वित्तीय दिग्गज ने एक चलती कंपनी को काम पर रखा है, जिसके पास डेटा विनाश में कोई अनुभव नहीं है, हार्ड ड्राइव को लगभग व्यक्तिगत डेटा के साथ निपटाने के लिए 954 मिलियन ग्राहक, एसईसी ने कहा। छवि: एडोब स्टॉक मॉर्गन स्टेनली स्मिथ बार्नी (MSSB) ने लाखों ग्राहकों की व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) की सुरक्षा करने में विफल रहने के बाद खुद को अमेरिकी सरकार से भारी जुर्माना लगाया है। सोमवार को पोस्ट किए गए एक नोटिस में, एसईसी ने घोषणा की कि कंपनी ने एजेंसी के इस निष्कर्ष पर सहमति व्यक्त की है कि उसने ग्राहक डेटा की सुरक्षा और निपटान के संबंध में संघीय नियमों का उल्लंघन किया है। जवाब में, एमएसएसबी $ मिलियन डॉलर का जुर्माना देने के लिए सहमत हो गया है।
मॉर्गन स्टेनली स्मिथ बार्नी पर जुर्माना क्यों लगाया गया? ) यह निष्कर्ष उन कार्यों से उपजा है जहां तक वापस डेटिंग कर रहा है जिसमें MSSB ने अपने ग्राहकों के PII वाले हार्डवेयर का सही ढंग से निपटान करने की उपेक्षा की। SEC के अनुसार, कई अवसरों पर ग्राहक डेटा के साथ हजारों हार्ड ड्राइव और सर्वर को बंद करने के साथ, कंपनी ने डेटा विनाश में बिना किसी अनुभव के एक चलती और भंडारण फर्म को काम पर रखा और फर्म के काम की निगरानी करने में विफल रही।
एजेंसी की जांच में पाया गया कि चलती फर्म ने हजारों सर्वर और हार्ड ड्राइव, कुछ ग्राहक पीआईआई के साथ, तीसरे पक्ष को बेचे। उन उपकरणों को अंततः एक इंटरनेट नीलामी साइट पर फिर से बेचा गया, फिर भी उन पर ग्राहक डेटा के साथ। MSSB ने कुछ उपकरणों को पुनः प्राप्त कर लिया, लेकिन अधिकांश अभी भी गायब हैं, जिनमें 42 सर्वर शामिल हैं। बरामद किए गए उपकरण अनएन्क्रिप्टेड ग्राहक जानकारी के साथ पाए गए। भले ही कंपनी ने उन्हें एक एन्क्रिप्शन विकल्प से लैस किया था, लेकिन उसने उस सुविधा को सक्रिय करने की उपेक्षा की। “इस मामले में एमएसएसबी की विफलताएं आश्चर्यजनक हैं,” गुरबीर ने कहा ग्रेवाल, एसईसी के प्रवर्तन विभाग के निदेशक। “ग्राहक अपनी व्यक्तिगत जानकारी वित्तीय पेशेवरों को इस समझ और उम्मीद के साथ सौंपते हैं कि इसे संरक्षित किया जाएगा, और ऐसा करने में एमएसएसबी बुरी तरह से कम हो गया। यदि ठीक से सुरक्षित नहीं किया गया, तो यह संवेदनशील जानकारी गलत हाथों में जा सकती है और निवेशकों के लिए विनाशकारी परिणाम हो सकते हैं। ”
देखें: मोबाइल डिवाइस सुरक्षा नीति (TechRepublic Premium) ) एमएमएसबी की प्रतिक्रिया क्या थी? इसके अंत में, एमएसएसबी ने एसईसी का अनुपालन किया आदेश दिया और वास्तविक निष्कर्षों को स्वीकार या अस्वीकार किए बिना जुर्माना अदा करने के लिए सहमत हुए। TechRepublic को भेजे गए एक बयान में, MSSB के एक प्रवक्ता ने कहा: “हम इस मामले को सुलझाकर खुश हैं। हमने पहले लागू ग्राहकों को इन मामलों के बारे में सूचित किया है, जो कई साल पहले हुआ था, और व्यक्तिगत ग्राहक जानकारी तक किसी भी अनधिकृत पहुंच या दुरुपयोग का पता नहीं चला है। ”
लेकिन MSSB ने स्पष्ट रूप से घटनाओं की इस श्रृंखला में कई गलतियाँ कीं। कंपनी चलती और भंडारण फर्म की उचित जांच करने में विफल रही। यह उस फर्म के काम की निगरानी करने में विफल रहा। और यह विकल्प उपलब्ध होने के बावजूद उचित एन्क्रिप्शन को लागू करने में विफल रहा।
“एमएसएसबी का मामला अद्वितीय है क्योंकि उन्होंने हार्ड ड्राइव और सर्वर को एक पीआईआई को प्लेनटेक्स्ट में स्टोर करते हुए थर्ड पार्टी, ”सिक्योरिटी फर्म पियानो के सह-संस्थापक और सीईओ गिल डाबा ने कहा। “आमतौर पर, हमलावरों को सोशल हैकिंग या ज्ञात कमजोरियों का उपयोग करके क्रेडेंशियल प्राप्त करना चाहिए। PII तक अनधिकृत पहुंच को रोकने के लिए रक्षा की कुछ पंक्तियों (जैसे अभिगम नियंत्रण, टोकनकरण, मास्किंग, आदि) की आवश्यकता होती है। यहाँ, सरल एन्क्रिप्शन से समस्या हल हो जाती। ”
व्यक्तिगत डेटा की सुरक्षा के लिए MSSB की विफलताओं के साथ संयुक्त जुर्माना अन्य लोगों के लिए वेक-अप कॉल के रूप में काम करना चाहिए। संगठन जो संवेदनशील ग्राहक जानकारी एकत्र और संग्रहीत करते हैं।
“जुर्माने का आकार उस दृश्यता को दर्शाता है जो डेटा सुरक्षा एक संगठन के भीतर होनी चाहिए,” माइक ने कहा सुरक्षा फर्म पाथलॉक के सीएमओ पुटरबाग। “यह कहने के लिए पर्याप्त है कि इसे बोर्ड-स्तरीय जवाबदेही विषय के रूप में देखा जाना चाहिए। इस समाचार को डेटा सुरक्षा क्षमताओं (उपकरण, प्रक्रियाओं, आदि) की समीक्षा करने के लिए एक कॉल टू एक्शन बनाना चाहिए और यह सुनिश्चित करना चाहिए कि आंतरिक ऑडिट में डेटा सुरक्षा नियंत्रणों का परीक्षण और सत्यापन शामिल है।”
देखना: पासवर्ड भंग: पॉप संस्कृति और पासवर्ड मिश्रित क्यों नहीं होते (मुफ्त पीडीएफ) (टेक रिपब्लिक)
संगठनों के लिए सलाह संगठन कैसे सुनिश्चित कर सकते हैं कि वे ग्राहक डेटा को ठीक से सुरक्षित कर रहे हैं और नियामक या कानूनी समस्याओं से बच रहे हैं?
“संगठनों को डेटा के लिए सबसे आकर्षक लक्ष्य के साथ शुरू करना चाहिए – व्यावसायिक अनुप्रयोग जिस पर हर कंपनी निर्भर करती है,” पुटरबाग ने विशिष्ट उदाहरणों के रूप में ईआरपी, एचआर और आपूर्ति श्रृंखला ऐप्स का हवाला देते हुए कहा।
Puterbaugh के अनुसार, उचित डेटा सुरक्षा के लिए आवश्यक है कि संगठनों के पास अपने नियंत्रणों के परीक्षण के लिए आवश्यक उपकरण हों। इसमें भूमिका-आधारित अभिगम नियंत्रण शामिल हैं जो यह निर्धारित करते हैं कि कौन कौन से कार्य कर सकता है और नीति-आधारित अभिगम नियंत्रण डेटा को गतिशील रूप से सुरक्षित रखने के लिए डिज़ाइन किया गया है। “कंपनी के लिए क्या महत्वपूर्ण है समझने के लिए बोर्ड और नेतृत्व यह है कि डेटा सुरक्षा के लिए व्यवसाय की आवश्यकता होती है (व्यवसाय की लाइनें जो संवेदनशील डेटा संग्रहीत करने वाले व्यावसायिक अनुप्रयोगों पर निर्भर करती हैं) और आईटी (व्यापक प्रणालियों की सुरक्षा और सुरक्षा के लिए जिम्मेदार) संवेदनशील डेटा हासिल करने के लिए प्रभावी नीतियां बनाने के लिए मिलकर काम करती हैं। ,” Puterbaugh ने जोड़ा। इसे अभी डाउनलोड करने के लिए यहां क्लिक करें और अधिक उपयोगी संसाधनों तक पहुंच प्राप्त करने के लिए सदस्यता लें।
Be First to Comment