Morgan Stanley multado con 35 millones de dólares por subasta de discos duros no cifrados ni borrados

Morgan Stanley acordó el martes pagar una multa de 35 millones de dólares a la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) por fallos en la seguridad de los datos en los que discos duros encriptados de centros de datos fuera de servicio se revendieron en sitios de subastas sin destruirlos primero.

La acción de la SEC dijo que la eliminación inadecuada de miles de discos duros a partir de 2016 fue parte de una «falla general» durante un período de cinco años para proteger los datos de los clientes según lo exigen las regulaciones federales. La compañía dijo que las fallas incluyeron la extracción incorrecta de discos duros y cintas de respaldo mientras apagaba los servidores en las sucursales locales. En total, se expusieron los datos de 15 millones de clientes, dijo la SEC.

«Fallas impresionantes»

«Las fallas de MSSP en este caso son asombrosas» dijo El director de la División de Cumplimiento de la SEC, Gurbir S. Grewal usa las iniciales del nombre completo de la empresa, Morgan Stanley Smith Barney. «Los consumidores entregan su información personal a los profesionales financieros con el entendimiento y la expectativa de que estarán protegidos, y MSSP fue muy pobre al hacerlo».

Gran parte del fracaso se debió a la contratación de una empresa de mudanzas en 2016 sin experiencia ni pericia en servicios de destrucción de datos para eliminar miles de discos duros y servidores que contenían millones de datos de clientes. La empresa de mudanzas recibió 53 arreglos RAID que totalizaban alrededor de 1000 discos duros y eliminó alrededor de 8000 cintas de respaldo de uno de los centros de datos de Morgan Stanley.

La empresa de mudanzas no identificada inicialmente contrató a un especialista en TI para borrar o eliminar cualquier dato confidencial almacenado en las unidades. Eventualmente, la empresa de mudanzas dejó de trabajar con ese especialista y comenzó a vender los dispositivos de almacenamiento a una empresa, que a su vez los vendió en una subasta. La nueva empresa no ha sido examinada por Morgan Stanley ni aprobada como contratista o subcontratista en el proyecto de desmantelamiento.

En 2017, más de un año después del despido del centro de datos, los funcionarios de Morgan Stanley recibieron un correo electrónico de un consultor de TI en Oklahoma.

A quejaLos funcionarios de la SEC escribieron: “En ese correo electrónico, el abogado informó a MSB.[y]Usted es una gran institución financiera y debe seguir algunas pautas estrictas sobre cómo manejar el hardware de jubilación. O al menos puede obtener algún tipo de verificación de la destrucción de datos de los proveedores que venden el equipo.’ MSSB finalmente recompró los discos duros que estaban en posesión del consultor.

La acción SEC tampoco habilita el cifrado en muchos dispositivos de almacenamiento, aunque la opción permanece. Incluso después de que la firma de inversión comenzara a usar opciones de encriptación en 2018, solo se protegieron los nuevos datos escritos en los discos. En algunos casos, los datos aún no se cifran correctamente debido a una falla en el producto de un proveedor desconocido.

Sin admitir ni negar los reclamos de la SEC, Morgan Stanley aceptó el martes la conclusión de que violó las disposiciones de salvaguardia y disposición bajo la Regulación SP y acordó pagar una multa de $35 millones.

En un comunicado, los funcionarios de Morgan Stanley escribieron: “Nos complace resolver este asunto. Anteriormente, notificamos a los clientes correspondientes sobre estos asuntos hace años y nunca detectamos ningún acceso no autorizado o uso indebido de la información personal del cliente.