Morgan Stanley, tự ghi mình trong thẻ tiêu đề trang web của mình là "công ty dẫn đầu toàn cầu về dịch vụ tài chính" và tuyên bố trong câu mở đầu trang chính của mình rằng "khách hàng đến trước", đã bị phạt $35,000,000 bởi Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC)…
… Để bán trực tuyến các thiết bị phần cứng cũ, bao gồm hàng nghìn ổ đĩa, vẫn được tải với thông tin nhận dạng cá nhân (PII) thuộc về khách hàng của mình.
Hôm nay, chúng tôi đã công bố các cáo buộc chống lại Morgan Stanley Smith Barney LLC xuất phát từ những thất bại sâu rộng của công ty trong việc bảo vệ thông tin nhận dạng cá nhân của khoảng 15 triệu khách hàng. MSSB đã đồng ý trả khoản phạt 35 triệu đô la để giải quyết các khoản phí của SEC.
- Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (@SECGov) Ngày 20 tháng 2022 năm XNUMX
Nói một cách chính xác, đó không phải là một bản án hình sự, vì vậy về mặt kỹ thuật, hình phạt không phải là tiền phạt, nhưng nó “không phải là tiền phạt” giống như cách mà chủ sở hữu ô tô ở Anh không còn bị phạt khi đậu xe nữa, mà chính thức trả tiền phạt. thay vì.
Ngoài ra, nói một cách chính xác, Morgan Stanley không trực tiếp bán đi các thiết bị vi phạm.
Nhưng công ty đã ký hợp đồng với người khác để làm công việc xóa và bán thiết bị được cấp phép, và sau đó không thèm để mắt đến quy trình để đảm bảo rằng nó được thực hiện đúng cách.
Toàn bộ câu chuyện
Tài liệu chính thức của SEC về vấn đề này, Số hồ sơ tố tụng hành chính 3-21112, thực sự làm cho việc đọc thực sự hữu ích cho bất kỳ ai trong SecOps hoặc an ninh mạng.
Dài 11 trang, không quá dài để đọc hết, và câu chuyện nó kể là một câu chuyện hấp dẫn, tiết lộ nhiều khúc mắc, sự tắc trách trái phép trong các nhà thầu phụ, thiếu sự giám sát và theo dõi, và những lối tắt thiếu thận trọng.
Nếu bạn có bất cứ điều gì liên quan đến việc xử lý an toàn thiết bị dư thừa, hãy nhớ đọc tài liệu cuối cùng của SEC và đảm bảo rằng các chính sách và thủ tục của riêng bạn có tính đến các lỗi được mô tả trong báo cáo.
Đáng chú ý, hãy đảm bảo rằng bạn đã làm, đang làm và sẽ hoàn thành công việc tốt hơn Morgan Stanley với:
- Chính sách ngừng hoạt động thiết bị và hủy dữ liệu bạn áp dụng lên phía trước.
- Cách bạn chọn các nhà thầu phá hủy dữ liệu của bạn cho các thiết bị cũ.
- Các thủ tục bạn làm theo để tiếp tục tiến trình các tab.
Như bạn sẽ thấy từ những câu chuyện về sự héo hon tồi tệ của SEC (từ thứ hai là từ mà SEC sử dụng chính thức và chính thức đối với Morgan Stanley), có rất nhiều điều tồi tệ có thể xảy ra khi bạn loại bỏ bộ công cụ CNTT cũ.
Tuy nhiên, những điểm chính của câu chuyện chỉ được kể trong bản tóm tắt của SEC, cụ thể là Morgan Stanley, thông qua một nhà thầu:
- Đã bán khoảng 4,900 tài sản công nghệ thông tin có chứa PII của khách hàng, nhiều người trong số đó vẫn có PII đó khi họ đến tay chủ sở hữu mới.
- Đã ngừng hoạt động 500 thiết bị bộ nhớ đệm mạng có chứa PII của khách hàng tốt nhất đã được mã hóa một phần, trong đó 42 chiếc không được tính sau khi chúng bị cáo buộc “vứt bỏ”.
Những hành động bẩn thỉu và chúng được thực hiện một cách rẻ mạt
Trong trường hợp đầu tiên, có từ năm 2016, có vẻ như nhà thầu do Morgan Stanley chọn, có lẽ nhận ra rằng công ty đã không kiểm tra mức độ trung thực của quy trình xóa và bán hàng, đã quyết định chuyển sang một nhà thầu phụ mới (và chưa được phê duyệt) dường như đã bỏ qua phần “xóa sạch trước” và trực tiếp đưa các thiết bị đã ngừng hoạt động lên bán trên một trang web đấu giá trực tuyến.
Một người nào đó ở Oklahoma đã mua một vài ổ đĩa cũ, có lẽ là đồ dự phòng cho hoạt động CNTT của riêng họ, và nhận ra rằng chúng vẫn còn đầy dữ liệu khách hàng của Morgan Stanley.
Theo SEC, người mua đã liên hệ với Morgan Stanley và nói, “[Y] ou là một tổ chức tài chính lớn và phải tuân theo một số hướng dẫn rất nghiêm ngặt về cách xử lý phần cứng sắp ngừng hoạt động. Hoặc ít nhất là nhận được một số loại xác minh về việc phá hủy dữ liệu từ các nhà cung cấp mà bạn bán thiết bị ”.
Morgan Stanley cuối cùng đã mua lại những ổ đĩa đó, nhưng điều đó không giải quyết được bất kỳ ổ đĩa nào khác đã được bán ở nơi khác.
Thật vậy, SEC lưu ý rằng 14 đĩa nhiễm độc dữ liệu khác đã được Morgan Stanley mua lại từ người khác vào tháng 2021 năm XNUMX, vẫn chưa được sử dụng, vẫn hoạt động tốt và vẫn chứa "Ít nhất 140,000 mẩu PII của khách hàng".
Như SEC dí dỏm lưu ý, “Phần lớn ổ cứng từ việc ngừng hoạt động của Trung tâm dữ liệu năm 2016 vẫn bị thiếu.”
Chúng tôi chắc chắn rằng chúng tôi có thể đã mã hóa thứ gì đó
Trong trường hợp thứ hai, các thiết bị ngừng hoạt động là các máy chủ lưu trữ WAN (mạng diện rộng) được các văn phòng chi nhánh sử dụng để tối ưu hóa băng thông internet nhằm tăng tốc độ truy cập vào các tài liệu thông thường.
Trớ trêu thay, các thiết bị này có tùy chọn mã hóa-bất kỳ-gói dữ liệu được lưu trữ-nào mà sẽ đơn giản hoá việc ngừng hoạt động rất nhiều.
Sau cùng, nếu bạn có thể cho thấy rằng bạn đã bật tùy chọn mã hóa và bạn đã xóa tất cả các bản sao đã biết của khóa giải mã, thì các cơ quan quản lý bảo vệ dữ liệu ở nhiều quốc gia cũng sẽ coi dữ liệu được mã hóa là đã bị xóa.
Dữ liệu được coi là không thể giải mã không có ý nghĩa hơn bắp cải cắt nhỏ kỹ thuật số.
Nhưng Morgan Stanley rõ ràng đã không kích hoạt tùy chọn giải mã cho đến ít nhất một năm sau khi thiết bị được đưa vào sử dụng…
… Và mã hóa chỉ áp dụng cho dữ liệu mới sau đó được ghi vào thiết bị, không áp dụng cho bất kỳ dữ liệu nào đã có trước đó.
Vì vậy, tất cả những gì Morgan Stanley có thể “chứng minh”, đối với 42 thiết bị vẫn còn ở đâu đó, là mỗi thiết bị gần như chắc chắn chứa ít nhất một số PII của khách hàng chắc chắn không được mã hóa.
Phải làm gì?
- Bạn có thể thuê ngoài an ninh mạng của mình, nhưng bạn không thể thuê ngoài trách nhiệm của mình. Đảm bảo rằng bạn tuân thủ các quy định bảo vệ dữ liệu bằng cách theo dõi cách các nhà thầu của bạn cũng đang tuân thủ các quy định đó. Một phần trong đơn khiếu nại của SEC đối với Morgan Stanley là lẽ ra phải rõ ràng rằng nhà điều hành mà họ lựa chọn đã đi chệch khỏi kế hoạch chính thức, và do đó, công ty có thể dễ dàng tránh trở nên không tuân thủ và khiến khách hàng của họ gặp rủi ro.
- Mã hóa toàn bộ thiết bị có thể giúp bạn tuân thủ các quy tắc bảo vệ dữ liệu. Dữ liệu được xáo trộn đúng cách mà không có khóa giải mã thực chất chỉ là nhiễu ngẫu nhiên, vì vậy nhiều cơ quan quản lý bảo vệ dữ liệu coi các đĩa “không thể giải mã” như thể chúng đã bị xóa hoặc không bao giờ chứa bất kỳ dữ liệu nào. Nhưng bạn cần phải chứng minh được rằng bạn đã kích hoạt mã hóa chính xác ngay từ đầu và bất kỳ ai có được đĩa trong tương lai sẽ không thể lấy được khóa giải mã.
- Nếu nghi ngờ, hãy tiêu hủy thiết bị, không phải để xóa và bán. Có những lý do hợp lý về môi trường để không hủy hoại và tái chế một cách mù quáng mọi thiết bị máy tính mà bạn ngừng sử dụng, nhưng lợi nhuận thu được sẽ giảm dần từ việc sử dụng lại bộ dụng cụ cũ. Ngay cả các thiết bị lớn cũng có thể bị "cắt nhỏ" về mặt vật lý, khiến kim loại của chúng có thể phục hồi chứ không phải dữ liệu của chúng. Nếu bạn không thể sử dụng lại nó một cách hữu ích, đừng bận tâm bán nó cho người khác, người cuối cùng có thể không xử lý nó một cách lành mạnh như bạn. Tự mình vứt bỏ nó một cách có trách nhiệm.
- PII bị xử lý sai có thể hiển thị nhiều năm sau khi bạn làm mất nó. Không giống như rác vườn trong thùng ủ hoặc xe đạp cũ vứt trong kênh, các thiết bị lưu trữ dữ liệu bị thất lạc có thể hiển thị trong tình trạng hoạt động hoàn hảo, với tất cả dữ liệu ban đầu của chúng còn nguyên vẹn, trong nhiều năm sau khi bạn có thể cho rằng chúng đã bị mất mà không có dấu vết hoặc bị suy thoái. sửa.
Chúng ta không thể cưỡng lại việc kết thúc bằng vần điệu mà chúng ta thường sử dụng để cảnh báo mọi người về rủi ro của việc chia sẻ quá mức trên mạng xã hội, bởi vì nó áp dụng tốt cho dữ liệu được lưu trữ bởi bộ phận CNTT lớn nhất.
Nếu nghi ngờ / Đừng đưa ra.
XEM SPARKS FLY - MỘT TẤM CẮT ĐĨA TRONG HÀNH ĐỘNG
(Đồng hồ đeo tay trực tiếp trên YouTube nếu video không phát ở đây.)