35 mln $ grzywny – tyle może kosztować niewłaściwe zabezpieczenie danych

“Zdumiewające awarie” na przestrzeni 5 lat

Morgan Stanley we wtorek zgodził się zapłacić Komisji Papierów Wartościowych i Giełd (SEC) 35 milionów dolarów kary za luki w bezpieczeństwie danych, które obejmowały niezaszyfrowane dyski twarde z likwidowanych centrów danych, odsprzedawane na portalach aukcyjnych bez uprzedniego wymazania.

SEC powiedział, że niewłaściwe pozbycie się tysięcy dysków twardych począwszy od 2016 roku było częścią “rozległego niepowodzenia”. To niepowodzenie trwało pięć lat, kiedy to nie podejmowano odpowiednich starań, aby zabezpieczyć dane klientów zgodnie z wymogami przepisów federalnych. Agencja uznała, że niepowodzenia obejmowały również niewłaściwe pozbywanie się dysków twardych i taśm zapasowych podczas likwidacji serwerów w lokalnych oddziałach. W sumie SEC powiedział, że narażone zostały dane 15 milionów klientów.

“Niepowodzenia MSSB w tej sprawie są zdumiewające” – powiedział Gurbir S. Grewal, dyrektor wydziału egzekwowania prawa SEC, używając inicjałów dla Morgan Stanley Smith Barney, pełnej nazwy firmy. “Klienci powierzają swoje dane osobowe profesjonalistom finansowym oczekując, że będą one chronione, a MSSB zawiodła w tym zakresie”.

Duża część niepowodzenia wynikała z wynajęcia w 2016 r. firmy przeprowadzkowej bez doświadczenia usługach niszczenia danych do likwidacji tysięcy dysków twardych i serwerów zawierających dane milionów klientów. Przekazano jej 53 macierze RAID, które łącznie zawierały około 1000 dysków twardych, a także około 8000 taśm zapasowych z jednego z centrów danych Morgan Stanley.

Firma przeprowadzkowa początkowo zleciła informatykowi wymazanie lub zniszczenie wszelkich wrażliwych danych przechowywanych na dyskach. W końcu zaprzestano współpracy z tym specjalistą i zaczęto przekazywać urządzenia pamięci masowej firmie, która z kolei sprzedawała je na aukcjach. Nowa firma nigdy nie została zweryfikowana przez Morgan Stanley ani zatwierdzona jako wykonawca lub podwykonawca w projekcie likwidacji.

W 2017 roku, ponad 12 miesięcy po likwidacji centrum danych, urzędnicy Morgan Stanley otrzymali wiadomość e-mail od konsultanta IT z Oklahomy, informującą ich, że dyski twarde, które zakupił w internetowym serwisie aukcyjnym, zawierały dane Morgan Stanley.

W skardze urzędnicy SEC napisali: “W tym e-mailu konsultant poinformował MSSB, że ‘są dużą instytucją finansową i powinni przestrzegać bardzo rygorystycznych wytycznych dotyczących postępowania ze zużytym sprzętem. Albo przynajmniej uzyskać jakiś rodzaj weryfikacji zniszczenia danych od dostawców, którym sprzedajecie sprzęt’. MSSB ostatecznie odkupił dyski twarde będące w posiadaniu konsultanta”.

SEC powiedziała również, że wiele urządzeń pamięci masowej nie miało włączonego szyfrowania, choć taka opcja istniała. Nawet po tym, jak firma inwestycyjna zaczęła używać opcji szyfrowania w 2018 roku, tylko nowe dane zapisane na dyskach były chronione. W niektórych przypadkach dane nadal nie były prawidłowo szyfrowane z powodu wady produktu niezidentyfikowanego dostawcy.
Nie przyznając się ani nie zaprzeczając twierdzeniom SEC, Morgan Stanley zgodził się z wyrokiem, że naruszył zasady zabezpieczeń i usuwania danych na mocy rozporządzenia S-P i zgodził się zapłacić karę w wysokości 35 milionów dolarów.

W oświadczeniu urzędnicy Morgan Stanley napisali: “Jesteśmy zadowoleni z rozwiązania tej sprawy. Wcześniej powiadomiliśmy odpowiednich klientów o tych sprawach, które miały miejsce kilka lat temu, i nie wykryliśmy żadnego nieautoryzowanego dostępu do osobistych informacji o klientach ani ich niewłaściwego wykorzystania.”

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.