22.11.2023
1 хв
1427
Morgan Stanley погодилася на компенсацію в розмірі 6,5 мільйонів доларів через незахищену утилізацію обладнання, що містить незашифровану особисту інформацію.
За словами Генеральної прокуратури Флориди, через недбалість внутрішньої практики безпеки даних міжнаціональний інвестиційний банк і компанія, що надає фінансові послуги, потенційно розкрили особисту інформацію мільйонів клієнтів.
Розслідування щодо компанії виявило, що вона не видаляла належним чином незашифровану особисту інформацію, що зберігалася на пристроях, які виводилися з експлуатації.
Зокрема, намагаючись вивести з експлуатації тисячі жорстких дисків, що містять конфіденційну інформацію про споживача, Morgan Stanley найняв «компанію, що займається переїздом без досвіду надання послуг зі знищення даних», і не зміг контролювати її дії.
Компанія-перевізник, за словами AG, продавала комп’ютерне обладнання на інтернет-аукціонах без відома Morgan Stanley. Зрештою, покупець, який перебував на нижчому рівні, знайшов дані та зв’язався з Morgan Stanley.
Під час іншого процесу виведення з експлуатації фінансова компанія виявила 42 зниклих сервера, які потенційно містили незашифровану інформацію про клієнтів. Розслідування виявило, що проблема виникла через «помилку виробника в програмному забезпеченні шифрування».
Розслідування також виявило, що фінансова компанія не змогла запровадити належний контроль постачальників та інвентаризацію активів, що могло б запобігти викриттю даних.
У рамках угоди (PDF), окрім виплати 6,5 мільйонів доларів штатам Флорида, Коннектикут, Індіана, Нью-Джерсі, Нью-Йорк і Вермонт, Morgan Stanley було зобов’язано покращити безпеку особистої інформації.
Компанії було наказано шифрувати дані як у стані спокою, так і під час передачі, запровадити політику збору, використання, зберігання та видалення даних, запровадити інструменти для відстеження обладнання, що містить особисту інформацію, і підтримувати програму інформаційної безпеки, план реагування на інциденти та команда оцінки ризиків постачальника.
Тому і кажемо, що треба дуже серйозно відноситись до кібербезпеки!
