Morgan Stanley ha multato $ 35 milioni dopo aver messo all’asta dischi rigidi non crittografati e non compressi

Getty Images

Morgan Stanley martedì ha accettato di pagare una multa di 35 milioni di dollari alla Securities and Exchange Commission per difetti di sicurezza dei dati che hanno coinvolto dischi rigidi non crittografati da data center dismessi che vengono rivenduti presso siti di aste senza essere prima cancellati.

La SEC ha affermato che lo smaltimento improprio di migliaia di dischi rigidi a partire dal 2016 faceva parte di un “fallimento totale” di cinque anni per proteggere i dati dei clienti come richiesto dalle normative federali. L’agenzia ha affermato che i fallimenti includevano anche lo smaltimento improprio di dischi rigidi e nastri di backup quando i server nelle filiali locali sono stati chiusi. In tutto, la SEC ha affermato che i dati di 15 milioni di clienti sono stati divulgati.

‘Incredibili fallimenti’

“Il fallimento di MSSB in questo caso è sorprendente”, Egli ha detto Grewal, direttore delle forze dell’ordine presso la SEC, utilizzando le iniziali di Morgan Stanley Smith Barney, il nome completo dell’azienda. “I clienti affidano le loro informazioni personali a professionisti finanziari con la consapevolezza e l’aspettativa che saranno protette, e MSSB tragicamente non è riuscita a farlo”.

Gran parte del fallimento è derivato dall’assunzione nel 2016 di un vettore che non aveva esperienza o esperienza nei servizi di distruzione dei dati per spegnere le migliaia di dischi rigidi e server contenenti i dati di milioni di clienti. La società di traslochi ha ricevuto 53 array RAID che contengono collettivamente quasi 1.000 dischi rigidi e ha rimosso circa 8.000 nastri di backup da uno dei data center di Morgan Stanley.

La società di traslochi senza nome inizialmente ha stipulato un contratto con un professionista IT per cancellare o distruggere tutti i dati sensibili archiviati sulle unità. Alla fine, la società di traslochi ha smesso di lavorare con questo specialista e ha iniziato a vendere dispositivi di archiviazione a un’azienda che, a sua volta, li ha venduti all’asta. La nuova società non è stata controllata o approvata da Morgan Stanley come appaltatore o subappaltatore del progetto di disattivazione.

Nel 2017, più di un anno dopo la chiusura del data center, i funzionari di Morgan Stanley hanno ricevuto un’e-mail da un consulente IT dell’Oklahoma, in cui si diceva loro che i dischi rigidi che aveva acquistato da un sito di aste online contenevano dati Morgan Stanley.

in rimostranzaI funzionari della SEC hanno scritto: “In questa e-mail, l’avvocato informa MSSB che”[y]Sei un grande istituto finanziario e devi seguire alcune linee guida molto rigide su come gestire l’hardware ritirato. O almeno ottenere una sorta di verifica della distruzione dei dati dai fornitori a cui vendi l’attrezzatura. Alla fine, MSSB ha riacquistato i dischi rigidi in possesso del consulente”.

L’azione SEC ha anche affermato che molti dispositivi di archiviazione non avevano la crittografia attivata, anche se l’opzione era presente. Anche dopo che la società di investimento ha iniziato a utilizzare le opzioni di crittografia nel 2018, sono stati protetti solo i nuovi dati scritti sui dischi. In alcuni casi, i dati non sono ancora crittografati correttamente a causa di un difetto in un prodotto di un venditore sconosciuto.

Senza riconoscere o negare le accuse della SEC, Morgan Stanley ha accettato la conclusione di martedì di aver violato le regole di salvaguardia e smaltimento ai sensi del regolamento SP e ha accettato di pagare una multa di $ 35 milioni.

READ  La Corea del Sud è stata classificata come un'economia avanzata dalle Nazioni Unite

I funzionari di Morgan Stanley hanno scritto in una dichiarazione: “Siamo lieti di risolvere la questione. Abbiamo precedentemente informato i clienti interessati di queste questioni, che si sono verificate diversi anni fa, e non abbiamo rilevato alcun accesso non autorizzato o uso improprio delle informazioni personali dei clienti”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.