Поделиться
Диски с данными клиентов Morgan Stanley продавали с молотка в Сети. Финансовый гигант отделался смехотворным штрафом
«Дочка» Morgan Stanley (MSSB) годами списывала старые жесткие диски и картриджи с магнитной лентой, содержащие персональные данные миллионов своих клиентов в незашифрованном виде, и передавала на утилизацию третьим лицам. Американский финансовый гигант не озаботился даже тем, чтобы предварительно стереть эти данные и проверить исполнителя работ. Не удивительно, что в итоге соответствующие устройства с ПД нашли на одном из интернет-аукционов. Компания урегулировала спор с Комиссией по ценным бумагам и биржам США и теперь заплатит $35 млн штрафа, так и не признав свою вину. MSSB управляет финансовыми активами на триллионы долларов, поэтому хоть сколько-нибудь серьезным наказанием это назвать нельзя.Штраф за потенциальную утечку данных
Morgan Stanley Smith Barney (MSSB) согласилась выплатить штраф в размере $35 млн, после того как стало известно о том, что сведения о 15 млн клиентов компании могли попасть в чужие руки по ее вине, пишет New York Times.
Компания, входящая в крупный американский финансовый конгломерат Moran Stanley, смогла достигнуть соглашения с Комиссией по ценным бумагам и биржам США (SEC). Претензии ведомства к MSSB заключались в том, что «дочка» Morgan Stanley подошла безответственно к вопросу утилизации принадлежащего ей компьютерного оборудования, отработавшего свое. С 2015 г. компания провела несколько раундов списания «железа» из собственных дата-центров, в частности, нескольких тысяч жестких дисков и накопителей на магнитной ленте, которые содержали персональные данные клиентов.
По сведениям SEC, в течение пяти лет MSSB неподобающим образом избавлялась от дисков (HDD) и картриджей с информацией о 15 млн человек. Бывшие в употреблении винчестеры попадали на интернет-аукционы прямо вместе с хранящимися на них данными, причем в незашифрованном виде.
Примечательно, что по заявлению регулятора, все списанные устройства были оснащены функциями шифрования, однако до 2018 г. MSSB ими просто не пользовалась. Даже после 2018 г., когда финансовому гиганту все же удалось разобраться с криптографическими возможностями «железа», часть данных, собранных в прошлом, так и осталась без криптозащиты.
Несколько показательных эпизодов
Так, согласно документам надзорного ведомства, в 2016 г. в ходе вывода из эксплуатации оборудования двух ЦОДов MSSB привлекла к его ликвидации неназванную транспортную компанию, которой было поручено «удалить, уничтожить или стереть» все данные, содержащиеся на тысячах накопителей. Однако у компании не имелось опыта выполнения подобных работ, а для обработки «электронных отходов» она прибегала к услугам подрядчика.
В определенный момент сотрудничество между ними по какой-то причине было прекращено, и транспортная фирма MSSB начала избавляться от «железа» иным способом – продавать третьим лицам.
«В результате того, что MSSB не смогла проконтролировать своего поставщика, транспортная компания продала около 4,9 тыс. компонентов ИТ-инфраструктуры, включая нестертые жесткие диски, некоторые из которых в совокупности содержали тысячи строк персональных данных клиентов MSSB», – говорится в отчете комиссии.
Примерно через год некоторые из этих жестких дисков были обнаружены на одной из интернет-площадок для проведения аукционов. На одном из таких аукционов, по информации источника, лот приобрел ИТ-консультант из штата Оклахома, после чего уведомил MSSB о том, что смог получить доступ к данным на устройствах. Финансовая компания в конечном итоге носители у ИТ-специалиста выкупила.
Несмотря на этот инцидент и неутешительные выводы о потенциальной опасности услуг транспортной фирмы, сотрудничество с ней прекращено не было. Более того, в 2017 г. компания пересмотрела уровень рисков работы с ней, изменив свою предыдущую оценку с «умеренной» на «низкую».
Очередная неудача настигла MSSB в 2019 г., когда компания приняла решение избавиться еще примерно от 500 накопителей. Когда дело дошло до проверки результатов работы, выяснилось, что 42 устройства из полутысячи бесследно исчезли, следует из отчета SEC. Все они могли содержать незашифрованную информацию о клиентах.
Как комариный укус для слона
Morgan Stanley Smith Barney (также известна как Morgan Stanley Wealth Management), занимающаяся управлением активами Morgan Stanley, не признала, но и не опровергла выводы комиссии. 35-миллионный штраф вряд ли способен напугать компанию – для нее это все равно что комариный укус для слона. Финансовая компания управляет активами клиентов на сумму в $5 трлн. За три месяца с апреля по июнь 2022 г. включительно ее прибыль составила $12 млрд.
Подобные штрафы за неподобающее обращение с данными топ-менеджеры MSSB и менеджеры высшего звена прочих крупных корпораций вполне могут рассматривать как небольшие накладные расходы на ведение бизнеса. Это тезис подтверждается и показаниями Пейтера Затко (Peiter Zatko), экс-главы службы безопасности Twitter, на недавних слушаниях в Сенате США.
Поделиться
Короткая ссылка
