Bank Morgan Stanley krijgt boete van 35 miljoen dollar wegens groot datalek

De Amerikaanse beurswaakhond SEC heeft de bank Morgan Stanley een boete opgelegd van 35 miljoen dollar. Er waren namelijk twee harde schijven op een veilingwebsite verschenen, waarop de gegevens van 15 miljoen klanten waren opgeslagen.

In een verklaring meldt de SEC dinsdag dat Morgan Stanley al sinds 2015 niet goed omgaat met de gegevens van klanten, vooral bij het verwijderen van die gegevens. "Morgan Stanley heeft meerdere keren een verhuis- en opslagbedrijf ingehuurd, dat geen ervaring heeft met het vernietigen van gegevens, om duizenden harde schijven en servers met de gegevens van miljoenen klanten te ontmantelen. Bovendien heeft de bank meerdere jaren het werk van het verhuisbedrijf niet naar behoren gecontroleerd", meldt de beurswaakhond.

Het verhuisbedrijf heeft de harde schijven en servers doorverkocht aan een derde partij, die de apparaten vervolgens online veilde. Deze bevatten nog klantgegevens toen ze werden verkocht, schrijft de SEC. Morgan Stanley heeft een aantal apparaten weer in handen, maar het merendeel van de apparaten is nog niet teruggehaald. Verder zou de bank 42 servers uit het oog zijn verloren, die onversleutelde klantgegevens bevatten, en de encryptiesoftware op zijn lokale systemen jarenlang niet hebben ingeschakeld.

"Het falen van Morgan Stanley in deze zaak is verbazingwekkend. Klanten vertrouwen hun persoonlijke informatie toe aan financiële professionals met de verwachting dat deze zal worden beschermd en de bank schoot hierin jammerlijk tekort", zegt Gurbir Grewal, directeur van de handhavingsafdeling van de SEC. "Als deze gevoelige informatie niet goed wordt beschermd, kan het in verkeerde handen vallen."

Door Loïs Franx

Redacteur

Feedback • 21-09-2022 17:50
24 • submitter: smesjz

21-09-2022 • 17:50

24 Linkedin

Submitter: smesjz

Lees meer

Getuigenis klokkenluider: Twitter misleidt gebruikers, overheid en eigen bestuur Nieuws van 14 september 2022
VMware door SEC beticht van fraude, treft schikking van acht miljoen dollar Nieuws van 14 september 2022
T-Mobile schikt voor 500 miljoen dollar in Amerikaanse datalekzaak Nieuws van 26 juli 2022
Amerikaanse Capital One-bank schikt voor 168 miljoen euro in zaak over datalek Nieuws van 24 december 2021
Meer producten en artikelen
Politiek en recht Bank Datalek

Reacties (24)

-Moderatie-faq
24
24
11
1
0
5
Wijzig sortering
mrbullet
21 september 2022 19:27
Waarom legt SEC deze boete op? Die zijn er voor de belangen van belegers.

Waarom treedt de DoJ of Amerikaanse AP niet op?
rob12424
@mrbullet21 september 2022 21:10
Ik denk: maar dat is ook speculatie. Omdat de bank het onder de pet heeft gehouden (we zijn 7 jaar verder) En dit slecht is voor de aandelen(koersen) en dus beleggers. In eerste instantie lijkt het raar. Maar je kan moeilijk aantonen wie er slachtoffer is van het datalek (dan zou je iedereen moeten controleren die op de harde schijven staat die je niet hebt) Maar je kan wel aantonen wie er belegger is (geweest). Daar zit denk ik ook het punt met de bewijsvoering. (Stel je wilt met een groep procederen)
Ook heeft de SEC in de VS veel meer macht en expertise dan de ACM hier (of welke instantie dat hier ook is en kun je ze niet 1 op 1 vergelijken denk ik)
WaarAnders
@mrbullet21 september 2022 21:42
Het is niet de enige boete die hieraan gerelateerd is.

Voor zover ik kon zien komt dit bovenop 120m aan andere boetes en settlements. Bijvoorbeeld aan Office of the Comptroller of the Currency.
witchdoc
21 september 2022 17:56
"Morgan Stanley EBITDA for the quarter ending June 30, 2022 was $4.240B"

ja, die paar miljoen gaat ze echt op het goede pad zetten. :/
avlt
@witchdoc21 september 2022 18:03
De boete is inderdaad verbijsterend klein. Gezien de omvang van het lek en dat het al sinds 2015 speelt is dit een lachertje. Dit is geen aansporing om de veiligheid te verhogen, eerder het tegenovergestelde; het goed beveiligen zal Morgan Stanley veel meer dan 35M kosten.
mjtdevries
@avlt21 september 2022 18:14
Nee hoor. Gewoon een destructiebedrijf inhuren voor die harddisks ipv een verhuisbedrijf kost echt geen 35M.

Maar als niemand daar bij Morgan Stanley bedacht heeft dat je harddisks eerst zelf wiped en daarna onder toeziend oog vernietigd in kleine stukjes, dan is er iets gigantisch mis met de mindset van de werknemers die daar bij betrokken zijn geweest.

En dat veranderen gaat wel veel meer dan 35M kosten.
witchdoc
@mjtdevries21 september 2022 18:16
neeneenee, zulke issues zijn ALTIJD de verantwoordelijkheid van de werkGever
mjtdevries
@witchdoc22 september 2022 10:07
Ik heb nergens gezegd dat de werknemers verantwoordelijk zijn.
Maar vingers wijzen naar de werkgever dat die verantwoordelijk is, lost het probleem niet op.

Een CEO heeft niet de kennis dat je zoiets met DIN 66399 H6 moet doen. Dat ligt bij IT.
Een CEO is niet betrokken bij het inhuren van een verhuisbedrijf of destructiebedrijf. Dat ligt bij de IT afdeling en daar moet een CISO controle op doen.
Het werkelijke probleem ligt bij de IT afdeling en niet alleen bij de CISO, maar ook al die mensen die hier bij betrokken zijn en niet het minste geringste gezond verstand tonen om dit overduidelijke verkeerde handelen aan te kaarten.
chime
@mjtdevries22 september 2022 10:27
Nee, een probleem zoals dit ligt echt niet alleen binnen IT.

Bij de IT had men dat idd moeten opbrengen, maar business wise had men dat ook gewoon moeten controleren en verifiëren.

Shit zoals dit zit veel hoger en dieper in het bedrijf en geeft impliciet aan dat de gewone medewerkers / managers er ook geen aandacht geven.
Ik kan me perfect voorstellen dat op elke laptop van een Morgan Stanley medewerker je wel meerdere excels kunt terugvinden met betrouwbare data die daar echt niet horen te staan.

Als zoiets kan gebeuren, dan zit het niet in de cultuur van het bedrijf zelf.
CivLord
@witchdoc22 september 2022 14:29
En wie mag die werkGever (die dus geen werkNemer is) wel niet zijn?
Bij Morgan Stanley werken enkel werknemers, die allen onder werkgeversgezag staan. Het hoogste niveau van die werknemers staat onder gezag van de aandeelhouders. De aandeelhouders zelf bepalen wel in grote lijnen het beleid binnen het bedrijf en kunnen bestuurders ontslaan en benoemen, maar hebben geen werkgeversverantwoordelijkheden.
Er is altijd een werknemer aan te wijzen die uiteindelijk verantwoordelijk is voor dit soort zaken en een bestuurder die moet toezien dat die verantwoordelijkheid wordt nagekomen. (In de praktijk zie je dat de verantwoordelijke vaak de middelen niet krijgt om die taak naar behoren uit te voeren of dat hij de opdracht of sterke suggestie krijgt een goedkopere oplossing te zoeken.)
Ramoncito
@avlt22 september 2022 00:18
Linksom of rechtsom, die boete wordt betaald door de rekeninghouders, niet de directeuren, managers of aandeelhouders. Er zou toch een ander soort straf moeten komen voor dit soort grove nalatigheid.
rauwst
@witchdoc21 september 2022 18:04
Iets met reputatie en vetrouwen
YopY
@witchdoc22 september 2022 15:21
Het zal eerder afschrikwekkend zijn voor kleinere bedrijven die dat bedrag niet kunnen betalen, net zoals bijv. boetes voor GDPR-schendingen. Een tijdje geleden werd een groot bedrijf beboet omdat ze geen makkelijke "weiger alles" knop aanboden, sindsdien zijn veel van die cookie banners daarvoor bijgewerkt.

Maar een andere comment geeft aan dat dit maar 1 boete is, andere partijen die hier autoriteit over hebben, hebben ook boetes opgelegd.

Ik weet niet of het erger zou zijn als er meer schade veroorzaakt was. En, de nasleep hiervan kan ook nog jaren duren - d'r zullen waarschijnlijk meerdere class actions komen van de betrokken personen en hun advocaten om te kijken of ze een schadevergoeding kunnen ritselen, en dat kan in de honderden miljoenen lopen.
Silent7
21 september 2022 17:55
35M is natuurlijk een schijntje.
Boetes voor grote bedrijven zouden percentages omzet moeten zijn, dan gaan aandeelhouders ook een beetje meer vragen stellen ipv de perverse prikkel om een kleine boete liever te pakken dan dingen goed te doen (of zelfs bewust over de grens te gaan omdat de boete niet opweegt tegen de extra winst voor bedrijf/aandeelhouders/top)
Tintel
@Silent721 september 2022 19:07
Gurbir Grewal noemt het "verbazingwekkend" dat de bank zo slecht omgaat met haar klantgegevens - hij vergist zich; het is verbazingwekkend hoe lang de bank hier al mee weg komt en hoe belachelijk laag de boete is.

Ik durf toch wel vrij stellig te zeggen dat banken een absurd veel macht hebben en uit dit soort zaken blijkt dat wel. Want 35 miljoen boete voor iets wat al zo lang voortduurt, de hoeveelheid klantgegevens (15 miljoen klanten...) en dan hun winst... |:(
Dit is toch letterlijk een winkeldief (welliswaar een ander soort delict) een boete opleggen van een euro... 'Dat zal hem/haar leren!'
Silent7
@Tintel21 september 2022 19:14
Precies, weeffouten zie je hier heel duidelijk in terug.
Wickedmen030
@Silent721 september 2022 19:22
Gaat natuurlijk nooit gebeuren. Daar heb je legislatie voor nodig en het bankwezen is nou eenmaal een sector dat zich niet laat beinvloeden door leglisatie dmv hun lobby
aikebah
@Wickedmen03021 september 2022 21:03
Daar heb je legislatie voor nodig en het bankwezen is nou eenmaal een sector dat zich niet laat beinvloeden door leglisatie dmv hun lobby
Daar hebben gewoon een goed nederlands woord voor hoor... wetgeving. Geen noodzaak om rare anglicismen te gebruiken
C. C.
21 september 2022 23:55
Waarom nooit geen nieuws van veroordelingen van hackers maar wel als bedrijven onbedoled een fout begaan?
Silent7
@C. C.22 september 2022 08:06
vaak genoeg nieuws over hackers, en bovenin zie je "tip de redactie" das echt cool, dan kan je nieuws dat er nog niet opstaat melden en helemaal leuk als je dan een tijdje later jouw linktip op de frontpage ziet (dan zetten ze je naam erbij als je de eerste was die het meldde)
C. C.
@Silent722 september 2022 08:15
Miljardenschade door criminaliteit tegen burgers, vooral online veel gedupeerden. Dit blijkt niet uit het gros van alle berichtgevingen op deze website. Dus naast een haast verheerlijking van de hackers is er ook weinig oog vjoor de gedupeerden. Dit forum is niet langer aan mij besteed.
Silent7
@C. C.22 september 2022 08:20
Toch jammer dat je er zo over denkt, juist als je kennis hebt kan je belangrijke dingen goed onder de aandacht krijgen hier op tweakers, niet alleen de linktips aan de redactie en de comments bij nieuwsartikelen, ook het forum is er nog en anderen plaatsen zaken op hun tweakblogs, er zijn tweakers die nieuws posten via hun tweakblog omdat ze het missen op de frontpage, je kan dus best wel veel en als ik je reacties zo lees heb je wel wat te vertellen, zoiets is ideaal voor tweakblogs bijvoorbeeld.
Reimanen
22 september 2022 09:05
Dan ben ik toch benieuwd hoeveel er werd geboden voor de servers en hard drives.
ferdinand
22 september 2022 13:07
Als ik als bank 3 dollar per klant hoef te betalen als ik de gegevens verlies zou ik ook niks investeren in beveiliging of procedures. Dat kost me 50 dollar cent per jaar per klant. Beveiliging en procedures is veel duurder. Morgan Stanley heeft de juiste keuze gemaakt. Als ik het wel veilig doe ben ik na 10 jaar failliet en zijn de andere shitbanken de winnaars.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee