Morgan Stanley, kişisel bilgileri yanlış kullandığı için 35 milyon dolar para cezasına çarptırıldı • Kayıt


Morgan Stanley Smith Barney, müşterilerin hassas kayıtları, hizmet dışı bırakıldıktan sonra açık artırmaya çıkarılan silinmemiş sabit disklerde şifrelenmeden bırakıldıktan sonra, 35 milyon dolarlık önemsiz bir ceza ödemeyi kabul etti.

Finansal hizmetler devi, 2015’te başlayan çeşitli veri merkezi sunucusu hizmetten çıkarma ve taşıma projeleri sırasında, insanların kişisel tanımlanabilir bilgilerini (PII) içeren binlerce sabit diski ve yedekleme bandını düzgün bir şekilde elden çıkarmadığı için SEC ücretlerini ödemek için parayı çekecek.

ABD gözlemcisine göre, beş yıllık bir süre boyunca, 15 milyon kadar insanın şifrelenmemiş özel bilgileri, bantların düzgün bir şekilde yok edilmemesinden, sürücülerin silinmeden satılmasına kadar, şu veya bu şekilde yanlış kullanıldı.

Morgan Stanley Smith Barney (MSSB, diğer adıyla Morgan Stanley Varlık Yönetimi), SEC’in bulgularını ne kabul etti ne de yalanladı. Bunlar bir yatırım firması için ciddi masraflar olsa da, neredeyse 5 trilyon doları yönetiyor toplam müşteri varlıklarında – herhangi bir kimlik hırsızı için bir hazine olmaktan bahsetmiyorum bile – alçakgönüllü akbabalarınız, bir yöneticinin şirket plastiğine 35 milyon doları doğrudan gider hesabından ödediğini duyunca şaşırmayacaktır.

Cezaya bileğe tokat demek bile fazla ağır bir ifadedir. Daha fazlasını toplayan Morgan Stanley’nin 12 milyar dolar kar 30 Haziran’a kadar sadece üç ay boyunca, darbeyi bile hissetti.

Twitter’ın eski güvenlik şefi Peiter “Mudge” Zatko’nun geçen hafta ABD Senatosu Yargı Komitesi önündeki ifadesini alıntılamak gerekirse, veri kötüye kullanımına ilişkin bu tek seferlik para cezaları sadece bir “iş yapmanın maliyeti,” kurumsal takımların kafasında.

SEC dedi ki [PDF] örneğin, 2016’da iki veri merkezini hizmet dışı bırakırken, MSSB tesislerden binlerce cihazda bulunan herhangi bir veriyi “kaldırmak, yok etmek veya silmek” için hareket eden bir şirket tuttu.

Ancak, taşınan şirketin bu tür veri imha hizmetleri sağlama deneyimi olmadığı söylendi. Bir noktada, söz konusu nakliye şirketi, cihazları silmek için bir e-atık yönetim firmasıyla çalışmayı bıraktı ve bunun yerine makineleri üçüncü bir tarafa satmaya başladı.

“MSSB’nin satıcısını denetleyememesinin bir sonucu olarak, [the] SEC’in şikayetine göre, hareket eden şirket, bazıları kümülatif olarak MSSB müşterilerinin binlerce PII parçasını içeren, silinmemiş sabit diskler de dahil olmak üzere yaklaşık 4.900 bilgi teknolojisi varlığı sattı” dedi.

Bir yıl sonra, bu silinmemiş sabit disklerden bazıları, Oklahoma’daki bir BT danışmanının satın aldığı çevrimiçi bir açık artırma sitesinde sona erdi ve ardından MSSB’ye, cihazlardaki verilere erişimi olduğunu söyleyen bir e-posta gönderdi. Finansal hizmetler firmasının sonunda sabit diskleri geri aldığı söylendi.

Buna ve MSSB’nin 2015’te hareket eden şirketin “güvenlik programının bağımsız olarak değerlendirilmediğini ve güvenlikte potansiyel boşluklara, ihlallere ve politikalara ve düzenleyici gerekliliklere uyulmamasına neden olduğunu” kabul etmesine rağmen, finansal hizmetler firmasının iddiaya göre kalitesiz şirketle çalışmaya devam ettiği iddia edildi. taşıyıcılar.

Ayrıca, SEC’e göre, 2017’de MSSB, hareket eden şirketin risk değerlendirmesini “orta”dan “düşük”e indirdi.

Bir başka büyük MSSB yanlış adımında, SEC, 2019’da benzer bir hizmetten çıkarma-yanlış giden olayını ortaya çıkardı. Bu kez, MSSB’nin “çeşitli yerel MSSB ofisleri veya şubelerinden” yaklaşık 500 depolama cihazının hizmet dışı bırakılmasını planladığı söylendi.

Ancak, depolama birimlerinin aslında imha edildiğini kontrol etme zamanı geldiğinde, SEC, “MSSB, 42 cihazın yerini tespit edemedi” iddiasında bulundu.

Ajans, “Kayıp 42 cihazın tümü potansiyel olarak şifrelenmemiş müşteri PII ve tüketici raporu bilgilerini içeriyordu” dedi. Ah.

Hizmetten çıkarılan cihazlar şifreleme özelliğine sahipti, ancak gözlemci, MSSB’nin 2018 yılına kadar şifreleme özelliğini etkinleştiremediğini ve o zaman bile 2018’den önce depolanan bazı verilerin şifrelenmemiş kaldığını söyledi.

SEC’in İcra Birimi direktörü Gurbir S. Grewal yaptığı açıklamada, “MSSB’nin bu davadaki başarısızlıkları şaşırtıcı” dedi. “Müşteriler, kişisel bilgilerini, korunacağı anlayışı ve beklentisiyle finans uzmanlarına emanet ediyor ve MSSB bunu yapmakta çok yetersiz kaldı. Düzgün korunmadığı takdirde, bu hassas bilgiler yanlış ellere geçebilir ve yatırımcılar için feci sonuçlara yol açabilir. “

Çok uzak çok iyi. Bunların herhangi biriyle tartışmak zor. Ancak daha sonra şunları ekledi: “Bugünkü eylem, finansal kurumlara bu tür verileri koruma yükümlülüklerini ciddiye almaları gerektiği konusunda açık bir mesaj gönderiyor.”

Görünüşe göre bir organizasyonun “açık mesajı”, diğerinin “iş yapmanın maliyeti”dir. ®


Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/09/20/mssb_sec_fine/

Yorum yapın