Dyski z niezaszyfrowanymi danymi klientów giganta finansowego trafiły na aukcję. Kara jest śmieszna

Morgan Stanley Smith Barney, amerykański gigant świadczący usługi finansowe na całym świecie i specjalizujący się w pośrednictwie detalicznym, zgodził się zapłacić marne 35 milionów dolarów kary po tym, jak poufne dane klientów pozostawiono niezaszyfrowane dyskach twardych, które zostały wystawione na aukcję po likwidacji.

Firma ma zapłacić karę za to, że podczas kilku etapów likwidacji i przenoszenia serwerów w centrach danych, które rozpoczęło się w 2015 r., nie zadbano o poprawne pozbycie się tysięcy dysków twardych i taśm zapasowych zawierających dane osobowe. Według amerykańskiego organu nadzorczego, w ciągu pięciu lat aż 15 milionów niezaszyfrowanych prywatnych rekordów zostało w taki czy inny sposób potraktowanych niewłaściwie, od taśm, które nie zostały odpowiednio zniszczone, po wyprzedanie dysków bez wymazania. Firma w żaden sposób nie odniosła się ani do zarzutów, ani do kary. Dla firmy, która  zarządza aktywami klientów o łącznej wartości prawie 5 bilionów dolarów, kwota 35 milionów to jak drobne wydatki. Gigant zarobił ponad 12 miliardów dolarów w ciągu zaledwie trzech miesięcy do 30 czerwca.

Gigant finansowy nie zadbał o prawidłowe zniszczenie danych klientów na dyskach twardych, które trafiły na aukcję. Kara to nawet nie jest poklepanie po dłoni.

Komisja badająca sprawę ujawniła, że na przykład podczas likwidacji dwóch centrów danych w 2016 r. MSSB wynajął firmę przeprowadzkową do „zniszczenia wszelkich danych zawartych na tysiącach urządzeń z obiektów. Jednak firma przeprowadzkowa nie miała doświadczenia w świadczeniu tego rodzaju usług niszczenia danych. W pewnym momencie wspomniana firma przeprowadzkowa przestała współpracować z firmą zajmującą się zarządzaniem e-odpadami w celu wyczyszczenia urządzeń i zamiast tego zaczęła sprzedawać maszyny stronie trzeciej.

„W wyniku braku nadzoru dostawcy przez MSSB, firma przeprowadzkowa sprzedała około 4900 aktywów informatycznych, w tym nieoczyszczone dyski twarde, z których niektóre łącznie zawierały tysiące informacji umożliwiających identyfikację klientów MSSB”. Rok później niektóre z tych niewyczyszczonych dysków twardych trafiły na aukcję internetową, gdzie konsultant IT w Oklahomie kupił je, a następnie wysłał e-mail do MSSB, informując, że ma dostęp do danych na urządzeniach. Firma świadcząca usługi finansowe w końcu odkupiła dyski twarde.

Kolejny incydent dotyczy likwidacji z 2019 r. Tym razem MSSB zaplanowało wycofanie z eksploatacji około 500 urządzeń pamięci masowej z „różnych lokalnych biur lub oddziałów MSSB”. Jednak gdy nadszedł czas, aby sprawdzić, czy jednostki pamięci zostały faktycznie zniszczone, „MSSB nie był w stanie zlokalizować 42 urządzeń”.  „Wszystkie 42 brakujące urządzenia potencjalnie zawierały niezaszyfrowane dane osobowe klientów i informacje o raportach konsumenckich” - powiedziała Amerykańska Komisja Papierów Wartościowych i Giełd.