A multa substancial foi imposta ao Morgan Stanley Bank, NA e ao Morgan Stanley Private Bank, NA, pelo Gabinete do Controlador de Moeda dos Estados Unidos (OCC), que descobriu deficiências nas práticas de desativação de dados dos bancos.
A agência bancária federal descobriu que, em 2016, os bancos “falharam em exercer a supervisão adequada da desativação de dois data centers de negócios de Wealth Management localizados nos Estados Unidos.”
Entre os problemas sinalizados pelo OCC estavam avaliação de risco inadequada e monitoramento de fornecedores terceirizados e falha em manter o controle das informações do cliente.
Uma ordem de consentimento para a avaliação de uma penalidade de dinheiro civil declara que os bancos “não avaliaram ou trataram de forma eficaz os riscos associados à desativação de seu hardware; não avaliaram adequadamente o risco de usar fornecedores terceirizados, incluindo subcontratados; e não manter um inventário apropriado dos dados do cliente armazenados nos dispositivos. “
O Morgan Stanley, com sede na cidade de Nova York, também não conseguiu exercer a devida diligência na seleção do fornecedor terceirizado contratado pelo Morgan Stanley e não monitorou adequadamente o desempenho do fornecedor.
Três anos depois da desativação dos dois data centers, a OCC constatou que a disposição dos dados nos bancos ainda não estava como deveria.
“Em 2019, os bancos experimentaram deficiências semelhantes de controle de gerenciamento de fornecedores em conexão com o descomissionamento de outros dispositivos de rede que também armazenavam dados de clientes”, afirmou o controlador.
Morgan Stanley, sob a direção do OCC, notificou os clientes potencialmente afetados do incidente de 2016 e voluntariamente notificou os clientes potencialmente afetados do incidente de 2019. O banco empreendeu ações corretivas iniciais e o OCC declara que “está empenhado em tomar todas as medidas necessárias e adequadas para remediar as deficiências”.
O OCC constatou que as deficiências observadas constituem “práticas inseguras ou prejudiciais” e resultaram na não conformidade com 12 CFR Parte 30, Apêndice B, “Diretrizes de Interagência que Estabelecem Padrões de Segurança da Informação”.
A multa de $ 60 milhões em dinheiro civil será paga ao Tesouro dos Estados Unidos.
Fonte: https://www.infosecurity-magazine.com/news/morgan-stanley-fined-60m-over-data/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…