“Zdumiewaj\u0105ce awarie” na przestrzeni 5 lat<\/p>\n
Morgan Stanley we wtorek zgodzi\u0142 si\u0119 zap\u0142aci\u0107 Komisji Papier\u00f3w Warto\u015bciowych i Gie\u0142d (SEC) 35 milion\u00f3w dolar\u00f3w kary za luki w bezpiecze\u0144stwie danych, kt\u00f3re obejmowa\u0142y niezaszyfrowane dyski twarde z likwidowanych centr\u00f3w danych, odsprzedawane na portalach aukcyjnych bez uprzedniego wymazania.<\/p>\n
<\/p>\n
SEC powiedzia\u0142, \u017ce niew\u0142a\u015bciwe pozbycie si\u0119 tysi\u0119cy dysk\u00f3w twardych pocz\u0105wszy od 2016 roku by\u0142o cz\u0119\u015bci\u0105 “rozleg\u0142ego niepowodzenia”. To niepowodzenie trwa\u0142o pi\u0119\u0107 lat, kiedy to nie podejmowano odpowiednich stara\u0144, aby zabezpieczy\u0107 dane klient\u00f3w zgodnie z wymogami przepis\u00f3w federalnych. Agencja uzna\u0142a, \u017ce niepowodzenia obejmowa\u0142y r\u00f3wnie\u017c niew\u0142a\u015bciwe pozbywanie si\u0119 dysk\u00f3w twardych i ta\u015bm zapasowych podczas likwidacji serwer\u00f3w w lokalnych oddzia\u0142ach. W sumie SEC powiedzia\u0142, \u017ce nara\u017cone zosta\u0142y dane 15 milion\u00f3w klient\u00f3w.<\/p>\n
“Niepowodzenia MSSB w tej sprawie s\u0105 zdumiewaj\u0105ce” – powiedzia\u0142 Gurbir S. Grewal, dyrektor wydzia\u0142u egzekwowania prawa SEC, u\u017cywaj\u0105c inicja\u0142\u00f3w dla Morgan Stanley Smith Barney, pe\u0142nej nazwy firmy. “Klienci powierzaj\u0105 swoje dane osobowe profesjonalistom finansowym oczekuj\u0105c, \u017ce b\u0119d\u0105 one chronione, a MSSB zawiod\u0142a w tym zakresie”.<\/p>\n
Du\u017ca cz\u0119\u015b\u0107 niepowodzenia wynika\u0142a z wynaj\u0119cia w 2016 r. firmy przeprowadzkowej bez do\u015bwiadczenia us\u0142ugach niszczenia danych do likwidacji tysi\u0119cy dysk\u00f3w twardych i serwer\u00f3w zawieraj\u0105cych dane milion\u00f3w klient\u00f3w. Przekazano jej 53 macierze RAID, kt\u00f3re \u0142\u0105cznie zawiera\u0142y oko\u0142o 1000 dysk\u00f3w twardych, a tak\u017ce oko\u0142o 8000 ta\u015bm zapasowych z jednego z centr\u00f3w danych Morgan Stanley.<\/p>\n
Firma przeprowadzkowa pocz\u0105tkowo zleci\u0142a informatykowi wymazanie lub zniszczenie wszelkich wra\u017cliwych danych przechowywanych na dyskach. W ko\u0144cu zaprzestano wsp\u00f3\u0142pracy z tym specjalist\u0105 i zacz\u0119to przekazywa\u0107 urz\u0105dzenia pami\u0119ci masowej firmie, kt\u00f3ra z kolei sprzedawa\u0142a je na aukcjach. Nowa firma nigdy nie zosta\u0142a zweryfikowana przez Morgan Stanley ani zatwierdzona jako wykonawca lub podwykonawca w projekcie likwidacji.<\/p>\n
W 2017 roku, ponad 12 miesi\u0119cy po likwidacji centrum danych, urz\u0119dnicy Morgan Stanley otrzymali wiadomo\u015b\u0107 e-mail od konsultanta IT z Oklahomy, informuj\u0105c\u0105 ich, \u017ce dyski twarde, kt\u00f3re zakupi\u0142 w internetowym serwisie aukcyjnym, zawiera\u0142y dane Morgan Stanley.<\/p>\n
W skardze urz\u0119dnicy SEC napisali: “W tym e-mailu konsultant poinformowa\u0142 MSSB, \u017ce \u2018s\u0105 du\u017c\u0105 instytucj\u0105 finansow\u0105 i powinni przestrzega\u0107 bardzo rygorystycznych wytycznych dotycz\u0105cych post\u0119powania ze zu\u017cytym sprz\u0119tem. Albo przynajmniej uzyska\u0107 jaki\u015b rodzaj weryfikacji zniszczenia danych od dostawc\u00f3w, kt\u00f3rym sprzedajecie sprz\u0119t\u2019. MSSB ostatecznie odkupi\u0142 dyski twarde b\u0119d\u0105ce w posiadaniu konsultanta”.<\/p>\n
SEC powiedzia\u0142a r\u00f3wnie\u017c, \u017ce wiele urz\u0105dze\u0144 pami\u0119ci masowej nie mia\u0142o w\u0142\u0105czonego szyfrowania, cho\u0107 taka opcja istnia\u0142a. Nawet po tym, jak firma inwestycyjna zacz\u0119\u0142a u\u017cywa\u0107 opcji szyfrowania w 2018 roku, tylko nowe dane zapisane na dyskach by\u0142y chronione. W niekt\u00f3rych przypadkach dane nadal nie by\u0142y prawid\u0142owo szyfrowane z powodu wady produktu niezidentyfikowanego dostawcy.
\nNie przyznaj\u0105c si\u0119 ani nie zaprzeczaj\u0105c twierdzeniom SEC, Morgan Stanley zgodzi\u0142 si\u0119 z wyrokiem, \u017ce naruszy\u0142 zasady zabezpiecze\u0144 i usuwania danych na mocy rozporz\u0105dzenia S-P i zgodzi\u0142 si\u0119 zap\u0142aci\u0107 kar\u0119 w wysoko\u015bci 35 milion\u00f3w dolar\u00f3w.<\/p>\n
W o\u015bwiadczeniu urz\u0119dnicy Morgan Stanley napisali: “Jeste\u015bmy zadowoleni z rozwi\u0105zania tej sprawy. Wcze\u015bniej powiadomili\u015bmy odpowiednich klient\u00f3w o tych sprawach, kt\u00f3re mia\u0142y miejsce kilka lat temu, i nie wykryli\u015bmy \u017cadnego nieautoryzowanego dost\u0119pu do osobistych informacji o klientach ani ich niew\u0142a\u015bciwego wykorzystania.”<\/p>\n
<\/p>\n
Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"
“Zdumiewaj\u0105ce awarie” na przestrzeni 5 lat Morgan Stanley we wtorek zgodzi\u0142 si\u0119 zap\u0142aci\u0107 Komisji Papier\u00f3w Warto\u015bciowych i Gie\u0142d (SEC) 35 milion\u00f3w dolar\u00f3w kary za luki w bezpiecze\u0144stwie danych, kt\u00f3re obejmowa\u0142y niezaszyfrowane dyski twarde z likwidowanych centr\u00f3w danych, odsprzedawane na portalach aukcyjnych bez uprzedniego wymazania. SEC powiedzia\u0142, \u017ce niew\u0142a\u015bciwe pozbycie si\u0119 tysi\u0119cy dysk\u00f3w twardych pocz\u0105wszy […]<\/p>\n","protected":false},"author":4,"featured_media":4379,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,57,18],"tags":[79],"class_list":["post-4420","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bazawiedy","category-cyber-security","category-hacking","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4420"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4420"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4420\/revisions"}],"predecessor-version":[{"id":4421,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4420\/revisions\/4421"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4379"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}