอกสารขั้นสุดท้ายของ ก.ล.ต. และตรวจสอบให้แน่ใจว่านโยบายและขั้นตอนของคุณเองคำนึงถึงความล้มเหลวที่อธิบายไว้ในรายงาน
โดยเฉพาะอย่างยิ่ง ให้แน่ใจว่าคุณได้ทำ กำลังทำ และจะทำงานได้ดีกว่ามอร์แกน สแตนลีย์ด้วย:
- นโยบายการเลิกใช้อุปกรณ์และการทำลายข้อมูล คุณนำมาใช้ล่วงหน้า
- ในแบบที่คุณเลือก ผู้รับเหมาทำลายข้อมูลของคุณสำหรับอุปกรณ์เก่า
- ขั้นตอนที่คุณปฏิบัติตาม เพื่อติดตามความคืบหน้า
ดังที่คุณจะได้เห็นจากเรื่องราวความโลภอันเลวร้ายของ SEC (คำที่สองคือคำที่ SEC ใช้อย่างเป็นทางการและเป็นทางการในแง่ของมอร์แกน สแตนลีย์) มีสิ่งเลวร้ายมากมายที่อาจผิดพลาดได้เมื่อคุณกำจัดชุดอุปกรณ์ไอทีเก่า
อย่างไรก็ตาม ประเด็นหลักของเรื่องนี้ได้รับการบอกเล่าอย่างเรียบง่ายในบทสรุปของ SEC กล่าวคือ มอร์แกน สแตนลีย์ ผ่านผู้รับเหมา:
- ขายสินทรัพย์เทคโนโลยีสารสนเทศประมาณ 4,900 รายการที่มีลูกค้า PIIซึ่งหลายแห่งยังคงมี PII นั้นอยู่เมื่อพวกเขาไปถึงเจ้าของใหม่
- เลิกใช้อุปกรณ์แคชเครือข่าย 500 เครื่องที่มีไคลเอ็นต์ PII ที่เข้ารหัสบางส่วนได้ดีที่สุด โดย 42 รายการไม่ได้ถูกนับหลังจากถูกกล่าวหาว่า "ทิ้ง"
กรรมชั่ว กรรมชั่ว กรรมชั่วถูก
ในกรณีแรก ย้อนหลังไปถึงปี 2016 ดูเหมือนว่าผู้รับเหมาที่มอร์แกน สแตนลีย์เลือก บางทีอาจตระหนักว่าบริษัทไม่ได้ตรวจสอบความถูกต้องของกระบวนการล้าง-ขาย-บน ตัดสินใจเปลี่ยนมาใช้ ผู้รับเหมาช่วงรายใหม่ (และไม่ได้รับอนุมัติ) ซึ่งเห็นได้ชัดว่าข้ามส่วน "ล้างข้อมูลก่อน" และนำอุปกรณ์ที่เลิกใช้แล้วไปขายบนเว็บไซต์ประมูลออนไลน์โดยตรง
ใครบางคนในโอคลาโฮมาซื้อไดรฟ์เก่าสองสามตัว ซึ่งน่าจะเป็นไดรฟ์สำรองสำหรับการดำเนินงานด้านไอทีของตนเอง และตระหนักว่าไดรฟ์เหล่านั้นยังเต็มไปด้วยข้อมูลลูกค้าของ Morgan Stanley
ตามที่สำนักงาน ก.ล.ต. ผู้ซื้อติดต่อมอร์แกนสแตนลีย์และกล่าวว่า “[คุณ]คุณเป็นสถาบันการเงินรายใหญ่และควรปฏิบัติตามแนวทางที่เข้มงวดมากเกี่ยวกับวิธีการจัดการกับฮาร์ดแวร์ที่เลิกใช้งาน หรืออย่างน้อยที่สุดก็จะได้รับการตรวจสอบการทำลายข้อมูลจากผู้ขายที่คุณขายอุปกรณ์ให้”
มอร์แกนสแตนลีย์ซื้อไดรฟ์เหล่านั้นคืนในที่สุด แต่นั่นไม่ได้เกี่ยวข้องกับดิสก์อื่น ๆ ที่ขายในที่อื่น
อันที่จริง ก.ล.ต. ตั้งข้อสังเกตว่ามอร์แกนสแตนลีย์ซื้อดิสก์ที่มีข้อมูลอีก 14 แผ่นคืนจากคนอื่นเมื่อเร็ว ๆ นี้ในเดือนมิถุนายน 2021 ยังไม่ได้เช็ด ยังทำงานได้ดีและยังคงมี “ลูกค้า PII อย่างน้อย 140,000 ชิ้น”.
ตามที่ ก.ล.ต. ตั้งข้อสังเกตไว้ “ฮาร์ดไดรฟ์ส่วนใหญ่จากการรื้อถอนศูนย์ข้อมูลปี 2016 ยังคงหายไป”
เรามั่นใจว่าเราอาจเข้ารหัสอะไรบางอย่าง
ในกรณีที่สอง อุปกรณ์ที่เลิกใช้แล้วคือเซิร์ฟเวอร์แคช WAN (เครือข่ายบริเวณกว้าง) ที่ใช้โดยสำนักงานสาขาเพื่อเพิ่มประสิทธิภาพแบนด์วิดท์อินเทอร์เน็ตเพื่อเร่งการเข้าถึงเอกสารทั่วไป
น่าแปลกที่อุปกรณ์เหล่านี้มีตัวเลือกแพ็คเก็ตเข้ารหัสข้อมูลใด ๆ ที่จัดเก็บไว้ซึ่งจะทำให้การเลิกใช้งานง่ายขึ้นอย่างมาก
อย่างไรก็ตาม หากคุณสามารถแสดงให้เห็นว่าคุณเปิดตัวเลือกการเข้ารหัส และคุณลบสำเนาที่ทราบทั้งหมดของคีย์ถอดรหัสแล้ว หน่วยงานกำกับดูแลด้านการปกป้องข้อมูลในหลายประเทศจะถือว่าข้อมูลที่เข้ารหัสนั้นถูกล้างด้วยเช่นกัน
ข้อมูลที่ถือว่าถอดรหัสไม่ได้มีความหมายมากไปกว่ากะหล่ำปลีหั่นฝอยดิจิทัล
แต่เห็นได้ชัดว่า Morgan Stanley ไม่ได้เปิดใช้งานตัวเลือกการถอดรหัสจนกระทั่งอย่างน้อยหนึ่งปีหลังจากที่อุปกรณ์ถูกใช้งาน...
…และการเข้ารหัสจะใช้กับข้อมูลใหม่ที่เขียนไปยังอุปกรณ์ในเวลาต่อมาเท่านั้น ไม่ใช่กับสิ่งที่เคยมีมาก่อน
ทั้งหมดที่ Morgan Stanley สามารถ "พิสูจน์" ได้ สำหรับอุปกรณ์ 42 เครื่องที่ยังคงมีอยู่ที่ไหนสักแห่ง ก็คืออุปกรณ์แต่ละเครื่องเกือบจะมีไคลเอ็นต์ PII อย่างน้อยบางตัวที่ไม่ได้เข้ารหัสอย่างแน่นอน
จะทำอย่างไร?
- คุณสามารถจ้างการรักษาความปลอดภัยทางไซเบอร์จากภายนอกได้ แต่คุณไม่สามารถจ้างผู้รับผิดชอบภายนอกได้ ตรวจสอบให้แน่ใจว่าคุณปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูลโดยการติดตามว่าผู้รับเหมาของคุณปฏิบัติตามพวกเขาอย่างไร ส่วนหนึ่งของข้อร้องเรียนของสำนักงาน ก.ล.ต. ที่มีต่อมอร์แกน สแตนลีย์ก็คือ เห็นได้ชัดว่าผู้ดำเนินการที่เลือกได้เบี่ยงเบนไปจากแผนอย่างเป็นทางการ และด้วยเหตุนี้บริษัทจึงสามารถหลีกเลี่ยงการไม่ปฏิบัติตามข้อกำหนดและทำให้ลูกค้าตกอยู่ในความเสี่ยงได้อย่างง่ายดาย
- การเข้ารหัสอุปกรณ์เต็มรูปแบบสามารถช่วยให้คุณปฏิบัติตามกฎการปกป้องข้อมูล ข้อมูลที่เข้ารหัสอย่างเหมาะสมโดยไม่มีคีย์ถอดรหัสนั้นเป็นเพียงสัญญาณรบกวนแบบสุ่ม หน่วยงานกำกับดูแลการปกป้องข้อมูลจำนวนมากจึงปฏิบัติต่อดิสก์ที่ "ไม่สามารถเข้ารหัสได้" ราวกับว่าพวกเขาถูกล้างข้อมูลหรือไม่เคยมีข้อมูลเลย แต่คุณต้องสามารถแสดงได้ทั้งว่าคุณเปิดใช้งานการเข้ารหัสอย่างถูกต้องตั้งแต่แรก และใครก็ตามที่ได้รับดิสก์ในอนาคตจะไม่สามารถรับคีย์ถอดรหัสได้
- หากมีข้อสงสัย ให้ไปที่การทำลายอุปกรณ์ ไม่ใช่เพื่อการล้างและขาย มีเหตุผลทางสิ่งแวดล้อมที่ดีที่จะไม่ทำลายและรีไซเคิลอุปกรณ์คอมพิวเตอร์ทุกเครื่องที่คุณเลิกใช้โดยไม่ได้ตั้งใจ แต่มีผลตอบแทนที่ลดลงจากการนำชุดอุปกรณ์เก่ากลับมาใช้ใหม่ แม้แต่อุปกรณ์ขนาดใหญ่ก็สามารถ "ทำลาย" ได้ทางกายภาพ โดยปล่อยให้โลหะของพวกเขาเปิดการกู้คืน แต่ไม่ใช่ข้อมูล หากคุณใช้ซ้ำไม่ได้อย่างเป็นประโยชน์ ก็อย่ากังวลที่จะขายให้คนอื่นที่อาจไม่ได้กำจัดทิ้งอย่างคุณ กำจัดมันด้วยความรับผิดชอบด้วยตัวคุณเอง
- PII ที่ผิดพลาดอาจปรากฏขึ้นมาหลายปีหลังจากที่คุณทำหาย ต่างจากขยะในสวนในถังปุ๋ยหมักหรือจักรยานเก่าๆ ที่ถูกทิ้งในคลอง อุปกรณ์จัดเก็บข้อมูลที่ใส่ผิดที่สามารถแสดงออกมาในสภาพการทำงานที่สมบูรณ์แบบ โดยที่ข้อมูลเดิมทั้งหมดไม่เสียหาย หลายปีหลังจากที่คุณสันนิษฐานว่าอุปกรณ์เหล่านั้นสูญหายไปอย่างไร้ร่องรอย หรือเสื่อมโทรมไปไกลกว่านั้น ซ่อมแซม.
เราไม่สามารถต้านทานการลงท้ายด้วยคำคล้องจองที่เรามักใช้เพื่อเตือนผู้คนเกี่ยวกับความเสี่ยงของการแชร์มากเกินไปบนโซเชียลมีเดีย เพราะมันใช้ได้ดีพอๆ กันกับข้อมูลที่จัดเก็บโดยแผนกไอทีที่ใหญ่ที่สุด
หากมีข้อสงสัย / อย่าให้ออก
ดู SPARKS FLY – เครื่องทำลายดิสก์ในการดำเนินการ
(ดู โดยตรงบน YouTube หากวิดีโอไม่เล่นที่นี่)