Logo Zéphyrnet

Morgan Stanley condamné à une amende de millions pour avoir vendu des appareils remplis de PII de clients

Date :

Morgan Stanley, qui se présente dans la balise de titre de son site Web comme le "leader mondial des services financiers" et déclare dans la première phrase de sa page principale que "les clients passent en premier", a été condamné à une amende $35,000,000 par la Securities and Exchange Commission (SEC) des États-Unis…

…pour avoir vendu en ligne d'anciens appareils matériels, y compris des milliers de disques durs, qui contenaient encore des informations personnelles identifiables (PII) appartenant à ses clients.

À proprement parler, ce n'est pas une condamnation pénale, donc la sanction n'est techniquement pas une amende, mais ce n'est "pas une amende" de la même manière que les propriétaires de voitures en Angleterre ne reçoivent plus d'amendes de stationnement, mais paient officiellement des amendes. Au lieu.

De plus, à proprement parler, Morgan Stanley n'a pas vendu directement les appareils incriminés.

Mais l'entreprise a engagé quelqu'un d'autre pour faire le travail de nettoyage et de vente de l'équipement suranné, et n'a pas pris la peine de surveiller le processus pour s'assurer qu'il était fait correctement.

L'histoire complète

Le document officiel de la SEC sur la question, Numéro de dossier de procédure administrative 3-21112, fait en fait une lecture vraiment utile pour quiconque dans SecOps ou la cybersécurité.

En 11 pages, ce n'est pas trop long à lire en entier, et l'histoire qu'il raconte est fascinante, révélant de nombreux rebondissements, des changements non autorisés de sous-traitants, un manque de surveillance et de suivi et des raccourcis imprudents.

Si vous avez quoi que ce soit à voir avec l'élimination sécurisée d'équipements redondants, assurez-vous de lire le document final de la SEC et assurez-vous que vos propres politiques et procédures tiennent compte des lacunes décrites dans le rapport.

Assurez-vous notamment que vous avez fait, que vous faites et que vous ferez un meilleur travail que Morgan Stanley avec :

  • Les politiques de retrait du matériel et de destruction des données vous adoptez d'emblée.
  • La façon dont vous choisissez vos sous-traitants de destruction de données pour les anciens appareils.
  • Les procédures que vous suivez pour garder un œil sur les progrès.

Comme vous le verrez dans les récits de la SEC sur la déplorable volonté (le deuxième mot est celui que la SEC utilise officiellement et formellement à propos de Morgan Stanley), il y a énormément de choses qui peuvent mal tourner lorsque vous vous débarrassez de l'ancien kit informatique.

Néanmoins, les principaux points de l'histoire sont simplement racontés dans le résumé de la SEC, à savoir que Morgan Stanley, via un entrepreneur :

  • Vente d'environ 4,900 XNUMX actifs informatiques contenant des PII de clients, dont beaucoup avaient encore ces IIP sur eux lorsqu'ils ont atteint leurs nouveaux propriétaires.
  • Mise hors service de 500 dispositifs de mise en cache réseau contenant des PII client qui étaient au mieux partiellement cryptés, dont 42 ont été portés disparus après leur prétendue « élimination ».

Des actions sales et elles sont faites à bas prix

Dans le premier cas, datant de 2016, il semble que l'entrepreneur choisi par Morgan Stanley, réalisant peut-être que l'entreprise ne vérifiait pas la fidélité du processus d'effacement et de revente, a décidé de passer à un nouveau sous-traitant (et non approuvé) qui a apparemment sauté la partie « essuyer d'abord » et a directement mis en vente les appareils retirés sur un site d'enchères en ligne.

Quelqu'un dans l'Oklahoma a acheté quelques-uns des anciens disques, vraisemblablement comme disques de rechange pour leur propre opération informatique, et s'est rendu compte qu'ils étaient encore remplis de données client de Morgan Stanley.

Selon la SEC, l'acheteur a contacté Morgan Stanley et a dit, « [V]ous êtes une institution financière majeure et vous devriez suivre des directives très strictes sur la façon de gérer le matériel retiré. Ou à tout le moins obtenir une sorte de vérification de la destruction des données auprès des fournisseurs auxquels vous vendez du matériel.

Morgan Stanley a finalement racheté ces disques, mais cela ne concernait aucun des autres disques qui avaient été vendus ailleurs.

En effet, la SEC note que 14 autres disques contenant des données ont été rachetés à quelqu'un d'autre par Morgan Stanley aussi récemment qu'en juin 2021, toujours non effacés, fonctionnant toujours bien et contenant toujours "au moins 140,000 XNUMX éléments de PII client".

Comme le note ironiquement la SEC, "la grande majorité des disques durs du démantèlement du centre de données de 2016 sont toujours manquants."

Nous sommes certains que nous avons peut-être chiffré quelque chose

Dans le second cas, les appareils retirés étaient des serveurs de mise en cache WAN (réseau étendu) utilisés par les succursales pour optimiser la bande passante Internet afin d'accélérer l'accès aux documents communs.

Ironiquement, ces appareils disposaient d'une option de cryptage de tous les paquets de données stockés qui aurait grandement simplifié la mise hors service.

Après tout, si vous pouvez montrer que vous avez activé l'option de chiffrement et que vous avez effacé toutes les copies connues de la clé de déchiffrement, les régulateurs de la protection des données de nombreux pays traiteront également les données chiffrées comme effacées.

Les données considérées comme indéchiffrables ne sont pas plus significatives que le chou râpé numérique.

Mais Morgan Stanley n'a apparemment activé l'option de décryptage qu'au moins un an après la mise en service des appareils…

… et le cryptage ne s'appliquait qu'aux nouvelles données écrites par la suite sur l'appareil, et non à tout ce qui s'y trouvait auparavant.

Donc, tout ce que Morgan Stanley peut « prouver », pour les 42 appareils qui existent encore quelque part, c'est que chaque appareil contient presque certainement au moins des PII client qui ne sont certainement pas cryptées.

Que faire?

  • Vous pouvez externaliser votre cybersécurité, mais vous ne pouvez pas externaliser votre responsabilité. Assurez-vous de respecter les réglementations en matière de protection des données en suivant également la manière dont vos sous-traitants s'y conforment. Une partie de la plainte de la SEC contre Morgan Stanley est qu'il aurait dû être évident que l'opérateur choisi avait dévié du plan officiel, et donc que la société aurait facilement pu éviter de devenir non conforme et de mettre ses clients en danger.
  • Le chiffrement complet de l'appareil peut vous aider à respecter les règles de protection des données. Les données correctement brouillées sans la clé de déchiffrement ne sont en fait que du bruit aléatoire, de sorte que de nombreux régulateurs de la protection des données traitent les disques «non déchiffrables» comme s'ils avaient été effacés ou ne contenaient aucune donnée. Mais vous devez être en mesure de montrer à la fois que vous avez activé le cryptage correctement en premier lieu et que toute personne qui acquiert le disque à l'avenir ne pourra pas acquérir la clé de décryptage.
  • En cas de doute, optez pour la destruction de l'appareil, pas pour l'essuyage et la revente. Il existe de bonnes raisons environnementales pour ne pas détruire et recycler aveuglément chaque appareil informatique que vous retirez du service, mais il y a des rendements décroissants à réutiliser l'ancien kit. Même les gros appareils peuvent être physiquement « déchiquetés », laissant leurs métaux ouverts à la récupération, mais pas leurs données. Si vous ne pouvez pas le réutiliser utilement, ne vous embêtez pas à le revendre à quelqu'un d'autre qui pourrait finalement ne pas en disposer aussi solidement que vous. Débarrassez-vous-en de manière responsable.
  • Des informations personnelles mal gérées peuvent apparaître des années après que vous les ayez perdues. Contrairement aux déchets de jardin dans le bac à compost ou aux vieux vélos jetés dans le canal, les dispositifs de stockage de données égarés peuvent apparaître en parfait état de fonctionnement, avec toutes leurs données d'origine intactes, pendant des années après que vous auriez pu supposer qu'ils ont été perdus sans laisser de traces ou dégradés au-delà. réparation.

Nous ne pouvons pas résister à l'envie de terminer par la rime que nous utilisons souvent pour avertir les gens des risques d'un partage excessif sur les réseaux sociaux, car elle s'applique également aux données stockées par le plus grand service informatique.

En cas de doute / Ne le donnez pas.


REGARDEZ LES ÉTINCELLES - UN BROYEUR DE DISQUE EN ACTION

[Contenu intégré]

(Regarder directement sur YouTube si la vidéo ne joue pas ici.)


spot_img

Dernières informations

spot_img