Morgan Stanley Salı günü, Menkul Kıymetler ve Borsa Komisyonu’na (SEC), hizmet dışı bırakılan veri merkezlerinden gelen şifrelenmemiş sabit disklerin silinmeden açık artırma sitelerinde yeniden satılmasını içeren veri güvenliği gecikmeleri için 35 milyon dolarlık bir ceza ödemeyi kabul etti.
SEC eylemi, 2016’da başlayan binlerce sabit diskin uygunsuz şekilde elden çıkarılmasının, federal düzenlemelerin gerektirdiği şekilde müşterilerin verilerini korumak için beş yıllık bir süre boyunca “kapsamlı bir başarısızlığın” parçası olduğunu söyledi. Ajans, arızaların, yerel şubelerdeki sunucuları devre dışı bırakırken sabit disklerin ve yedek bantların uygunsuz şekilde elden çıkarılmasını da içerdiğini söyledi. Toplamda, SEC 15 milyon müşteriye ait verilerin ifşa edildiğini söyledi.
“Şaşırtıcı başarısızlıklar”
SEC’in uygulama bölümü müdürü Gurbir S. Grewal, firmanın tam adı olan Morgan Stanley Smith Barney’nin baş harflerini kullanarak “MSSB’nin bu davadaki başarısızlıkları şaşırtıcı” dedi. “Müşteriler, kişisel bilgilerini korunacağı anlayışı ve beklentisiyle finans uzmanlarına emanet ediyor ve MSSB bunu yapmakta çok yetersiz kaldı.”
Başarısızlığın çoğu, 2016 yılında, milyonlarca müşterinin verilerini içeren binlerce sabit sürücüyü ve sunucuyu hizmet dışı bırakmak için veri imha hizmetlerinde deneyimi veya uzmanlığı olmayan hareketli bir şirketin işe alınmasından kaynaklandı. Taşınan şirket, toplu olarak kabaca 1.000 sabit disk içeren 53 RAID dizisi aldı ve ayrıca Morgan Stanley veri merkezlerinden birinden yaklaşık 8.000 yedekleme bandını kaldırdı.
Adı açıklanmayan taşıma şirketi, başlangıçta, sürücülerde depolanan hassas verileri silmek veya yok etmek için bir BT uzmanıyla anlaştı. Sonunda, nakliye şirketi bu uzmanla çalışmayı bıraktı ve depolama cihazlarını açık artırmada satan bir şirkete satmaya başladı. Yeni şirket, hiçbir zaman Morgan Stanley tarafından incelenmedi veya hizmetten çıkarma projesinde bir müteahhit veya taşeron olarak onaylanmadı.
2017’de, veri merkezinin hizmet dışı bırakılmasından bir yıldan fazla bir süre sonra, Morgan Stanley yetkilileri Oklahoma’daki bir BT danışmanından bir çevrimiçi açık artırma sitesinden satın aldığı sabit disklerin Morgan Stanley verilerini içerdiğini bildiren bir e-posta aldı.
Bir şikayette, SEC yetkilileri, “O e-postada, Danışman MSSB’yi bilgilendirdi.[y]büyük bir finans kuruluşusunuz ve donanımın kullanımdan kaldırılmasıyla nasıl başa çıkılacağı konusunda çok katı yönergeleri izlemelisiniz. Ya da en azından ekipman sattığınız satıcılardan veri imhasının bir tür doğrulamasını almak.’ MSSB sonunda Danışmanın mülkiyetindeki sabit diskleri geri satın aldı.”
SEC eylemi ayrıca, seçenek mevcut olmasına rağmen, birçok depolama cihazının şifrelemesinin açık olmadığını söyledi. Yatırım firması 2018 yılında şifreleme seçeneklerini kullanmaya başladıktan sonra bile sadece disklere yazılan yeni veriler korunuyordu. Bazı durumlarda, kimliği belirsiz bir satıcının ürünündeki bir kusur nedeniyle veriler hala düzgün bir şekilde şifrelenmedi.
SEC iddialarını kabul etmeden veya reddetmeden Morgan Stanley, Salı günkü düzenlemenin SP Düzenlemesi kapsamındaki Koruma Önlemleri ve İmha Kurallarını ihlal ettiği yönündeki bulguyu kabul etti ve 35 milyon dolarlık cezayı ödemeyi kabul etti.
Morgan Stanley yetkilileri yaptığı açıklamada, “Bu sorunu çözmekten memnunuz. Birkaç yıl önce meydana gelen bu konular hakkında ilgili müşterilerimize daha önce bildirimde bulunduk ve kişisel müşteri bilgilerine herhangi bir yetkisiz erişim veya kötüye kullanım tespit etmedik.”