Morgan Stanley, che si autodefinisce nel tag del titolo del suo sito web il "leader globale nei servizi finanziari" e afferma nella frase di apertura della sua pagina principale che "i clienti vengono prima di tutto", è stata multata $35,000,000 dalla US Securities and Exchange Commission (SEC)...

...per la vendita online di vecchi dispositivi hardware, incluse migliaia di unità disco, che erano ancora cariche di informazioni di identificazione personale (PII) appartenenti ai suoi clienti.

Oggi abbiamo annunciato le accuse contro Morgan Stanley Smith Barney LLC derivanti dall'ampia mancata protezione delle informazioni di identificazione personale di circa 15 milioni di clienti da parte dell'azienda. MSSB ha accettato di pagare una penale di 35 milioni di dollari per saldare le accuse della SEC.

— US Securities and Exchange Commission (@SECGov) 20 settembre 2022

A rigor di termini, non è una condanna penale, quindi la sanzione non è tecnicamente una multa, ma "non è una multa" più o meno allo stesso modo in cui i proprietari di auto in Inghilterra non ricevono più multe per il parcheggio, ma pagano ufficialmente gli avvisi di penalità invece.

Inoltre, a rigor di termini, Morgan Stanley non ha venduto direttamente i dispositivi incriminati.

Ma la società ha incaricato qualcun altro di svolgere il lavoro di ripulire e svendere l'attrezzatura in pensione, e quindi non si è preoccupata di tenere d'occhio il processo per assicurarsi che fosse svolto correttamente.

La storia completa

Il documento ufficiale della SEC in materia, Numero di fascicolo del procedimento amministrativo 3-21112, in realtà è una lettura davvero utile per chiunque sia in SecOps o nella sicurezza informatica.

Con 11 pagine, non è troppo lungo per leggerlo per intero e la storia che racconta è affascinante, rivelando numerosi colpi di scena, cambi non autorizzati in subappaltatori, mancanza di supervisione e follow-up e scorciatoie spericolate.

Se hai qualcosa a che fare con lo smaltimento sicuro di apparecchiature ridondanti, assicurati di leggere il documento finale della SEC e assicurati che le tue politiche e procedure tengano conto delle carenze descritte nel rapporto.

In particolare, assicurati di aver svolto, di fare e di fare un lavoro migliore di Morgan Stanley con:

• Le politiche di ritiro delle apparecchiature e distruzione dei dati tu adotti in anticipo.
• Il modo in cui scegli i tuoi appaltatori di distruzione dei dati per i vecchi dispositivi.
• Le procedure che segui per tenere sotto controllo i progressi.

Come vedrai dai racconti della SEC di dolorosa ostinazione (la seconda parola è quella che la SEC usa ufficialmente e formalmente nei confronti di Morgan Stanley), c'è un sacco di cose che possono andare storte quando ti sbarazzi del vecchio kit informatico.

Tuttavia, i punti principali della storia sono semplicemente raccontati nel riassunto della SEC, vale a dire che Morgan Stanley, tramite un appaltatore:

• Vendute circa 4,900 risorse informatiche contenenti PII del cliente, molti dei quali avevano ancora quelle informazioni personali quando hanno raggiunto i loro nuovi proprietari.
• Disattivati ​​500 dispositivi di memorizzazione nella cache di rete contenenti PII client che erano nella migliore delle ipotesi parzialmente crittografate, di cui 42 disperse dopo il loro presunto "smaltimento".

Atti sporchi e sono fatti a buon mercato

Nel primo caso, risalente al 2016, sembra che l'appaltatore scelto da Morgan Stanley, forse rendendosi conto che l'azienda non stava verificando la fedeltà con cui veniva seguito il processo di cancellazione e vendita, abbia deciso di passare a un nuovo (e non approvato) subappaltatore che apparentemente ha saltato la parte "cancellalo prima" e ha messo direttamente in vendita i dispositivi ritirati su un sito di aste online.

Qualcuno in Oklahoma ha acquistato alcune delle vecchie unità, presumibilmente come hot spare per le proprie operazioni IT, e si è reso conto che erano ancora piene di dati dei clienti Morgan Stanley.

Secondo la SEC, l'acquirente ha contattato Morgan Stanley e ha dichiarato: “Sei un importante istituto finanziario e dovresti seguire alcune linee guida molto rigorose su come gestire il ritiro dell'hardware. O per lo meno ottenere una sorta di verifica della distruzione dei dati dai fornitori a cui vendi apparecchiature".

Morgan Stanley alla fine riacquistò quelle unità, ma ciò non riguardava nessuno degli altri dischi che erano stati venduti altrove.

In effetti, la SEC rileva che altri 14 dischi contaminati dai dati sono stati riacquistati da qualcun altro da Morgan Stanley nel giugno 2021, ancora non cancellati, ancora funzionanti e ancora contenenti “almeno 140,000 pezzi di PII del cliente”.

Come nota ironicamente la SEC, "La stragrande maggioranza dei dischi rigidi del Data Center Decommissioning del 2016 rimane mancante."

Siamo certi che potremmo aver crittografato qualcosa

Nel secondo caso, i dispositivi ritirati erano server di memorizzazione nella cache WAN (Wide Area Network) utilizzati dalle filiali per ottimizzare la larghezza di banda di Internet al fine di accelerare l'accesso ai documenti comuni.

Ironia della sorte, questi dispositivi avevano un'opzione di crittografia dei pacchetti di dati archiviati che avrebbe semplificato notevolmente la disattivazione.

Dopotutto, se puoi dimostrare di aver attivato l'opzione di crittografia e di aver cancellato tutte le copie conosciute della chiave di decrittazione, anche le autorità di regolamentazione della protezione dei dati in molti paesi tratteranno i dati crittografati come cancellati.

I dati considerati indecifrabili non sono più significativi del cavolo triturato digitale.

Ma a quanto pare Morgan Stanley non ha attivato l'opzione di decrittazione fino ad almeno un anno dopo che i dispositivi sono entrati in uso...

...e la crittografia si applicava solo ai nuovi dati successivamente scritti sul dispositivo, non a tutto ciò che era presente prima.

Quindi tutto ciò che Morgan Stanley può "dimostrare", per i 42 dispositivi che sono ancora là fuori da qualche parte, è che ogni dispositivo contiene quasi certamente almeno alcune PII del client che sicuramente non sono crittografate.

Cosa fare?

• Puoi esternalizzare la tua sicurezza informatica, ma non puoi esternalizzare la tua responsabilità. Assicurati di rispettare le normative sulla protezione dei dati tenendo traccia di come anche i tuoi appaltatori le stanno rispettando. Parte della denuncia della SEC contro Morgan Stanley è che avrebbe dovuto essere ovvio che l'operatore prescelto aveva deviato dal piano ufficiale, e quindi che la società avrebbe potuto facilmente evitare di diventare non conforme e mettere a rischio i propri clienti.
• La crittografia dell'intero dispositivo può aiutarti a rispettare le regole di protezione dei dati. I dati correttamente codificati senza la chiave di decrittazione sono in effetti solo un rumore casuale, quindi molti regolatori della protezione dei dati trattano i dischi "non decifrabili" come se fossero stati cancellati o non contenessero mai alcun dato. Ma devi essere in grado di mostrare sia che hai attivato correttamente la crittografia in primo luogo, sia che chiunque acquisisca il disco in futuro non sarà in grado di acquisire la chiave di decrittazione.
• In caso di dubbio, scegli la distruzione del dispositivo, non la cancellazione e la vendita. Ci sono valide ragioni ambientali per non distruggere e riciclare ciecamente ogni dispositivo informatico che si ritira dal servizio, ma ci sono rendimenti decrescenti dal riutilizzo del vecchio kit. Anche i dispositivi di grandi dimensioni possono essere fisicamente "distrutti", lasciando i loro metalli aperti al recupero ma non i loro dati. Se non puoi riutilizzarlo in modo utile, non preoccuparti di venderlo a qualcun altro che alla fine potrebbe non smaltirlo correttamente come te. Smaltiscilo tu stesso in modo responsabile.
• Le informazioni personali mal gestite possono apparire anni dopo che le hai perse. A differenza dei rifiuti del giardino nel bidone del compost o delle vecchie biciclette gettate nel canale, i dispositivi di archiviazione dati fuori posto possono presentarsi perfettamente funzionanti, con tutti i loro dati originali intatti, per anni dopo che si sarebbe potuto presumere che fossero andati persi senza lasciare traccia o degradati oltre riparazione.

Non possiamo resistere alla conclusione con la rima che usiamo spesso per mettere in guardia le persone sui rischi dell'oversharing sui social media, perché si applica ugualmente bene ai dati archiviati dal più grande dipartimento IT.

In caso di dubbio / Non darlo.

GUARDA LE SCINTILLE VOLARE – UN DISTRUTORE A DISCHI IN AZIONE

[Contenuto incorporato]

(Orologio direttamente su YouTube se il video non verrà riprodotto qui.)