Morgan Stanley, яка в тегу заголовка веб-сайту називає себе «світовим лідером у сфері фінансових послуг» і заявляє у першому реченні головної сторінки, що «клієнти на першому місці», була оштрафована. $35,000,000 Комісія з цінних паперів і бірж США (SEC)…
…для продажу старих апаратних пристроїв в Інтернеті, включаючи тисячі дисків, які все ще були завантажені особистою інформацією (PII), що належала його клієнтам.
Сьогодні ми оголосили про висунення звинувачень проти Morgan Stanley Smith Barney LLC у зв’язку з значними порушеннями захисту особистої інформації приблизно 15 мільйонів клієнтів. MSSB погодився сплатити штраф у розмірі 35 мільйонів доларів, щоб погасити звинувачення SEC.
— Комісія з цінних паперів і бірж США (@SECGov) Вересень 20, 2022
Власне кажучи, це не кримінальне засудження, тому технічно покарання не є штрафом, але це «не штраф» приблизно так само, як власники автомобілів в Англії більше не отримують штрафи за паркування, але офіційно сплачують повідомлення про штрафи замість цього.
Крім того, строго кажучи, Morgan Stanley безпосередньо не продавав пристрої, що порушують правила.
Але компанія найняла когось іншого, щоб виконати роботу зі знищення та продажу вистарілого обладнання, а потім не потрудилася стежити за процесом, щоб переконатися, що він виконаний належним чином.
Повна історія
Офіційний документ SEC з цього приводу, Адміністративне провадження № 3-21112, насправді є справді корисним матеріалом для тих, хто займається SecOps або кібербезпекою.
На 11 сторінках це не надто довго, щоб прочитати повністю, і історія, яку вона розповідає, є захоплюючою, розкриваючи численні повороти, несанкціоновані перемикання субпідрядників, відсутність нагляду та подальших дій, а також необдумані ярлики.
Якщо ви маєте якесь відношення до безпечної утилізації зайвого обладнання, обов’язково прочитайте остаточний документ SEC і переконайтеся, що ваші власні політики та процедури враховують недоліки, описані у звіті.
Зокрема, переконайтеся, що ви робили, робите та виконуватимете краще, ніж Morgan Stanley, з:
- Політика виведення обладнання з експлуатації та знищення даних ви приймаєте спереду.
- Як ви виберете ваші підрядники зі знищення даних для старих пристроїв.
- Процедури, яких ви дотримуєтесь стежити за прогресом.
Як ви побачите з розповідей SEC про жалюгідну свавілля (друге слово — це слово, яке SEC офіційно та формально використовує щодо Morgan Stanley), є дуже багато, що може піти не так, коли ви позбудетеся старого ІТ-набору.
Тим не менш, основні моменти історії просто викладені в резюме SEC, а саме, що Morgan Stanley через підрядника:
- Продано приблизно 4,900 ресурсів інформаційних технологій, що містять ідентифікаційну інформацію клієнта, багато з яких все ще мали цю ідентифікаційну інформацію, коли вони дісталися новим власникам.
- Виведено з експлуатації 500 пристроїв мережевого кешування, що містять ідентифікаційну інформацію клієнта які були в кращому випадку частково зашифрованими, з яких 42 зникли безвісти після їх нібито «утилізації».
Брудні справи, і вони робляться недорого
У першому випадку, датованому 2016 роком, видається, що підрядник, обраний Morgan Stanley, можливо, розуміючи, що компанія не перевіряє, наскільки сумлінно дотримується процес видалення та продажу, вирішив перейти до новий (і не схвалений) субпідрядник, який, очевидно, пропустив частину «спочатку витріть» і безпосередньо виставив зняті з експлуатації пристрої на продаж на онлайн-аукціоні.
Хтось в Оклахомі купив кілька старих дисків, мабуть, як гарячі запасні частини для власної ІТ-операції, і зрозумів, що вони все ще заповнені клієнтськими даними Morgan Stanley.
Згідно з SEC, покупець зв’язався з Morgan Stanley і сказав: «Ви є великою фінансовою установою і маєте дотримуватися деяких дуже суворих вказівок щодо того, як поводитися з апаратним забезпеченням, яке виходить з експлуатації. Або принаймні отримати певну перевірку знищення даних від постачальників, яким ви продаєте обладнання».
Зрештою Morgan Stanley викупив ці диски, але це не стосувалося інших дисків, які були продані деінде.
Дійсно, SEC зазначає, що ще 14 дисків зі спотвореними даними були викуплені у когось іншого компанією Morgan Stanley нещодавно в червні 2021 року, вони все ще не стерті, все ще працюють нормально та все ще містять «щонайменше 140,000 XNUMX ідентифікаційних даних клієнтів».
Як криво зазначає SEC, «Переважна більшість жорстких дисків після виведення з експлуатації центру обробки даних у 2016 році залишається зниклою».
Ми впевнені, що могли щось зашифрувати
У другому випадку виведені з експлуатації пристрої були кеш-серверами WAN (глобальної мережі), які використовувалися філіями для оптимізації пропускної здатності Інтернету з метою прискорення доступу до звичайних документів.
За іронією долі, ці пристрої мали опцію шифрування будь-яких збережених пакетів даних, яка значно спростила б виведення з експлуатації.
Зрештою, якщо ви можете показати, що ви ввімкнули опцію шифрування та що ви стерли всі відомі копії ключа розшифровки, тоді регулятори захисту даних у багатьох країнах також вважатимуть зашифровані дані стертими.
Дані, які вважаються такими, що не підлягають розшифровці, є не більш значущими, ніж цифрова подрібнена капуста.
Але Morgan Stanley, очевидно, не активував опцію дешифрування принаймні через рік після того, як пристрої почали використовувати…
… і шифрування застосовувалося лише до нових даних, згодом записаних на пристрій, а не до того, що було там раніше.
Тому все, що Morgan Stanley може «довести» для 42 пристроїв, які все ще десь там, це те, що кожен пристрій майже напевно містить принаймні деяку ідентифікаційну інформацію клієнта, яка точно не зашифрована.
Що ж робити?
- Ви можете передати свою кібербезпеку аутсорсингу, але не можете передати свою відповідальність. Переконайтеся, що ви дотримуєтеся правил захисту даних, відстежуючи, як ваші підрядники також дотримуються їх. Частина претензії SEC проти Morgan Stanley полягає в тому, що мало бути очевидно, що обраний ними оператор відхилився від офіційного плану, і, таким чином, компанія могла легко уникнути порушення вимог і ризику для своїх клієнтів.
- Повне шифрування пристрою може допомогти вам дотримуватися правил захисту даних. Правильно зашифровані дані без ключа розшифровки фактично є просто випадковим шумом, тому багато регуляторів із захисту даних розглядають «нерозшифровані» диски так, ніби вони були стерті або взагалі не містили жодних даних. Але ви повинні мати можливість показати як те, що ви спочатку правильно активували шифрування, так і те, що будь-хто, хто придбає диск у майбутньому, не зможе отримати ключ розшифровки.
- Якщо ви сумніваєтеся, знищуйте пристрій, а не видаляйте та продавайте його. Існують вагомі екологічні причини не знищувати наосліп і не переробляти кожен комп’ютерний пристрій, який ви вилучили з експлуатації, але віддача від повторного використання старого комплекту зменшується. Навіть великі пристрої можна фізично «подрібнити», залишаючи доступними для відновлення їхні метали, але не їхні дані. Якщо ви не можете повторно використати його з користю, не соромтеся продати його комусь іншому, хто в кінцевому підсумку може не розпорядитися ним так само надійно, як ви. Утилізуйте його відповідально.
- Неправильно оброблена ідентифікаційна інформація може з’явитися через роки після її втрати. На відміну від садового сміття в компостному баку чи старих велосипедів, викинутих у канал, недоречні пристрої для зберігання даних можуть з’являтися в ідеальному робочому стані, з усіма оригінальними даними в недоторканості, протягом багатьох років після того, як ви могли припустити, що вони були втрачені безслідно або втратили свої властивості. ремонт.
Ми не можемо втриматися від того, щоб закінчити римою, яку ми часто використовуємо, щоб попередити людей про ризики надмірного поширення інформації в соціальних мережах, оскільки вона однаково добре стосується даних, які зберігаються найбільшим ІТ-відділом.
Якщо сумніваєтеся / Не віддавайте.
ДИВІТЬСЯ, ЩО ІСКРИ ЛІТАЮТЬ – ПОДРОБНЮВАЧ ДИСКІВ У ДІЇ
(Дивитися безпосередньо на YouTube якщо відео тут не відтворюється.)