Morgan Stanley multado con 35 millones de dólares tras subastar discos duros no cifrados ni borrados

imágenes falsas

Morgan Stanley acordó el martes pagar a la Comisión de Bolsa y Valores (SEC) una multa de 35 millones de dólares por violaciones de datos que incluyeron discos duros sin cifrar de centros de datos fuera de servicio que se revendieron en sitios de subastas sin borrarlos primero.

La acción de la SEC dijo que la eliminación inadecuada de miles de discos duros a partir de 2016 fue parte de una «falla generalizada» durante un período de cinco años para proteger los datos de los clientes según las regulaciones federales. La agencia dijo que las interrupciones también incluyeron la eliminación inadecuada de discos duros y cintas de respaldo al desmantelar los servidores en las oficinas locales. En total, la SEC dijo que se divulgaron datos sobre 15 millones de clientes.

«Fracasos asombrosos»

«El fracaso de MSSB en este caso es asombroso», dijo Gurbir S. Grewal, director de la División de Ejecución de la SEC, utilizando las iniciales de Morgan Stanley Smith Barney, el nombre completo de la empresa. «Los clientes confían su información personal a profesionales financieros con el entendimiento y la expectativa de que estará protegida, y MSSB ha fracasado estrepitosamente».

Gran parte del fracaso se debió al hecho de que en 2016 se contrató a una empresa de mudanzas sin experiencia ni pericia en servicios de destrucción de datos para desmantelar miles de discos duros y servidores que contenían millones de datos de clientes. La empresa de mudanzas recibió 53 arreglos RAID que contenían aproximadamente 1000 discos duros y también eliminó aproximadamente 8000 cintas de respaldo de uno de los centros de datos de Morgan Stanley.

La empresa de mudanzas no identificada contrató primero a un especialista en TI para borrar o destruir los datos confidenciales almacenados en las unidades. Finalmente, la empresa de mudanzas dejó de trabajar con este especialista y comenzó a vender los dispositivos de almacenamiento a una empresa, que a su vez los subastó. La nueva empresa nunca fue revisada por Morgan Stanley ni aprobada como contratista o subcontratista para el proyecto de desmantelamiento.

En 2017, más de un año después de que se cerrara el centro de datos, los funcionarios de Morgan Stanley recibieron un correo electrónico de un consultor de TI de Oklahoma informándoles que los discos duros que había comprado en un sitio de subastas en línea contenían datos de Morgan Stanley.

En una denuncia, los funcionarios de la SEC escribieron: «En ese correo electrónico, el asesor informó a MSSB que ‘[y] Eres una gran institución financiera y debes seguir algunas pautas muy estrictas para manejar el hardware retirado. O al menos obtener algún tipo de confirmación de la destrucción de datos de los proveedores a los que vende dispositivos. MSSB finalmente volvió a comprar los discos duros propiedad del consultor”.

La acción de la SEC también dijo que muchos de los dispositivos de almacenamiento no tenían habilitado el cifrado, aunque existía la opción. Incluso después de que la firma de inversión comenzara a usar opciones de cifrado en 2018, solo se protegieron los datos recién escritos en los discos duros. En algunos casos, los datos aún no se encriptaron correctamente debido a un error en el producto de un proveedor desconocido.

Sin admitir ni negar las acusaciones de la SEC, Morgan Stanley estuvo de acuerdo con el hallazgo del martes de que violó las reglas de seguridad y disposición del Reglamento SP y acordó pagar la multa de $35 millones.

En un comunicado, los funcionarios de Morgan Stanley escribieron: «Nos complace resolver este asunto. Hemos notificado previamente a los clientes afectados sobre estos asuntos, que surgieron hace varios años, y no hemos identificado ningún acceso no autorizado o uso indebido de los datos personales de los clientes”.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí