Dyski z niezabezpieczonymi danymi wylądowały na aukcjach internetowych
Morgan Stanley zgodził się we wtorek zapłacić Komisji Papierów Wartościowych i Giełd (SEC) – 35 milionów dolarów kary za naruszenia bezpieczeństwa danych, które obejmowały odsprzedanie niezaszyfrowanych dysków twardych z wycofanych centrów danych na serwisach aukcyjnych bez uprzedniego, proceduralnego wyczyszczenia.
Komisja stwierdziła, że niewłaściwa utylizacja tysięcy dysków twardych rozpoczęła się w 2016 r. kiedy Morgan Stanley zatrudniło firmę przeprowadzkową do przeniesienia infrastruktury, która nie posiadała stosownego doświadczenia w utylizacji nośników z danymi osobowymi. Firma przeprowadzkowa otrzymała 53 macierzy RAID, które łącznie zawierały około 1000 dysków twardych, a także usunęła około 8000 taśm z kopiami zapasowymi z jednego z centrów danych MSSB. Firma usługobiorcy odsprzedawała urządzenia innej firmie, która z kolej sprzedawała je na aukcjach internetowych. W 2017 r., ponad rok po zamknięciu centrum danych, urzędnicy Morgan Stanley otrzymali wiadomość e-mail od konsultanta IT w Oklahomie, informując ich, że dyski twarde, które kupił w serwisie aukcyjnym online, zawierają dane chronione, a dodatkowo większość macierzy nie miała włączonego szyfrowania pomimo, że ta opcja była programowo dostępna.
Nie przyznając ani nie zaprzeczając roszczeniom komisji SEC, przedstawiciele firmy zgodzili się z wtorkowym ustaleniem, że naruszyli oni zasady zabezpieczeń i usuwania zgodnie z amerykańskim rozporządzeniem S-P i zgodzili się zapłacić karę w wysokości 35 milionów dolarów.
A Wy jak dbacie o likwidację nośników?