Bank Morgan Stanley krijgt boete van 35 miljoen dollar wegens groot datalek

De Amerikaanse beurswaakhond SEC heeft de bank Morgan Stanley een boete opgelegd van 35 miljoen dollar. Er waren namelijk twee harde schijven op een veilingwebsite verschenen, waarop de gegevens van 15 miljoen klanten waren opgeslagen.

In een verklaring meldt de SEC dinsdag dat Morgan Stanley al sinds 2015 niet goed omgaat met de gegevens van klanten, vooral bij het verwijderen van die gegevens. "Morgan Stanley heeft meerdere keren een verhuis- en opslagbedrijf ingehuurd, dat geen ervaring heeft met het vernietigen van gegevens, om duizenden harde schijven en servers met de gegevens van miljoenen klanten te ontmantelen. Bovendien heeft de bank meerdere jaren het werk van het verhuisbedrijf niet naar behoren gecontroleerd", meldt de beurswaakhond.

Het verhuisbedrijf heeft de harde schijven en servers doorverkocht aan een derde partij, die de apparaten vervolgens online veilde. Deze bevatten nog klantgegevens toen ze werden verkocht, schrijft de SEC. Morgan Stanley heeft een aantal apparaten weer in handen, maar het merendeel van de apparaten is nog niet teruggehaald. Verder zou de bank 42 servers uit het oog zijn verloren, die onversleutelde klantgegevens bevatten, en de encryptiesoftware op zijn lokale systemen jarenlang niet hebben ingeschakeld.

"Het falen van Morgan Stanley in deze zaak is verbazingwekkend. Klanten vertrouwen hun persoonlijke informatie toe aan financiële professionals met de verwachting dat deze zal worden beschermd en de bank schoot hierin jammerlijk tekort", zegt Gurbir Grewal, directeur van de handhavingsafdeling van de SEC. "Als deze gevoelige informatie niet goed wordt beschermd, kan het in verkeerde handen vallen."

Door Loïs Franx

Redacteur

21-09-2022 • 17:50

24 Linkedin

Submitter: smesjz

Reacties (24)

Wijzig sortering
Waarom legt SEC deze boete op? Die zijn er voor de belangen van belegers.

Waarom treedt de DoJ of Amerikaanse AP niet op?
Reageer
Ik denk: maar dat is ook speculatie. Omdat de bank het onder de pet heeft gehouden (we zijn 7 jaar verder) En dit slecht is voor de aandelen(koersen) en dus beleggers. In eerste instantie lijkt het raar. Maar je kan moeilijk aantonen wie er slachtoffer is van het datalek (dan zou je iedereen moeten controleren die op de harde schijven staat die je niet hebt) Maar je kan wel aantonen wie er belegger is (geweest). Daar zit denk ik ook het punt met de bewijsvoering. (Stel je wilt met een groep procederen)
Ook heeft de SEC in de VS veel meer macht en expertise dan de ACM hier (of welke instantie dat hier ook is en kun je ze niet 1 op 1 vergelijken denk ik)
Reageer
Het is niet de enige boete die hieraan gerelateerd is.

Voor zover ik kon zien komt dit bovenop 120m aan andere boetes en settlements. Bijvoorbeeld aan Office of the Comptroller of the Currency.
Reageer
"Morgan Stanley EBITDA for the quarter ending June 30, 2022 was $4.240B"

ja, die paar miljoen gaat ze echt op het goede pad zetten. :/
Reageer
De boete is inderdaad verbijsterend klein. Gezien de omvang van het lek en dat het al sinds 2015 speelt is dit een lachertje. Dit is geen aansporing om de veiligheid te verhogen, eerder het tegenovergestelde; het goed beveiligen zal Morgan Stanley veel meer dan 35M kosten.
Reageer
Nee hoor. Gewoon een destructiebedrijf inhuren voor die harddisks ipv een verhuisbedrijf kost echt geen 35M.

Maar als niemand daar bij Morgan Stanley bedacht heeft dat je harddisks eerst zelf wiped en daarna onder toeziend oog vernietigd in kleine stukjes, dan is er iets gigantisch mis met de mindset van de werknemers die daar bij betrokken zijn geweest.

En dat veranderen gaat wel veel meer dan 35M kosten.
Reageer
neeneenee, zulke issues zijn ALTIJD de verantwoordelijkheid van de werkGever
Reageer
Ik heb nergens gezegd dat de werknemers verantwoordelijk zijn.
Maar vingers wijzen naar de werkgever dat die verantwoordelijk is, lost het probleem niet op.

Een CEO heeft niet de kennis dat je zoiets met DIN 66399 H6 moet doen. Dat ligt bij IT.
Een CEO is niet betrokken bij het inhuren van een verhuisbedrijf of destructiebedrijf. Dat ligt bij de IT afdeling en daar moet een CISO controle op doen.
Het werkelijke probleem ligt bij de IT afdeling en niet alleen bij de CISO, maar ook al die mensen die hier bij betrokken zijn en niet het minste geringste gezond verstand tonen om dit overduidelijke verkeerde handelen aan te kaarten.
Reageer
Nee, een probleem zoals dit ligt echt niet alleen binnen IT.

Bij de IT had men dat idd moeten opbrengen, maar business wise had men dat ook gewoon moeten controleren en verifiëren.

Shit zoals dit zit veel hoger en dieper in het bedrijf en geeft impliciet aan dat de gewone medewerkers / managers er ook geen aandacht geven.
Ik kan me perfect voorstellen dat op elke laptop van een Morgan Stanley medewerker je wel meerdere excels kunt terugvinden met betrouwbare data die daar echt niet horen te staan.

Als zoiets kan gebeuren, dan zit het niet in de cultuur van het bedrijf zelf.
Reageer
En wie mag die werkGever (die dus geen werkNemer is) wel niet zijn?
Bij Morgan Stanley werken enkel werknemers, die allen onder werkgeversgezag staan. Het hoogste niveau van die werknemers staat onder gezag van de aandeelhouders. De aandeelhouders zelf bepalen wel in grote lijnen het beleid binnen het bedrijf en kunnen bestuurders ontslaan en benoemen, maar hebben geen werkgeversverantwoordelijkheden.
Er is altijd een werknemer aan te wijzen die uiteindelijk verantwoordelijk is voor dit soort zaken en een bestuurder die moet toezien dat die verantwoordelijkheid wordt nagekomen. (In de praktijk zie je dat de verantwoordelijke vaak de middelen niet krijgt om die taak naar behoren uit te voeren of dat hij de opdracht of sterke suggestie krijgt een goedkopere oplossing te zoeken.)
Reageer
Linksom of rechtsom, die boete wordt betaald door de rekeninghouders, niet de directeuren, managers of aandeelhouders. Er zou toch een ander soort straf moeten komen voor dit soort grove nalatigheid.
Reageer
Iets met reputatie en vetrouwen
Reageer
Het zal eerder afschrikwekkend zijn voor kleinere bedrijven die dat bedrag niet kunnen betalen, net zoals bijv. boetes voor GDPR-schendingen. Een tijdje geleden werd een groot bedrijf beboet omdat ze geen makkelijke "weiger alles" knop aanboden, sindsdien zijn veel van die cookie banners daarvoor bijgewerkt.

Maar een andere comment geeft aan dat dit maar 1 boete is, andere partijen die hier autoriteit over hebben, hebben ook boetes opgelegd.

Ik weet niet of het erger zou zijn als er meer schade veroorzaakt was. En, de nasleep hiervan kan ook nog jaren duren - d'r zullen waarschijnlijk meerdere class actions komen van de betrokken personen en hun advocaten om te kijken of ze een schadevergoeding kunnen ritselen, en dat kan in de honderden miljoenen lopen.
Reageer
35M is natuurlijk een schijntje.
Boetes voor grote bedrijven zouden percentages omzet moeten zijn, dan gaan aandeelhouders ook een beetje meer vragen stellen ipv de perverse prikkel om een kleine boete liever te pakken dan dingen goed te doen (of zelfs bewust over de grens te gaan omdat de boete niet opweegt tegen de extra winst voor bedrijf/aandeelhouders/top)
Reageer
Gurbir Grewal noemt het "verbazingwekkend" dat de bank zo slecht omgaat met haar klantgegevens - hij vergist zich; het is verbazingwekkend hoe lang de bank hier al mee weg komt en hoe belachelijk laag de boete is.

Ik durf toch wel vrij stellig te zeggen dat banken een absurd veel macht hebben en uit dit soort zaken blijkt dat wel. Want 35 miljoen boete voor iets wat al zo lang voortduurt, de hoeveelheid klantgegevens (15 miljoen klanten...) en dan hun winst... |:(
Dit is toch letterlijk een winkeldief (welliswaar een ander soort delict) een boete opleggen van een euro... 'Dat zal hem/haar leren!'
Reageer
Precies, weeffouten zie je hier heel duidelijk in terug.
Reageer
Gaat natuurlijk nooit gebeuren. Daar heb je legislatie voor nodig en het bankwezen is nou eenmaal een sector dat zich niet laat beinvloeden door leglisatie dmv hun lobby
Reageer
Daar heb je legislatie voor nodig en het bankwezen is nou eenmaal een sector dat zich niet laat beinvloeden door leglisatie dmv hun lobby
Daar hebben gewoon een goed nederlands woord voor hoor... wetgeving. Geen noodzaak om rare anglicismen te gebruiken
Reageer
Waarom nooit geen nieuws van veroordelingen van hackers maar wel als bedrijven onbedoled een fout begaan?
Reageer
vaak genoeg nieuws over hackers, en bovenin zie je "tip de redactie" das echt cool, dan kan je nieuws dat er nog niet opstaat melden en helemaal leuk als je dan een tijdje later jouw linktip op de frontpage ziet (dan zetten ze je naam erbij als je de eerste was die het meldde)
Reageer
Miljardenschade door criminaliteit tegen burgers, vooral online veel gedupeerden. Dit blijkt niet uit het gros van alle berichtgevingen op deze website. Dus naast een haast verheerlijking van de hackers is er ook weinig oog vjoor de gedupeerden. Dit forum is niet langer aan mij besteed.
Reageer
Toch jammer dat je er zo over denkt, juist als je kennis hebt kan je belangrijke dingen goed onder de aandacht krijgen hier op tweakers, niet alleen de linktips aan de redactie en de comments bij nieuwsartikelen, ook het forum is er nog en anderen plaatsen zaken op hun tweakblogs, er zijn tweakers die nieuws posten via hun tweakblog omdat ze het missen op de frontpage, je kan dus best wel veel en als ik je reacties zo lees heb je wel wat te vertellen, zoiets is ideaal voor tweakblogs bijvoorbeeld.
Reageer
Dan ben ik toch benieuwd hoeveel er werd geboden voor de servers en hard drives.
Reageer
Als ik als bank 3 dollar per klant hoef te betalen als ik de gegevens verlies zou ik ook niks investeren in beveiliging of procedures. Dat kost me 50 dollar cent per jaar per klant. Beveiliging en procedures is veel duurder. Morgan Stanley heeft de juiste keuze gemaakt. Als ik het wel veilig doe ben ik na 10 jaar failliet en zijn de andere shitbanken de winnaars.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee