[ad_1]
Гетти Изображений
Morgan Stanley во вторник согласился выплатить Комиссии по ценным бумагам и биржам (SEC) штраф в размере 35 миллионов долларов за нарушения безопасности данных, в том числе незашифрованные жесткие диски из выведенных из эксплуатации центров обработки данных, которые перепродавались на аукционах без предварительной очистки.
В иске SEC говорится, что неправильная утилизация тысяч жестких дисков, начавшаяся в 2016 году, была частью «серьезного сбоя» в течение пятилетнего периода по защите данных клиентов в соответствии с требованиями федерального законодательства. Агентство заявило, что сбои также включали неправильную утилизацию жестких дисков и резервных лент при выводе из эксплуатации серверов в местных филиалах. В целом, SEC заявила, что были раскрыты данные о 15 миллионах клиентов.
«Удивительные неудачи»
«Неудачи MSSB в этом деле просто поразительны», — сказал Гурбир С. Гревал, директор отдела правоприменения Комиссии по ценным бумагам и биржам США, используя инициалы Morgan Stanley Smith Barney, полное название фирмы. «Клиенты доверяют свою личную информацию профессионалам в области финансов с пониманием и ожиданием того, что она будет защищена, и MSSB прискорбно потерпел неудачу в этом».
Большая часть неудач связана с тем, что в 2016 году наняли транспортную компанию, не имеющую опыта или знаний в области услуг по уничтожению данных, для вывода из эксплуатации тысяч жестких дисков и серверов, содержащих данные миллионов клиентов. Транспортная компания получила 53 RAID-массива, которые в совокупности содержали около 1000 жестких дисков, а также удалила около 8000 резервных лент из одного из центров обработки данных Morgan Stanley.
Неназванная транспортная компания изначально заключила контракт со специалистом по информационным технологиям на удаление или уничтожение любых конфиденциальных данных, хранящихся на дисках. В конце концов транспортная компания прекратила сотрудничество с этим специалистом и начала продавать накопители компании, которая, в свою очередь, продавала их на аукционе. Новая компания никогда не проверялась Morgan Stanley и не утверждалась в качестве подрядчика или субподрядчика в проекте вывода из эксплуатации.
В 2017 году, более чем через год после вывода центра обработки данных из эксплуатации, официальные лица Morgan Stanley получили электронное письмо от ИТ-консультанта из Оклахомы, в котором сообщалось, что жесткие диски, которые он купил на сайте онлайн-аукциона, содержат данные Morgan Stanley.
В жалобе официальные лица SEC написали: «В этом электронном письме Консультант сообщил MSSB, что «[y]Вы являетесь крупным финансовым учреждением и должны следовать очень строгим правилам обращения с оборудованием, выводимым из эксплуатации. Или, по крайней мере, получить какое-то подтверждение уничтожения данных от поставщиков, которым вы продаете оборудование». В конечном итоге MSSB выкупила жесткие диски, находившиеся во владении Консультанта».
В решении SEC также говорилось, что на многих устройствах хранения не было включено шифрование, хотя такая возможность существовала. Даже после того, как инвестиционная фирма начала использовать варианты шифрования в 2018 году, были защищены только новые данные, записанные на диски. В некоторых случаях данные по-прежнему не были должным образом зашифрованы из-за недостатка продукта неизвестного поставщика.
Не признавая и не опровергая претензии SEC, Morgan Stanley согласился с выводом вторника о том, что он нарушил правила защиты и утилизации в соответствии с Положением SP, и согласился выплатить штраф в размере 35 миллионов долларов.
В заявлении официальные лица Morgan Stanley написали: «Мы рады решить этот вопрос. Мы ранее уведомляли соответствующих клиентов об этих проблемах, которые произошли несколько лет назад, и не обнаружили несанкционированного доступа или неправомерного использования личной информации клиентов».
[ad_2]
