Mindössze 35 millió dollárból sikerült tisztára mosdatni magát az elmúlt években történt adatkezelési fiaskók után a Morgan Stanley-nek. A közel 5000 milliárd dolláros vagyont kezelő befektetési bank és pénzügyi szolgáltatónak ennyit kell büntetésként fizetnie azt követően, hogy az amerikai tőzsdefelügyelet (SEC) vizsgálatot indított az ügyben. Mint kiderült [PDF], a vállalat több alkalommal is súlyos mulasztásokat követett el az általa birtokolt személyes adatok kezelésénél. A felügyeleti hatóság jelentése szerint nagyjából 15 millióra tehető a potenciálisan érintett emberek köre. 

A gond 2015-ben kezdődött, amikor a vállalat több adatközponti szervereket érintő leszerelési, költöztetési projektbe kezdett. Egy évvel később két adatközpont felszámolásának feladatait egy költöztető cégre bízta a Morgan Stanley. A partnernek kellett volna gondoskodnia a létesítményben lévő több ezer eszközön található adatok eltávolításáról, illetve megsemmisítéséről. Csakhogy a feladattal megbízott vállalalkozás nem rendelkezett a feladat elvégzéséhez szükséges szaktudással. Ugyan egy ideig együttműködtek egy e-hulladékot kezelő másik céggel, ám később jobbnak látták simán értékesíteni a befektetési bank hardvereit.

Ez vezetett oda, hogy a Morgan Stanley közel 5000 informatikai eszköze került idegen kezekbe, köztük törlés nélkül átadott merevlemezekkel, amelyek között bőven akadt érzékeny ügyféladat is. Egy ilyen merevlemez aztán egy online aukciós oldalon tűnt fel, ahol azt egy oklahomai informatikai tanácsadó ütötte le. A szakember megdöbbenve szembesült azzal, milyen kényes személyes adatokkal van tele az eszköz, és rögtön értesítette is a Morgan Stanley-t. A cég ezt követően egyszerűen visszavásárolta az eszközt.

Különösen érdekes, hogy a még 2015-ben kelt belső feljegyzések szerint maga a Morgan Stanley is tisztában volt a költöztető cég információbiztonsági képességeinek hiányosságaival. Sőt a közben már a vállalat tudomására jutott visszásságok ellenére 2017-ben "mérsékeltről" "alacsonyra" csökkentette a költöztető cég kockázatértékelését.

2019-ben egy másik problémás hardverleszerelési projekt is történt. Ekkor a pénzügyi világcég különböző irodáiból és fiókjaiból tervezetk mintegy 500 tárolóeszközt begyűjötteni. A számba vétel során viszont kiderült, hogy 42 ilyen eszköznek egyszerűen nyoma veszett. Ezek mindegyikén ott lehettek ügyféladatok és egyéb érzékeny üzleti jelentések. Az már csak hab a tortán, hogy ezek az eszközök mindegyikében megvolt a titkosított tárolás lehetősége, ám ezt a funkciót egészen 2018-ig nem aktiválták a hardvereken.

Mellényzsebből kifizetik

A SEC illetékes igazgatója a Morgan Stanley mulasztásait megdöbbentőnek minősítette. Felvetette azt is, hogy az ügyfelek azzal a tudattal és elvárással bízzák személyes adataikat a pénzügyi szakemberekre, hogy azokat megvédik. És ha ez nem történik meg, az érzékeny információk pedig rossz kezekbe kerülnek, az "katasztrofális következményekkel járhat" a befektetőkre nézve. A tőzsdefelügyelet ügyben eljáró vezetője szerint a mostani intézkedés (a 35 milliós bűntetés) "egyértelmű üzenetet küld a pénzügyi intézményeknek, hogy komolyan kell venniük az ilyen adatok védelmére vonatkozó kötelezettségüket".

Ugyanakkor meglehetősen nehéz az igazgató utóbbi kijelentésével egyetérteni, ha hozzátesszük, hogy a vétkes vállalat tavaly több mint 15 milliárd dollárnyi nettó profitot tudott felmutatni, és az idei év a jelek szerint még jobban sikerülhet. Ehhez viszonyítva a 35 millió dolláros bírság valóban egyértelmű üzenetet küld a pénzügyi intézmények számára. Mégpedig azt, hogy nyugodtan végezhetik hanyagul a munkájukat, mert még ha le is buknak, annak sincs érdemi következménye.