Web sitesinin başlık etiketinde kendisini "finansal hizmetlerde dünya lideri" olarak gösteren ve ana sayfasının açılış cümlesinde "önce müşteriler gelir" ifadesini kullanan Morgan Stanley para cezasına çarptırıldı. $35,000,000 ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından…
…Müşterilerine ait kişisel olarak tanımlanabilir bilgilerle (PII) yüklü binlerce disk sürücüsü de dahil olmak üzere eski donanım cihazlarını çevrimiçi satmak için.
Bugün, Morgan Stanley Smith Barney LLC'ye karşı, firmanın yaklaşık 15 milyon müşterinin kişisel kimlik bilgilerini koruma konusundaki kapsamlı başarısızlıklarından kaynaklanan suçlamaları duyurduk. MSSB, SEC ücretlerini ödemek için 35 milyon dolar ceza ödemeyi kabul etti.
— ABD Menkul Kıymetler ve Borsa Komisyonu (@SECGov) Eylül 20, 2022
Kesin konuşmak gerekirse, bu bir ceza mahkûmiyeti değildir, bu nedenle ceza teknik olarak bir para cezası değildir, ancak İngiltere'deki araç sahiplerinin artık park cezası almaması, ancak resmi olarak ceza ücreti bildirimleri ödemesi gibi “para cezası değildir”. yerine.
Ayrıca, kesinlikle söylemek gerekirse, Morgan Stanley rahatsız edici cihazları doğrudan satmadı.
Ancak şirket, eski ekipmanı silmesi ve satması için başka biriyle sözleşme yaptı ve ardından düzgün bir şekilde yapıldığından emin olmak için sürece göz kulak olma zahmetine girmedi.
tam hikaye
SEC'in konuyla ilgili resmi belgesi, İdari Takip Dosya Numarası 3-21112, aslında SecOps veya siber güvenlik alanındaki herkes için gerçekten yararlı bir okuma sağlar.
11 sayfada, tamamını okumak çok uzun değil ve anlattığı hikaye büyüleyici, sayısız bükülme ve dönüşleri, taşeronlarda yetkisiz geçişleri, gözetim ve takip eksikliğini ve pervasız kısayolları ortaya koyuyor.
Fazla ekipmanın güvenli bir şekilde elden çıkarılmasıyla ilgili herhangi bir şeyiniz varsa, SEC'in nihai belgesini okuduğunuzdan ve kendi politika ve prosedürlerinizin raporda açıklanan kusurları dikkate aldığından emin olun.
Özellikle, aşağıdakilerle Morgan Stanley'den daha iyi bir iş yaptığınızdan, yapıyor olduğunuzdan ve yapacağınızdan emin olun:
- Ekipman kullanımdan kaldırma ve veri imha politikaları baştan benimsiyorsun.
- Seçtiğin yol eski cihazlar için veri imha yüklenicileriniz.
- İzlediğiniz prosedürler ilerlemeyi takip etmek için.
SEC'in acıklı inatçılık hikayelerinden göreceğiniz gibi (ikinci kelime, SEC'in resmi ve resmi olarak Morgan Stanley için kullandığı kelimedir), eski BT kitinden kurtulurken yanlış gidebilecek çok şey var.
Bununla birlikte, hikayenin ana noktaları SEC'in özetinde basitçe anlatılıyor, yani bir müteahhit aracılığıyla Morgan Stanley:
- Müşteri PII'sini içeren yaklaşık 4,900 bilgi teknolojisi varlığı satıldı, birçoğu yeni sahiplerine ulaştıklarında hala bu PII'ye sahipti.
- İstemci PII'sini içeren hizmet dışı bırakılan 500 ağ önbelleğe alma cihazı en iyi ihtimalle kısmen şifrelenmişti ve bunların 42'sinin iddia edilen “elden çıkarılmasından” sonra açıklanmadı.
Kirli işler ve onlar kir ucuz yapılır
2016 yılına dayanan ilk durumda, Morgan Stanley tarafından seçilen müteahhit, belki de şirketin silme ve satış sürecinin ne kadar sadık bir şekilde takip edildiğini kontrol etmediğini fark ederek, şirkete geçmeye karar vermiş gibi görünüyor. Görünüşe göre "önce sil" bölümünü atlayan ve kullanımdan kaldırılan cihazları doğrudan bir çevrimiçi açık artırma sitesinde satışa çıkaran yeni (ve onaylanmamış) bir taşeron.
Oklahoma'daki biri, muhtemelen kendi BT operasyonları için etkin yedek olarak eski disklerden birkaçını satın aldı ve bunların hâlâ Morgan Stanley müşteri verileriyle dolu olduğunu fark etti.
SEC'e göre, alıcı Morgan Stanley ile temasa geçti ve şunları söyledi: "[siz] büyük bir finans kurumusunuz ve donanımın kullanımdan kaldırılmasıyla nasıl başa çıkılacağı konusunda çok katı yönergeleri izlemelisiniz. Ya da en azından ekipman sattığınız satıcılardan veri imhasının bir tür doğrulamasını almak.”
Morgan Stanley nihayetinde bu sürücüleri geri aldı, ancak bu, başka yerlerde satılan diğer disklerin hiçbiriyle ilgilenmiyordu.
Gerçekten de, SEC, Haziran 14 gibi yakın bir tarihte Morgan Stanley tarafından başka birinden veri lekeli 2021 diskin daha satın alındığını, hala silinmemiş, hala iyi çalıştığını ve hala "en az 140,000 adet müşteri PII'si".
SEC'in alaycı bir şekilde belirttiği gibi, "2016 Veri Merkezi Hizmetten Çıkarma'daki sabit disklerin büyük çoğunluğu kayıp durumda."
Bir şeyi şifrelemiş olabileceğimizden eminiz
İkinci durumda, kullanımdan kaldırılan cihazlar, yaygın belgelere erişimi hızlandırmak amacıyla internet bant genişliğini optimize etmek için şubeler tarafından kullanılan WAN (geniş alan ağı) önbelleğe alma sunucularıydı.
İronik olarak, bu cihazlarda, hizmetten çıkarmayı büyük ölçüde basitleştirecek bir depolanan tüm veri paketlerini şifrele seçeneği vardı.
Sonuçta, şifreleme seçeneğini açtığınızı ve şifre çözme anahtarının bilinen tüm kopyalarını sildiğinizi gösterebilirseniz, birçok ülkedeki veri koruma düzenleyicileri de şifrelenmiş verileri silinmiş olarak ele alacaktır.
Şifresi çözülemez olarak kabul edilen veriler, dijital kıyılmış lahanadan daha anlamlı değildir.
Ama görünüşe göre Morgan Stanley, cihazların kullanıma girmesinden en az bir yıl sonrasına kadar şifre çözme seçeneğini etkinleştirmedi…
…ve şifreleme, daha önce orada olan hiçbir şeye değil, yalnızca daha sonra cihaza yazılan yeni verilere uygulanır.
Dolayısıyla, Morgan Stanley'nin hala dışarıda bir yerlerde bulunan 42 cihaz için "kanıtlayabileceği" tek şey, her cihazın neredeyse kesinlikle en azından kesinlikle şifrelenmemiş bazı istemci PII'leri içerdiğidir.
Ne yapalım?
- Siber güvenliğinizi dışarıdan temin edebilirsiniz, ancak sorumluluğunuzu dışarıdan temin edemezsiniz. Yüklenicilerinizin de bunlara nasıl uyduklarını takip ederek veri koruma düzenlemelerine uyduğunuzdan emin olun. SEC'in Morgan Stanley'e karşı şikayetinin bir kısmı, seçtikleri operatörün resmi plandan saptığının açık olması gerektiği ve böylece şirketin uyumsuz olmaktan ve müşterilerini riske atmaktan kolayca kaçınabileceği yönündeydi.
- Tam cihaz şifrelemesi, veri koruma kurallarına uymanıza yardımcı olabilir. Şifre çözme anahtarı olmadan düzgün bir şekilde karıştırılmış veriler etkin bir şekilde rastgele gürültüdür, bu nedenle birçok veri koruma düzenleyicisi, "şifresi çözülemeyen" diskleri sanki silinmiş veya hiç veri içermemiş gibi ele alır. Ancak, hem şifrelemeyi ilk etapta doğru şekilde etkinleştirdiğinizi hem de gelecekte diski alan herhangi birinin şifre çözme anahtarını alamayacağını gösterebilmeniz gerekir.
- Şüpheniz varsa, silme ve satma için değil, cihazı imha etmeye gidin. Hizmetten kaldırdığınız her bilgi işlem aygıtını körü körüne imha etmemek ve geri dönüştürmemek için sağlam çevresel nedenler vardır, ancak eski kiti yeniden kullanmanın getirileri azalmaktadır. Büyük cihazlar bile fiziksel olarak "parçalanabilir", bu da metallerini kurtarmaya açık bırakır, ancak verilerini değil. Yararlı bir şekilde yeniden kullanamıyorsanız, sonunda sizin kadar sağlıklı bir şekilde elden çıkaramayacak başka birine satma zahmetine girmeyin. Sorumlu bir şekilde kendiniz atın.
- Yanlış kullanılan PII, onu kaybettikten yıllar sonra ortaya çıkabilir. Gübre kutusuna atılan bahçe atıklarının veya kanala atılan eski bisikletlerin aksine, yanlış yerleştirilmiş veri depolama cihazları, tüm orijinal verileri bozulmadan, iz bırakmadan kaybolduklarını veya daha fazla bozulduklarını varsaydığınız yıllar sonra mükemmel çalışır durumda görünebilir. onarım.
İnsanları sosyal medyada aşırı paylaşım riskleri konusunda uyarmak için sıklıkla kullandığımız kafiye ile bitirmeden duramayız, çünkü en büyük BT departmanı tarafından depolanan veriler için de aynı derecede geçerlidir.
Şüpheniz varsa / vermeyin.
KIVILCIMLARIN UÇUŞUNU İZLEYİN – İŞ HALİNDE BİR DİSK ÖĞÜCÜSÜ
(İzlemek doğrudan YouTube'da video burada oynatılmazsa.)