I costi astronomici di un programma di dismissione dei beni sono andati storto

Ogni entità dovrebbe avere un programma ITAD (Information Technology Asset Dismissione) come parte del proprio processo e procedura di sicurezza delle informazioni. Infatti, ogni volta che un asset informatico viene acquistato, l’eventuale dismissione di tale asset dovrebbe essere già definita all’interno di un ITAD. Quando non ne esiste uno, i dati vengono esposti, si verificano compromessi e, in molti casi, vengono comminate sanzioni. Tale è stato il caso di Morgan Stanley Smith Barney (MSSB), che continua a risentire delle ripercussioni del fallimento del loro ITAD negli ultimi anni, che ora ha portato a 155 milioni di dollari di multe e sanzioni.

Il 20 settembre 2022, la Securities and Exchange Commission (SEC) ha raggiunto un accordo transattivo in cui MSSB ha pagato una sanzione di 35 milioni di dollari per lo smaltimento improprio di dispositivi contenenti informazioni di identificazione personale (PII) del cliente MSSB.

Nell’ottobre 2020, l’Office of the Comptroller of Currency ha emesso un ordine di consenso in cui MSSB ha accettato di pagare una penale di $ 60 milioni. Ciò è avvenuto nel gennaio 2022 con la definizione di un’azione legale collettiva in cui MSSB ha accettato un importo uguale per le vittime del fallimento dell’ITAD e della conseguente esposizione dei dati.

Conseguenze di un programma ITAD carente

All’interno del documento di transazione SEC/MSSB, è chiaro che MSSB aveva un programma ITAD in atto, ma il programma era carente, in quanto “non era stato progettato in modo ragionevole” e “non era riuscito a garantire che un fornitore qualificato fosse utilizzato per la disattivazione dei dati. ” In uno dei casi documentati, MSSB ha fatto l’equivalente di ordinare dal menu in un ristorante: avevano una società di traslochi, Triple Crown, il cui bagaglio di competenze MSSB aveva identificato nella propria valutazione del rischio datata 2013 come “autotrasporto locale, deposito e lungo – spostamento a distanza.

Nel deposito del tribunale del 2021, MSSB ha passato il problema e ha descritto una catena a margherita di appaltatori e subappaltatori che hanno causato l’esposizione dei dati. MSSB ha incolpato Triple Crown per la sua incapacità di rimuovere, cancellare e riciclare i dispositivi in ​​modo sicuro. Nonostante un accordo secondo cui Triple Crown avrebbe dovuto ottenere il consenso di MSSB prima di assumere un subappaltatore, la banca ha affermato che Triple Crown ha venduto i dispositivi a AnythingIT, dicendo a MSSB che i dispositivi erano stati distrutti. AnythingIT inoltre non è riuscito a distruggere i dispositivi e ha continuato la catena a margherita di rivenderli a KruseCom.

Quando la dismissione di un bene diventa un inganno

Discutendo del fallimento di MSSB ITAD, Kyle Marks, esperto di catena di custodia ITAD e CEO di Retire-IT, ha osservato che “il modo in cui Morgan Stanley ha gestito ITAD non è insolito. Essere catturati lo è. ITAD ha un problema con gli incentivi. Tutti hanno un incentivo a nascondere i problemi nella disposizione delle risorse IT. ITAD è l’ultimo passo nel lunghissimo viaggio del ciclo di vita delle risorse IT”.

Marks ha sottolineato l’importanza di un solido programma ITAD come parte dell’approvvigionamento e del viaggio di vita di un dispositivo: “Le discrepanze di inventario iniziano il giorno in cui viene distribuito il nuovo hardware. Le discrepanze aumentano durante ogni fase”, ha detto.

“Invece di monitorare le risorse e segnalare le perdite quando si verificano, le organizzazioni aspettano che le risorse vengano ritirate. Troppo spesso la gestione delle risorse IT utilizza ITAD per nascondere i problemi sotto il tappeto. I riciclatori elettronici sono complici volenterosi: i fornitori sono felici di acquistare il vecchio hardware. Non hanno incentivi a parlare. Senza controlli adeguati, ITAD è ‘IT Asset Deception'”.

Gurbir S. Grewal della SEC, direttore della divisione Enforcement della SEC, ha commentato in una dichiarazione pubblica: “I fallimenti di MSSB in questo caso sono sorprendenti. I clienti affidano le loro informazioni personali a professionisti finanziari con la consapevolezza e l’aspettativa che saranno protette e MSSB non è riuscita a farlo. Se non adeguatamente salvaguardate, queste informazioni sensibili possono finire nelle mani sbagliate e avere conseguenze disastrose per gli investitori. L’azione di oggi invia un chiaro messaggio alle istituzioni finanziarie che devono prendere sul serio il loro obbligo di salvaguardare tali dati”.

L’asporto per i CISO

È fondamentale che i leader della sicurezza IT ricordino che un programma ITAD è la sicurezza dei dati 101. È anche importante seguire quel programma. È un must-have, non un bell’avere. È qui che è chiaro che MSSB ha fallito, mancando di controlli e equilibri adeguati per verificare che ciò che pensavano sarebbe successo nello smaltimento delle apparecchiature IT, si è svolto come previsto. Come con la maggior parte delle debacle, la pulizia costa più che istituire con competenza il programma Nel caso di MSSB non solo hanno avuto anni di spese legali, ma hanno anche pagato 155 milioni di dollari di multe.

Avrebbero potuto trarre grandi benefici dal proverbio russo: “Fidati, ma verifica”.

Copyright © 2022 IDG Communications, Inc.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *