Miljoenenboete voor onversleutelde HDD's, opgedoken op veiling

De SEC (Securities and Exchange Commission) spreekt van uitgebreid falen over een periode van maar liefst vijf jaar. Morgan Stanley (dat voluit Morgan Stanley Smith Barney LLC (MSSB) heet) heeft met een structureel verkeerde aanpak de gegevens van 15 miljoen klanten op straat laten komen. Het bedrijf is daarmee flink tekortgeschoten in zijn wettelijke verplichting om zulke persoonlijke identificeerbare informatie (PII) adequaat te beschermen.

Afdanken van hardware

MSSB heeft sinds 2015 niet goed gezorgd voor correct afdanken van apparaten waarop PII van zijn klanten stond, meldt de SEC in een persbericht over de miljoenenboete. De financieel dienstverlener heeft meerdere keren een bedrijf ingehuurd voor verhuizingen en opslag dat echter totaal geen ervaring of expertise had op het gebied van datavernietiging. Het onervaren en ongeschikte bedrijf is wel meermaals in de arm genomen om duizenden harde schijven en servers te verwerken. Daarop stonden dus gegevens van en over klanten van Morgan Stanley.

De SEC heeft ook geconstateerd dat MSSB in de loop van de jaren geen goed toezicht heeft gehouden op het uitvoerende werk van het verhuisbedrijf. Onderzoekers van de toezichthouder hebben ontdekt dat die firma duizenden apparaten, waaronder harde schijven en servers, heeft verkocht aan een derde partij. Op sommige van die datadragers en systemen bevonden zich PII. Uiteindelijk is een deel van deze hardware, nog compleet met data, doorverkocht op een online-veilingsite. De data bleek ook niet versleuteld te zijn, dus open en bloot leesbaar.

Servers vermist

Morgan Stanley heeft sommige van deze apparaten weer in handen weten te krijgen. Het merendeel van de hardware bij dit datalek is echter niet 'gered'. Bij het ontmantelen van afgeschreven servers in datacenters en lokale kantoren, wat onderdeel was van een brede hardwareverversing, is ook gebleken dat er 42 servers zijn zoekgeraakt. Hierbij heeft MSSB ook ontdekt dat afgeschreven servers wel voorzien waren van mogelijkheden voor dataversleuteling, maar dat die functionaliteit niet was benut. De encryptiesoftware was jarenlang niet geactiveerd, meldt de SEC.