SEC mendenda Morgan Stanley $35 juta setelah mengungkapkan data pelanggan dari 1.000 hard drive di lelang.

Telapak: Pada hari Rabu, Morgan Stanley menyelesaikan keluhan Komisi Sekuritas dan Bursa (SEC) tentang pelanggaran keamanan “volatile” antara 2016 dan 2021. Raksasa keuangan itu setuju untuk membayar denda $ 35 juta untuk pembuangan hard drive yang tidak semestinya dari pusat data yang mengubahnya mati.

Menurut gugatan SEC, Morgan Stanley melelang hampir 1.000 hard drive tidak terenkripsi yang isinya tidak terhapus. Perusahaan juga diduga telah membuang ribuan hard drive dan media cadangan magnetik secara tidak benar dan membocorkan data lebih dari 15 juta pelanggan Morgan Stanley. Para pejabat menggambarkan kerentanan sebagai “tidak dapat dipercaya.”

“Kegagalan MSSB dalam kasus ini sulit dipercaya. Grewal, direktur penegakan di SEC, kata Gourbert S. . “Jika informasi sensitif ini tidak dilindungi dengan baik, itu bisa jatuh ke tangan yang salah dan memiliki konsekuensi serius bagi investor.”

Menurut SEC, Morgan Stanley menutup dua pusat data pada tahun 2016, yang menyebabkan serangkaian pelanggaran keamanan yang berasal dari kelalaian perusahaan.

“Ini adalah lembaga keuangan besar dan mereka memiliki pedoman yang sangat ketat untuk menangani perangkat yang sudah habis masa pakainya.”

Alih-alih menghancurkan hard drive atau menyerahkannya ke tim TI internal, perusahaan terlebih dahulu menyewa drive eksternal untuk menangani perangkat keras. Drive menangkap 53 susunan RAID yang terdiri dari sekitar 1.000 hard drive dan sekitar 8.000 pita cadangan. Perusahaan keuangan tidak memiliki pengalaman dalam membongkar media penyimpanan.

Perusahaan pemindahan pertama kali menyewa perusahaan komputer untuk menghapus drive. Namun, kedua perusahaan tidak setuju dan perusahaan pelayaran mulai menjual perangkat penyimpanan ke perusahaan lain, yang berbalik dan melelangnya secara online tanpa menghapusnya.

Pada tahun 2017, hampir setahun setelah memulai Project Takedown, seorang profesional TI di Oklahoma mengirim email ke Morgan Stanley dan mengatakan bahwa dia memiliki hard drive yang berisi data pelanggan. perusahaan.

“Anda adalah lembaga keuangan besar dan memiliki kebijakan yang sangat ketat untuk mengelola perangkat lama,” tulis konsultan TI tersebut. “Atau setidaknya dapatkan semacam jaminan korupsi data dari vendor tempat Anda menjual perangkat keras.”

Akibatnya, perusahaan manajemen aset membeli kembali semua hard drive miliknya.

Selain mengabaikan untuk tidak mengeluarkan drive dan mengamati apa yang dilakukan kontraktor dengannya, sebagian besar data pelanggan tidak dienkripsi, meskipun banyak hard drive mendukung enkripsi. built-in. Morgan Stanley baru mulai mengenkripsinya pada tahun 2018 dan hanya untuk file baru – data lama masih tidak terlindungi. SEC mengatakan beberapa informasi tetap didekripsi setelah 2018 karena kerentanan dalam suite privasinya.

Morgan Stanley setuju untuk membayar denda tanpa mengakui kesalahan atau kesalahannya. Business Standard mencatat bahwa seorang juru bicara mengatakan tidak ada indikasi bahwa pelanggan terpengaruh.

“Kami telah memberi tahu pelanggan yang terkena dampak tentang masalah ini selama beberapa tahun, dan belum mengidentifikasi akses tidak sah atau penyalahgunaan informasi pribadi pelanggan,” kata juru bicara itu.

Baca Juga!

AI Rights Act dan Perbaikan Pipa Nord Stream

Pesan: Presiden AS Biden hari ini meluncurkan Undang-Undang Hak Kecerdasan Buatan baru yang menetapkan lima …