Facepalm : mercredi, Morgan Stanley a réglé une plainte déposée par la Securities and Exchange Commission (SEC) concernant des défaillances de sécurité « incroyables » survenues entre 2016 et 2021. Le géant monétaire a consenti à payer une amende de 35 millions de dollars pour l’élimination inappropriée des disques durs de ses centres d’information désaffectés.
Selon la plainte de la SEC, Morgan Stanley a vendu aux enchères environ 1 000 disques durs non cryptés dont le contenu n’avait pas été supprimé. Il déclare également que l’entreprise s’est mal débarrassée de milliers de disques durs et de supports magnétiques de sauvegarde, exposant les données de plus de 15 millions de clients de Morgan Stanley. Les responsables ont qualifié les défaillances de sécurité d' »incroyables ».
» Les défaillances de MSSB dans ce cas sont impressionnantes. Les consommateurs délèguent leurs informations individuelles à des spécialistes monétaires avec la compréhension et l’espoir qu’elles seront protégées, et MSSB a été terriblement bref dans ce faisant », a déclaré le directeur de la division de l’application de la loi de la SEC, Gurbir S. Grewal. » Si elles ne sont pas efficacement protégées, ces informations délicates peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les financiers. «
Selon la SEC, Morgan Stanley a mis hors service deux centres de données en 2016, entraînant une cascade de failles de sécurité causées par la négligence de l’entreprise.
« Vous êtes une institution financière importante et vous devez suivre des directives très strictes sur la façon de gérer le matériel retiré. »
Pour commencer, à la place d’endommager les disques durs ou de les faire mettre à zéro par un groupe informatique interne, l’entreprise a engagé une entreprise de déménagement tierce pour s’occuper du matériel. Le déménageur a acquis 53 plages RAID composées d’environ 1 000 disques durs et d’environ 8 000 bandes de sauvegarde. L’entreprise anonyme n’aurait aucune expérience dans le démantèlement des supports de stockage.
L’entreprise de déménagement a initialement sous-traité une entreprise informatique pour nettoyer les disques. Cependant, l’entreprise 2 s’est disputée et le déménageur a commencé à proposer les périphériques de stockage à une autre entreprise qui s’est retournée et les a mis aux enchères en ligne sans les effacer.
En 2017, près d’un an après le début du projet de démantèlement , un expert en informatique de l’Oklahoma a envoyé un e-mail à Morgan Stanley et l’a informé qu’il avait des disques durs contenant les informations sur les clients de l’entreprise.
» Vous êtes une banque importante et devez suivre des normes très strictes sur la façon de gérer les départs à la retraite matériel », a composé l’expert informatique. » Ou, à tout le moins, obtenir une sorte de vérification de la destruction des données auprès des fournisseurs auxquels vous vendez du matériel. «
Nettoyer un disque dur n’est pas difficile, mais en mettre à zéro 1 000 pourrait être pénible.
L’entreprise de gestion de patrimoine a ensuite racheté tous les disques durs que le spécialiste avait dans ses affaires.
Au-delà de l’insouciance de ne pas remettre à zéro les disques et de ne pas garder un œil sur ce que ses professionnels faisaient avec eux, la plupart des données des clients n’étaient pas cryptées, même si de nombreux disques durs avaient une assistance intégrée au cryptage des fichiers. Morgan Stanley n’a commencé à utiliser le cryptage qu’en 2018 et uniquement pour les nouveaux fichiers – les anciennes données n’étaient toujours pas protégées. La SEC déclare que même après 2018, certains détails n’étaient toujours pas cryptés en raison d’une faille de sécurité dans sa suite de défense de l’information.
Morgan Stanley a accepté de payer l’amende sans avouer de culpabilité ou d’acte répréhensible. Business Standard note qu’un porte-parole a déclaré qu’il n’y avait aucune indication que des clients aient été touchés.
» Nous avons précédemment alerté les clients concernés concernant ces problèmes, qui se sont produits il y a de nombreuses années, et n’avons trouvé aucun accès non approuvé à, ou l’utilisation abusive des détails de chaque client « , a déclaré le porte-parole.
Toute l’actualité en temps réel, est sur L’Entrepreneur
