Morgan Stanley сэкономил $100 тыс. на утилизации жестких дисков, а в результате потерял $120 млн
Американский банк Morgan Stanley заключил мировое соглашение и согласился выплатить компенсацию в размере $60 млн для урегулирования коллективного иска, поданного от имено 15 млн клиентов. Согласно иску, из-за ошибочных действий банка, произошли две утечки персональных данных его клиентов. Банк потенциальные утечки признал, разослав клиентам уведомления в июле 2020 года, но виноватым себя не считает.
В первом случае во время вывода из эксплуатации двух центров обработки данных (ЦОД) в 2016 году с жестких дисков, возможно, не была стерта вся информация, в том числе данные клиентов, которые попали в руки сторонних организаций. Во втором случае в ходе модернизации оборудования в одном из филиалов был утерян сервер с клиентскими данными, которые могли быть незашифрованными из-за программного бага. Эти данные тоже могли попасть в чужие руки.
Из-за неспособности вывести должным образом из эксплуатации два ЦОД банк уже был оштрафован Управлением контролера денежного обращения США (OCC) на $60 млн. Регулятор обвинил банк в том, что тот "не осуществлял надлежащего надзора". Из-за нарушения банк столкнулся с восемью судебными исками, которые были объединены в один коллективный иск. Банк обвинили в "игнорировании отраслевых стандартов" в отношении надлежащей утилизации ИТ-активов (ITAD).
Согласно документам, банк отказался от услуг IBM в пользу "неизвестного и неквалифицированного поставщика" для вывода из эксплуатации своего IT-оборудования в рамках "решений, ориентированных на получение прибыли", чтобы сэкономить $100 тыс. Затем Morgan Stanley заключил контракт с фирмой Triple Crown на демонтаж оборудования и утилизацию. Вместо утилизации Triple Crown продала это оборудование фирме AnythingIT, а банку сообщила, что оборудование утилизировано. В свою очередь, AnythingIT, не удалив данные с жестких дисков, продала оборудование компании KruseCom.
Как поступила с ним KruseCom неизвестно - оборудование либо было продано еще кому-то, либо уничтожено. Несмотря на признание того, что часть утерянного оборудования так и не была возвращена, банк продолжает настаивать на том, что клиентам не было причинено никакого вреда. Предварительное соглашение об урегулировании коллективного иска было подано в пятницу вечером в федеральный суд Манхэттена. Соглашение вступит в силу после одобрения окружным судьей.
