मॉर्गन स्टेनली के लिए $35M जुर्माना अनएन्क्रिप्टेड के बाद, बिना पोंछे हार्ड ड्राइव की नीलामी की जाती है

मॉर्गन स्टेनली के लिए $35M जुर्माना अनएन्क्रिप्टेड के बाद, बिना पोंछे हार्ड ड्राइव की नीलामी की जाती है

गेटी इमेजेज

मॉर्गन स्टेनली ने मंगलवार को सिक्योरिटीज एंड एक्सचेंज कमीशन (एसईसी) को डेटा सुरक्षा चूक के लिए $ 35 मिलियन का जुर्माना देने पर सहमति व्यक्त की, जिसमें डीकमीशन किए गए डेटा केंद्रों से अनएन्क्रिप्टेड हार्ड ड्राइव शामिल थे, जिन्हें पहले मिटाए बिना नीलामी साइटों पर फिर से बेचा जा रहा था।

एसईसी की कार्रवाई में कहा गया है कि 2016 में शुरू होने वाली हजारों हार्ड ड्राइव का अनुचित निपटान संघीय नियमों द्वारा आवश्यक ग्राहकों के डेटा की सुरक्षा के लिए पांच साल की अवधि में “व्यापक विफलता” का हिस्सा था। एजेंसी ने कहा कि विफलताओं में स्थानीय शाखाओं में सर्वर को बंद करते समय हार्ड ड्राइव और बैकअप टेप का अनुचित निपटान भी शामिल है। कुल मिलाकर, एसईसी ने कहा कि 15 मिलियन ग्राहकों का डेटा उजागर हुआ था।

“आश्चर्यजनक विफलताएं”

“इस मामले में MSSB की विफलताएं आश्चर्यजनक हैं,” कहा एसईसी के प्रवर्तन विभाग के निदेशक गुरबीर एस ग्रेवाल, मॉर्गन स्टेनली स्मिथ बार्नी के लिए आद्याक्षर का उपयोग करते हुए, फर्म का पूरा नाम। “ग्राहक अपनी व्यक्तिगत जानकारी वित्तीय पेशेवरों को इस समझ और उम्मीद के साथ सौंपते हैं कि इसे संरक्षित किया जाएगा, और ऐसा करने में MSSB बुरी तरह से कम हो गया।”

डेटा विनाश सेवाओं में कोई अनुभव या विशेषज्ञता के साथ एक चलती कंपनी के 2016 के भाड़े से उपजी अधिकांश विफलता लाखों ग्राहकों के डेटा वाले हजारों हार्ड ड्राइव और सर्वर को डीकमिशन करने के लिए है। चलती कंपनी को 53 RAID सरणियाँ मिलीं जिनमें सामूहिक रूप से लगभग 1,000 हार्ड ड्राइव शामिल थे, और इसने मॉर्गन स्टेनली डेटा केंद्रों में से एक से लगभग 8,000 बैकअप टेप भी हटा दिए।

अनाम चलती कंपनी ने ड्राइव पर संग्रहीत किसी भी संवेदनशील डेटा को मिटाने या नष्ट करने के लिए शुरू में एक आईटी विशेषज्ञ के साथ अनुबंध किया था। आखिरकार, चलती कंपनी ने उस विशेषज्ञ के साथ काम करना बंद कर दिया और भंडारण उपकरणों को एक कंपनी को बेचना शुरू कर दिया, जिसने बदले में उन्हें नीलामी में बेच दिया। नई कंपनी को मॉर्गन स्टेनली द्वारा कभी भी पुनरीक्षित नहीं किया गया था या डीकमिशनिंग परियोजना में ठेकेदार या उपठेकेदार के रूप में अनुमोदित नहीं किया गया था।

2017 में, डेटा सेंटर के डीकमीशनिंग के एक साल से अधिक समय बाद, मॉर्गन स्टेनली के अधिकारियों को ओक्लाहोमा में एक आईटी सलाहकार से एक ईमेल प्राप्त हुआ, जिसमें उन्हें सूचित किया गया कि उन्होंने एक ऑनलाइन नीलामी साइट से खरीदी गई हार्ड ड्राइव में मॉर्गन स्टेनली डेटा शामिल है।

में एक शिकायतSEC के अधिकारियों ने लिखा, “उस ईमेल में, सलाहकार ने MSSB को सूचित किया कि ‘[y]आप एक प्रमुख वित्तीय संस्थान हैं और सेवानिवृत्त होने वाले हार्डवेयर से निपटने के तरीके के बारे में कुछ सख्त दिशानिर्देशों का पालन करना चाहिए। या कम से कम उन विक्रेताओं से डेटा विनाश का किसी प्रकार का सत्यापन प्राप्त करना, जिन्हें आप उपकरण बेचते हैं।’ MSSB ने अंततः कंसल्टेंट के कब्जे में हार्ड ड्राइव को फिर से खरीद लिया।”

एसईसी कार्रवाई ने यह भी कहा कि कई भंडारण उपकरणों में एन्क्रिप्शन चालू नहीं था, हालांकि विकल्प मौजूद था। 2018 में निवेश फर्म द्वारा एन्क्रिप्शन विकल्पों का उपयोग शुरू करने के बाद भी, केवल डिस्क पर लिखे गए नए डेटा को सुरक्षित रखा गया था। कुछ मामलों में, अज्ञात विक्रेता के उत्पाद में किसी दोष के कारण डेटा अभी भी ठीक से एन्क्रिप्ट नहीं किया गया था।

एसईसी के दावों को स्वीकार या अस्वीकार किए बिना, मॉर्गन स्टेनली ने मंगलवार के निष्कर्ष पर सहमति व्यक्त की कि उसने विनियमन एसपी के तहत सुरक्षा और निपटान नियमों का उल्लंघन किया और $ 35 मिलियन जुर्माना देने पर सहमत हुए।

मॉर्गन स्टेनली के अधिकारियों ने एक बयान में लिखा, “हम इस मामले को सुलझाकर खुश हैं। हमने पहले लागू ग्राहकों को इन मामलों के बारे में सूचित किया है, जो कई साल पहले हुआ था, और व्यक्तिगत ग्राहक जानकारी तक किसी भी अनधिकृत पहुंच या दुरुपयोग का पता नहीं चला है।”

amar-bangla-patrika