Duży amerykański bank zachował się nieodpowiedzialnie

Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) odkryła, że bank inwestycyjny Morgan Stanley Smith Barney, obecnie znany jako Morgan Stanley Wealth Management, naraził dane osobowe 15 milionów klientów na ryzyko wycieku, ze względu na sposób, w jaki obchodził się ze starymi dyskami twardymi z serwerów.

Począwszy od 2015 roku, przez okres pięciu lat, Morgan Stanley wielokrotnie zatrudniał firmę zajmującą się przeprowadzkami, która rzekomo miała utylizować stare dyski twarde i całe serwery. Okazało się, że bank popełnił dwa błędy. Po pierwsze, według SEC firma wybrana do obsługi dysków „nie miała doświadczenia ani wiedzy w zakresie usług niszczenia danych”. Drugi błąd polegał na tym, że Morgan Stanley nie szyfrował danych przechowywanych na tych dyskach i nie próbował ich usunąć przed przekazaniem dysków firmie przeprowadzkowej.

Zobacz również:

• 6 sposobów na to, jak zniknąć z internetu
• Kolejne ograniczenia eksportu technologii do Chin

Ten scenariusz doprowadził do tego, że dane osobowe milionów klientów Morgan Stanley były dostępne na tysiącach starych dysków twardych bez jakiejkolwiek formy ochrony. SEC ustaliła, że zamiast trwale usuwać dane przechowywane na dyskach, firma przeprowadzkowa po prostu sprzedała urządzenia stronie trzeciej, która z kolei sprzedała niektóre z nich na aukcjach internetowych. Wszystko to odbyło się bez czyszczenia nośników ze starych danych! Zdecydowana większość tych dysków twardych nigdy nie została odzyskana.

Dochodzenie SEC wykazało, że „sprawa dotyczyła 42 serwerów, z których wszystkie potencjalnie zawierały niezaszyfrowane dane osobowe klientów i informacje o raportach konsumenckich”. Morgan Stanley posiada możliwości szyfrowania przechowywanych danych, ale nigdy z nich nie skorzystał.

Gurbir S. Grewal, dyrektor Departamentu Egzekwowania SEC, powiedział, że błędy Morgan Stanley były „zdumiewające”, a firma „w sposób żałosny” nie dbała o ochronę danych osobowych swoich klientów. Morgan Stanley zgodził się ze stwierdzeniem SEC, że „naruszył zasady bezpieczeństwa usuwania danych określone w rozporządzeniu S-P”, ale nie potwierdził szczegółowych ustaleń komisji, a także im nie zaprzeczył. Firma zgodziła się na zapłacenie kary w wysokości 35 milionów dolarów.

Korporacja przyznała się do winy

Rzecznik prasowy Morgan Stanley skomentował zakończenie śledztwa i zarzuty wniesione przeciwko firmie, mówiąc: „Cieszymy się z rozwiązania sprawy nieautoryzowanego dostępu do danych osobowych lub ich niewłaściwego wykorzystania".

Jak widać na podstawie opisywanych wydarzeń, nawet, wydawałoby się, dobrze zorganizowana instytucja, działająca na wielką skalę oraz wyposażona w prawie nieograniczone środki finansowe, zawodzi w kluczowych sprawach. Dlaczego Morgan Stanley dopuścił do wycieku tak dużej ilości danych osobowych swoich klientów w tak prozaiczny sposób? Zadziałał czynnik ludzki i brak odpowiednich procedur. Prawdopodobnie po tym, gdy sprawą zajęła się SEC i bank zapłacił wysoką karę, w firmie wprowadzono inne porządki w zakresie przetwarzania ważnych danych.

Źródło: PC Mag