Hồ sơ Tố tụng Hành chính số 3-21112 - tài liệu chính thức của SEC về vấn đề này thực sự hữu ích cho bất kỳ ai trong lĩnh vực SecOps hoặc an ninh mạng. Hồ sơ dài 11 trang, bộc lộ nhiều khúc mắc, sự tắc trách trái phép trong việc thuê các nhà thầu phụ, thiếu sự giám sát và theo dõi cũng như những lối tắt thiếu thận trọng.

Thông qua nhà thầu, Morgan Stanley đã bán khoảng 4.900 tài sản công nghệ thông tin có chứa thông tin định danh cá nhân (PII) của khách hàng, nhiều tài sản trong số đó vẫn còn PII khi đến tay chủ sở hữu mới; ngừng hoạt động 500 thiết bị bộ nhớ đệm mạng có chứa PII của khách hàng mà trạng thái tốt nhất là mã hóa một phần, trong đó bao gồm 42 thiết bị được coi là đã “hủy”.

SEC cho biết, việc xử lý hàng nghìn ổ cứng không đúng cách đã được bắt đầu từ năm 2016 là một phần của "thất bại nghiêm trọng" về bảo vệ dữ liệu của khách hàng theo yêu cầu của quy định liên bang trong khoảng 5 năm. Cơ quan này cho biết, các lỗi còn bao gồm việc xử lý ổ cứng và băng sao lưu không đúng cách khi ngừng hoạt động các máy chủ tại các chi nhánh. Tổng cộng, SEC cho biết dữ liệu của 15 triệu khách hàng đã bị lộ.

Phần lớn thất bại bắt nguồn từ việc thuê một công ty vận chuyển không có kinh nghiệm hoặc chuyên môn về dịch vụ hủy dữ liệu để phá hủy hàng nghìn ổ cứng và máy chủ chứa dữ liệu của hàng triệu khách hàng vào năm 2016. Công ty vận chuyển đó đã nhận được 53 mảng RAID chứa tổng cộng khoảng 1.000 ổ cứng, và họ cũng loại bỏ khoảng 8.000 băng sao lưu khỏi một trong các trung tâm dữ liệu của Morgan Stanley.

Công ty vận chuyển (giấu tên) ban đầu đã ký hợp đồng với một chuyên gia CNTT để xóa hoặc phá hủy bất kỳ dữ liệu nhạy cảm nào được lưu trữ trên ổ đĩa. Tuy nhiên, công ty vận chuyển đã ngừng làm việc với chuyên gia đó và bắt đầu bán các thiết bị lưu trữ cho một công ty mà sau đó đã bán chúng trong cuộc đấu giá. Công ty mới này chưa bao giờ được Morgan Stanley xem xét hoặc phê duyệt làm nhà thầu hoặc nhà thầu phụ trong dự án ban đầu.

Vào năm 2017, hơn một năm sau khi trung tâm dữ liệu ngừng hoạt động, các quan chức Morgan Stanley nhận được email từ một nhà tư vấn CNTT ở Oklahoma, thông báo rằng ổ cứng mà ông mua từ một trang đấu giá trực tuyến có chứa dữ liệu của Morgan Stanley.

Trong một tài liệu, các quan chức của SEC đã viết “Trong email đó, nhà tư vấn đã thông báo với MSSB (Morgan Stanley Smith Barney) rằng, đây là một tổ chức tài chính lớn và phải tuân theo một số hướng dẫn rất nghiêm ngặt về cách xử lý phần cứng sắp ngừng sử dụng, hoặc ít nhất là nhận được một số cách xác minh về việc phá hủy dữ liệu từ các nhà cung cấp mà các tổ chức bán thiết bị'”. SEC lưu ý rằng, 14 đĩa đã được Morgan Stanley mua lại từ người khác vào tháng 6/2021 vẫn chưa được xóa dữ liệu, còn hoạt động tốt và chứa ít nhất 140.000 mảnh PII của khách hàng. SEC lưu ý, phần lớn các ổ đĩa cứng từ việc ngừng hoạt động của Trung tâm dữ liệu năm 2016 vẫn chưa tìm lại được”.

Trong trường hợp thứ hai của vụ việc, các thiết bị ngừng hoạt động là các máy chủ lưu trữ WAN (mạng diện rộng) được các văn phòng chi nhánh sử dụng để tối ưu hóa băng thông internet nhằm tăng tốc độ truy cập vào các tài liệu thông thường. Trớ trêu thay, các thiết bị này có tùy chọn mã hóa bất kỳ gói dữ liệu được lưu trữ nào, điều này giúp đơn giản hoá việc ngừng hoạt động. Nếu mọt tổ chức có thể cho thấy họ đã bật tùy chọn mã hóa và đã xóa tất cả các bản sao của khóa giải mã, thì các cơ quan quản lý bảo vệ dữ liệu ở nhiều quốc gia cũng sẽ coi dữ liệu được mã hóa là đã bị xóa. Dữ liệu được coi là không thể giải mã không có ý nghĩa hơn dữ liệu kỹ thuật số đã bị phá hủy. Nhưng Morgan Stanley rõ ràng đã không kích hoạt tùy chọn giải mã cho đến ít nhất một năm sau khi thiết bị được đưa vào sử dụng… Vì vậy, mã hóa chỉ áp dụng cho dữ liệu mới sau đó được ghi vào thiết bị, không áp dụng cho bất kỳ dữ liệu nào đã có trước đó. Tất cả những gì Morgan Stanley có thể chứng minh là mỗi thiết bị trong 42 thiết bị vẫn còn ở đâu đó chắc chắn chứa ít nhất một số PII của khách hàng không được mã hóa.

Bài học cho các doanh nghiệp

Người dùng có thể thuê ngoài an ninh mạng của mình nhưng không thể thuê ngoài trách nhiệm của mình. Đảm bảo rằng tuân thủ các quy định bảo vệ dữ liệu bằng cách theo dõi cách các nhà thầu của mình cũng đang tuân thủ các quy định đó. Một phần trong đơn khiếu nại của SEC đối với Morgan Stanley là lẽ ra phải thấy rõ rằng nhà điều hành được lựa chọn của họ đã đi chệch khỏi kế hoạch chính thức, do đó, công ty có thể tránh được việc bị quy kết không tuân thủ và khiến khách hàng của họ gặp rủi ro.

Mã hóa toàn bộ thiết bị có thể giúp tuân thủ các quy tắc bảo vệ dữ liệu. Dữ liệu được xáo trộn đúng cách mà không có khóa giải mã thực sự chỉ là nhiễu ngẫu nhiên, vì vậy nhiều cơ quan quản lý bảo vệ dữ liệu coi các đĩa "không thể giải mã" như thể chúng đã được xóa sạch dữ liệu hay chưa từng chứa dữ liệu. Nhưng người dùng phải có khả năng chứng tỏ rằng mình đã kích hoạt chức năng mã hóa một cách đúng đắn ngay từ đầu và bất kỳ ai mua đĩa đó trong tương lai không thể tìm được khóa giải mã.

Nếu không chắc chắn thì nên tiêu hủy thiết bị chứ đừng xóa dữ liệu và bán đĩa. Có những lý do hợp lý về môi trường để không hủy hoại một cách mù quáng và tái chế mọi thiết bị máy tính khi ngừng sử dụng, nhưng lợi nhuận thu được từ việc sử dụng lại thiết bị cũ sẽ giảm dần. Ngay cả các thiết bị lớn cũng có thể bị “băm nhỏ” về mặt vật lý, khiến chỉ có thể phục hồi phần cứng chứ không phải dữ liệu của chúng. Nếu không thể sử dụng lại nó một cách hữu ích, đừng nghĩ đến việc bán nó cho người khác - người có thể không xử lý nó một cách lành mạnh mà hãy tự xử lý nó một cách có trách nhiệm.

PII bị xử lý sai có thể còn tồn tại nhiều năm sau khi làm mất nó. Các thiết bị lưu trữ dữ liệu bị thất lạc có thể hiển thị trong tình trạng hoạt động hoàn hảo, với tất cả dữ liệu ban đầu của chúng còn nguyên vẹn, trong nhiều năm sau khi người dùng có thể cho rằng chúng đã bị mất mà không có dấu vết hoặc bị tiêu hủy.