Генеральный прокурор Джеймс и многоштатная коалиция добились от Morgan Stanley выплаты 6,5 млн. долл. за неспособность защитить данные клиентов

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс и коалиция из пяти генеральных прокуроров достигли сегодня соглашения с глобальной финансовой компанией Morgan Stanley Smith Barney LLC (Morgan Stanley) на сумму 6,5 млн. долл. за компрометацию личной информации миллионов клиентов по всей стране. Morgan Stanley не вывела из эксплуатации свои компьютеры и не удалила незашифрованные данные с некоторых компьютерных устройств, которые впоследствии были проданы на аукционе, но при этом содержали персональные данные потребителей, включая данные 1,1 млн. жителей Нью-Йорка. В результате сегодняшнего урегулирования Нью-Йорк получит 1 658 047 долларов США, а Morgan Stanley будет обязан усилить меры по защите информации.

"Ни один человек не должен получить возможность продать свои персональные данные на аукционе без его ведома из-за того, что компания не предприняла элементарных мер по их удалению перед продажей старых компьютеров", - заявил генеральный прокурор Джеймс. "Сегодняшнее соглашение обязывает Morgan Stanley усилить кибербезопасность, чтобы потребители больше никогда не рисковали тем, что их персональные данные могут быть случайно проданы на аукционе. Большие и малые компании должны серьезно относиться к своим обязанностям по защите данных своих клиентов, и если они этого не делают, мой офис будет принимать меры".

Компания Morgan Stanley наняла мувинговую компанию, не имеющую опыта оказания услуг по уничтожению данных, для вывода из эксплуатации тысяч жестких дисков и серверов, содержащих конфиденциальную информацию о миллионах ее клиентов. Morgan Stanley не проконтролировал работу мувинговой компании должным образом, и компьютерное оборудование, часть которого по-прежнему содержала конфиденциальную информацию о клиентах, было продано на аукционе. Morgan Stanley стало известно о проблеме только после того, как покупатель обнаружил данные и позвонил в компанию.

Во втором случае Morgan Stanley в процессе вывода из эксплуатации обнаружил пропажу 42 серверов, на которых могла храниться незашифрованная информация о клиентах. В ходе этого процесса компания узнала, что локальные устройства, выводимые из эксплуатации, могли содержать незашифрованные данные из-за дефекта производителя в программном обеспечении для шифрования. Расследование, проведенное в нескольких штатах, показало, что Morgan Stanley не обеспечила надлежащий контроль поставщиков и инвентаризацию оборудования, и что если бы эти меры были приняты, то оба события, связанные с безопасностью данных, можно было бы предотвратить.

В результате сегодняшнего соглашения Morgan Stanley согласился выплатить штраф в размере 6,5 млн. долл. и принять ряд положений, обеспечивающих более эффективную защиту личной информации своих потребителей в будущем, в том числе: 

• Поддержание комплексной программы информационной безопасности, включающей регулярные обновления, необходимые для разумной защиты конфиденциальности, безопасности и секретности персональной информации;
• Ведение плана реагирования на инциденты, в котором документируются инциденты и ответные действия;
• Ведение письменной политики, регламентирующей сбор, использование, хранение и уничтожение персональной информации потребителей;
• Шифрование всей персональной информации, как хранимой, так и передаваемой между документами, базами данных или в других местах;
• Использование ручного процесса и автоматизированных средств для отслеживания местонахождения всех аппаратных средств, содержащих персональные данные; и
• Ведение группы оценки рисков поставщиков для оценки и обеспечения соответствия поставщиков требованиям Morgan Stanley по защите информации.

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за некачественную защиту данных. В прошлом месяце генеральный прокурор Джеймс и многонациональная коалиция добились от компании Blackbaud, занимающейся облачными технологиями, выплаты 49,5 млн. долл. в связи с утечкой данных в 2020 г., в результате которой были раскрыты данные тысяч пользователей. В сентябре генеральный прокурор Джеймс договорился с колледжем Marymount Manhattan о выделении 3,5 млн. долл. на защиту данных студентов в Интернете. В мае этого года генеральный прокурор Джеймс взыскал с компании Sports Warehouse 300 тыс. долл. за то, что она не смогла защитить данные 2,5 млн. клиентов. Также в мае генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими услугами за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по защите данных, призванное помочь компаниям укрепить свои методы защиты информации. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,9 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой была скомпрометирована личная информация миллионов потребителей. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей.

К генеральному прокурору Джеймсу в сегодняшнем соглашении присоединились генеральные прокуроры штатов Коннектикут, Флорида, Индиана, Нью-Джерси и Вермонт.

Этим вопросом занимался заместитель начальника бюро Кларк Рассел из Бюро интернета и технологий под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.