imágenes falsas
Morgan Stanley acordó el martes pagar a la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) una multa de $ 35 millones por fallas en la seguridad de los datos que incluyeron discos duros sin cifrar de centros de datos fuera de servicio que se revendieron en sitios de subastas sin borrarlos primero.
La acción de la SEC dijo que la eliminación inadecuada de miles de discos duros a partir de 2016 fue parte de una “falla extensa” durante un período de cinco años para salvaguardar los datos de los clientes según lo exigen las regulaciones federales. La agencia dijo que las fallas también incluyeron la eliminación inadecuada de discos duros y cintas de respaldo al desmantelar servidores en sucursales locales. En total, la SEC dijo que se expusieron los datos de 15 millones de clientes.
“Fracasos asombrosos”
“Las fallas de MSSB en este caso son asombrosas”, dijo Gurbir S. Grewal, director de la división de ejecución de la SEC, usando las iniciales de Morgan Stanley Smith Barney, el nombre completo de la firma. “Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida, y MSSB se quedó muy corto al hacerlo”.
Gran parte del fracaso se debió a la contratación en 2016 de una empresa de mudanzas sin experiencia ni pericia en servicios de destrucción de datos para desmantelar miles de discos duros y servidores que contenían los datos de millones de clientes. La empresa de mudanzas recibió 53 arreglos RAID que, en conjunto, contenían aproximadamente 1000 discos duros, y también eliminó alrededor de 8000 cintas de respaldo de uno de los centros de datos de Morgan Stanley.
La empresa de mudanzas no identificada inicialmente contrató a un especialista en TI para borrar o destruir los datos confidenciales almacenados en las unidades. Eventualmente, la empresa de mudanzas dejó de trabajar con ese especialista y comenzó a vender los dispositivos de almacenamiento a una empresa que a su vez los vendió en una subasta. La nueva empresa nunca fue examinada por Morgan Stanley ni aprobada como contratista o subcontratista en el proyecto de desmantelamiento.
En 2017, más de un año después del desmantelamiento del centro de datos, los funcionarios de Morgan Stanley recibieron un correo electrónico de un consultor de TI en Oklahoma, informándoles que los discos duros que compró en un sitio de subastas en línea contenían datos de Morgan Stanley.
en un quejalos funcionarios de la SEC escribieron: “En ese correo electrónico, el consultor informó a MSSB que ‘[y]Usted es una institución financiera importante y debe seguir algunas pautas muy estrictas sobre cómo lidiar con el retiro del hardware. O al menos obtener algún tipo de verificación de la destrucción de datos de los proveedores a los que vende el equipo. MSSB finalmente recompró los discos duros en posesión de Consultant”.
La acción de la SEC también dijo que muchos de los dispositivos de almacenamiento no tenían activado el cifrado, aunque existía la opción. Incluso después de que la firma de inversión comenzara a usar opciones de encriptación en 2018, solo se protegieron los nuevos datos escritos en los discos. En algunos casos, los datos aún no se encriptaron correctamente debido a una falla en el producto de un proveedor no identificado.
Sin admitir ni negar los reclamos de la SEC, Morgan Stanley estuvo de acuerdo con el hallazgo del martes de que violó las Reglas de salvaguardia y disposición bajo la Regulación SP y acordó pagar la multa de $35 millones.
En un comunicado, los funcionarios de Morgan Stanley escribieron: “Nos complace resolver este asunto. Hemos notificado previamente a los clientes correspondientes sobre estos asuntos, que ocurrieron hace varios años, y no hemos detectado ningún acceso no autorizado o uso indebido de la información personal del cliente”.