Morgan Stanley оштрафовали на 35 миллионов долларов за продажу с аукциона незашифрованных и нестертых жестких дисков
Morgan Stanley оштрафовали на 35 миллионов долларов за продажу с аукциона незашифрованных и нестертых жестких дисков
Развернуть
Гетти Изображений
Morgan Stanley во вторник согласился выплатить Комиссии по ценным бумагам и биржам (SEC) штраф в размере 35 миллионов долларов за нарушение безопасности данных, включая перепродажу незашифрованных жестких дисков из выведенных из эксплуатации центров обработки данных на аукционных площадках без предварительного удаления.
Комиссии по ценным бумагам и биржам заявила, что неправильная утилизация тысяч жестких дисков, начавшаяся в 2016 году, была частью "распространенного сбоя" в течение пятилетнего периода в отношении защиты данных клиентов, например, в соответствии с требованиями федерального законодательства. Агентство заявило, что к числу сбоев также относится неправильная утилизация жестких дисков и резервных лент при демонтаже серверов в местных филиалах. В целом, по данным SEC, были раскрыты данные 15 миллионов клиентов.
«Удивительные неудачи»
«Провалы MSSB в этом деле поразительны», — сказал Гурбир С. Гревал, директор отдела правоприменения Комиссии по ценным бумагам и биржам США, используя инициалы Morgan Stanley Smith Barney, полное название компании. «Клиенты доверяют свою личную информацию профессионалам в области финансов, понимая и ожидая, что она будет защищена, а MSSB, к сожалению, не сделала этого».
Большая часть неудач связана с тем, что в 2016 году была нанята компания по удалению данных, не имеющая опыта и знаний в области услуг по уничтожению данных, для вывода из эксплуатации тысяч жестких дисков и серверов, содержащих данные миллионов клиентов. Компания, занимающаяся переездом, получила 53 массива RAID, которые в совокупности содержали около 1000 жестких дисков, а также удалила около 8000 резервных лент из одного из центров обработки данных Morgan Stanley.
Компания по анонимному удалению сначала наняла компьютерного специалиста, чтобы стереть или уничтожить все конфиденциальные данные, хранящиеся на дисках. В конце концов транспортная компания прекратила сотрудничество с этим специалистом и начала продавать накопители компании, которая, в свою очередь, продавала их с аукциона. Новая компания никогда не рассматривалась Morgan Stanley и не утверждалась в качестве подрядчика или субподрядчика в проекте вывода из эксплуатации.
В 2017 году, более чем через год после демонтажа центра обработки данных, представители Morgan Stanley получили электронное письмо от ИТ-консультанта из Оклахомы, в котором сообщалось, что жесткие диски, которые он купил на онлайн-аукционе, содержат данные Morgan Stanley.< /p>
В жалобе должностные лица SEC написали: «В этом электронном письме консультант сообщил MSSB, что «[вы] являетесь крупным финансовым учреждением и должны следовать очень строгим правилам в отношении того, как обращаться с удаленными материалами». Или, по крайней мере, получите подтверждение уничтожения данных от поставщиков, которым вы продаете оборудование. В конце концов MSSB выкупила жесткие диски, находившиеся во владении консультанта.
Действие SEC также показало, что на многих устройствах хранения не было включено шифрование, хотя такая возможность существовала. Даже после того, как инвестиционная компания начала использовать варианты шифрования в 2018 году, были защищены только новые данные, записанные на диски. В некоторых случаях данные по-прежнему не шифровались должным образом из-за недостатка продукта неизвестного поставщика.
Не признавая и не опровергая обвинения SEC, Morgan Stanley принял вывод, сделанный во вторник, о нарушении правил резервного копирования и утилизации в соответствии с Положением S-P, и согласился выплатить штраф в размере 35 млн долларов США.
В заявлении представители Morgan Stanley написали: "Мы рады разрешить этот вопрос. Мы уже уведомили затронутых клиентов об этих проблемах, которые произошли несколько лет назад, и мы не обнаружили несанкционированного доступа или неправомерного использования данных клиентов". личная информация."
Morgan Stanley во вторник согласился выплатить Комиссии по ценным бумагам и биржам (SEC) штраф в размере 35 миллионов долларов за нарушение безопасности данных, включая перепродажу незашифрованных жестких дисков из выведенных из эксплуатации центров обработки данных на аукционных площадках без предварительного удаления.
Комиссии по ценным бумагам и биржам заявила, что неправильная утилизация тысяч жестких дисков, начавшаяся в 2016 году, была частью "распространенного сбоя" в течение пятилетнего периода в отношении защиты данных клиентов, например, в соответствии с требованиями федерального законодательства. Агентство заявило, что к числу сбоев также относится неправильная утилизация жестких дисков и резервных лент при демонтаже серверов в местных филиалах. В целом, по данным SEC, были раскрыты данные 15 миллионов клиентов.
«Удивительные неудачи»
«Провалы MSSB в этом деле поразительны», — сказал Гурбир С. Гревал, директор отдела правоприменения Комиссии по ценным бумагам и биржам США, используя инициалы Morgan Stanley Smith Barney, полное название компании. «Клиенты доверяют свою личную информацию профессионалам в области финансов, понимая и ожидая, что она будет защищена, а MSSB, к сожалению, не сделала этого».
Большая часть неудач связана с тем, что в 2016 году была нанята компания по удалению данных, не имеющая опыта и знаний в области услуг по уничтожению данных, для вывода из эксплуатации тысяч жестких дисков и серверов, содержащих данные миллионов клиентов. Компания, занимающаяся переездом, получила 53 массива RAID, которые в совокупности содержали около 1000 жестких дисков, а также удалила около 8000 резервных лент из одного из центров обработки данных Morgan Stanley.
Компания по анонимному удалению сначала наняла компьютерного специалиста, чтобы стереть или уничтожить все конфиденциальные данные, хранящиеся на дисках. В конце концов транспортная компания прекратила сотрудничество с этим специалистом и начала продавать накопители компании, которая, в свою очередь, продавала их с аукциона. Новая компания никогда не рассматривалась Morgan Stanley и не утверждалась в качестве подрядчика или субподрядчика в проекте вывода из эксплуатации.
В 2017 году, более чем через год после демонтажа центра обработки данных, представители Morgan Stanley получили электронное письмо от ИТ-консультанта из Оклахомы, в котором сообщалось, что жесткие диски, которые он купил на онлайн-аукционе, содержат данные Morgan Stanley.< /p>
В жалобе должностные лица SEC написали: «В этом электронном письме консультант сообщил MSSB, что «[вы] являетесь крупным финансовым учреждением и должны следовать очень строгим правилам в отношении того, как обращаться с удаленными материалами». Или, по крайней мере, получите подтверждение уничтожения данных от поставщиков, которым вы продаете оборудование. В конце концов MSSB выкупила жесткие диски, находившиеся во владении консультанта.
Действие SEC также показало, что на многих устройствах хранения не было включено шифрование, хотя такая возможность существовала. Даже после того, как инвестиционная компания начала использовать варианты шифрования в 2018 году, были защищены только новые данные, записанные на диски. В некоторых случаях данные по-прежнему не шифровались должным образом из-за недостатка продукта неизвестного поставщика.
Не признавая и не опровергая обвинения SEC, Morgan Stanley принял вывод, сделанный во вторник, о нарушении правил резервного копирования и утилизации в соответствии с Положением S-P, и согласился выплатить штраф в размере 35 млн долларов США.
В заявлении представители Morgan Stanley написали: "Мы рады разрешить этот вопрос. Мы уже уведомили затронутых клиентов об этих проблемах, которые произошли несколько лет назад, и мы не обнаружили несанкционированного доступа или неправомерного использования данных клиентов". личная информация."
Развернуть
Гетти Изображений
