corentino

Je n'ecris pas ces immondes critiques de cinéma

Morgan Stanley condamné à une amende de 35 millions de dollars après avoir vendu aux enchères des disques durs non cryptés et non compressés

Getty Images

Morgan Stanley a accepté mardi de payer une amende de 35 millions de dollars à la Securities and Exchange Commission pour des failles de sécurité des données impliquant des disques durs non chiffrés de centres de données déclassés qui sont revendus sur des sites d’enchères sans être effacés au préalable.

La SEC a déclaré que l’élimination inappropriée de milliers de disques durs à partir de 2016 faisait partie d’un « échec total » de cinq ans pour protéger les données des clients, comme l’exige la réglementation fédérale. L’agence a déclaré que les échecs comprenaient également l’élimination inappropriée des disques durs et des bandes de sauvegarde lorsque les serveurs des succursales locales étaient arrêtés. Au total, la SEC a déclaré que les données de 15 millions de clients ont été divulguées.

« Des échecs incroyables »

« L’échec de la MSSB dans ce cas est étonnant », Il a dit Grewal, directeur de l’application à la SEC, utilisant les initiales de Morgan Stanley Smith Barney, le nom complet de la société. « Les clients confient leurs informations personnelles à des professionnels de la finance en sachant et en s’attendant à ce qu’elles soient protégées, et MSSB a tragiquement échoué à le faire. »

Une grande partie de l’échec provient de l’embauche d’un opérateur en 2016 qui n’avait aucune expérience ou expertise dans les services de destruction de données pour arrêter les milliers de disques durs et de serveurs contenant les données de millions de clients. L’entreprise de déménagement a reçu 53 baies RAID qui contiennent collectivement près de 1 000 disques durs et a retiré environ 8 000 bandes de sauvegarde de l’un des centres de données de Morgan Stanley.

READ  Un tribunal français autorise Cairn à saisir 20 propriétés du gouvernement indien à Paris

L’entreprise de déménagement anonyme a initialement engagé un professionnel de l’informatique pour effacer ou détruire toutes les données sensibles stockées sur les disques. Finalement, l’entreprise de déménagement a cessé de travailler avec ce spécialiste et a commencé à vendre des périphériques de stockage à une entreprise qui, à son tour, les a vendus aux enchères. La nouvelle société n’a pas été examinée ni approuvée par Morgan Stanley en tant qu’entrepreneur ou sous-traitant du projet de démantèlement.

En 2017, plus d’un an après la fermeture du centre de données, les responsables de Morgan Stanley ont reçu un e-mail d’un consultant informatique de l’Oklahoma, leur disant que les disques durs qu’il avait achetés sur un site d’enchères en ligne contenaient des données de Morgan Stanley.

dans plainteles responsables de la SEC ont écrit : « Dans cet e-mail, l’avocat informe la MSSB que »[y]Vous êtes une grande institution financière et vous devez suivre des directives très strictes sur la façon de gérer le matériel obsolète. Ou au moins, obtenez une sorte de vérification de la destruction des données auprès des fournisseurs auxquels vous vendez l’équipement. Finalement, MSSB a racheté les disques durs en possession du consultant.

L’action de la SEC a également déclaré que de nombreux périphériques de stockage n’avaient pas de cryptage activé, même si l’option était là. Même après que la société d’investissement a commencé à utiliser des options de chiffrement en 2018, seules les nouvelles données écrites sur des disques étaient protégées. Dans certains cas, les données ne sont toujours pas correctement cryptées en raison d’un défaut du produit d’un vendeur inconnu.

READ  Ferrari rappelle des voitures de 17 ans

Sans reconnaître ni nier les allégations de la SEC, Morgan Stanley a accepté la conclusion de mardi selon laquelle elle avait violé les règles de sauvegarde et d’élimination en vertu de la réglementation SP et a accepté de payer une amende de 35 millions de dollars.

Les responsables de Morgan Stanley ont écrit dans un communiqué : « Nous sommes ravis de résoudre ce problème. Nous avons déjà informé les clients concernés de ces problèmes, qui se sont produits il y a plusieurs années, et nous n’avons détecté aucun accès non autorisé ou mauvaise utilisation des informations personnelles des clients ».