לראשונה משרד האוצר האמריקאי הטיל קנס של 60 מיליון דולר על תאגיד הפיננסים Morgan Stanley הקנס הוטל בעקבות ליקויים בתהליך גריטת המידע מציוד המיחשוב של החברה.

הקנס החריג בגובהו נבע, כך עפ"י הודעת משרד האוצר האמריקאי, מכך שהבנק לא ניהל ביעילות ובמקצועיות את תהליך גריטת ציוד המיחשוב, אשר כלל דיסקים רבים שהכילו מידע רגיש על לקוחות. בנוסף החברה הואשמה בניהול סיכונים לקוי בעת עבודתה עם קבלני משנה ונותני שירותים בתחום, וכן ליקויים באופן השמירה והתיעוד של המידע על לקוחות החברה המצויים בהתקני אחסון דיגיטליים.

הסיבה לקנס החריג נבעה מכך שהבנק כשל ביכולתו להוכיח כי ננקטו צעדים סבירים להגנה על נתונים רגישים של הלקוחות. במילים אחרות, אמנם טעויות עלולות להתרחש, אך על הארגון להוכיח כי הוא מנהל ומיישם תהליכי עבודה מסודרים ומתועדים היטב בכל הקשור לגריעת התקנים הכוללים מידע רגיש.

האירוע העלה שוב לסדר היום את החשיבות הרבה של תיעוד מסודר ומפורט הן ברמת התהליך והן ברמת המספר הסידורי של כל התקן והתקן המכיל מידע. ללא תיעוד מסודר, לא ניתן להוכיח כי ננקטו הפעולות הדרושות ומבחינת החוק תהליך השמדת המידע מעולם לא התרחש. מספיק אפילו דיסק אחד, הכולל מידע רגיש, שיגיע לידיים הלא נכונות בשביל להיתבע.

באחריות הארגון לוודא כי נבחר ספק שירותים אשר יטפל על פי התקנים הנדרשים בגריעת ציוד מיחשוב ומידע רגיש. לשם כך יש לבצע בדיקת נאותות וביקורת שוטפת של נוהלי העבודה של הספק, כולל מדיניות, שיטות עבודה תוכניות הדרכה ואופן טיפול בהפרות. בדיקות אלו עשויות למנוע כשלים של זליגת מידע, שיגררו תביעות מצד לקוחות וקנסות רגולטוריים.

ארגונים חייבים לגלם את עלות גריעת המידע בעלות הרכש ובהחזקה של ציוד IT, ולהקצות משאבים מתאימים כדי לתעד ולעקוב אחר התנועה של כל ההתקנים המצויים בארגון המכילים מידע רגיש.

הסכנה בזליגת מידע כתוצאה מליקויים בתהליך גריעת המידע הישן, אינה פוסחת על אף אחד. הדרך היחידה למזער סיכונים היא על ידי השקעה בתוכנית מסודרת לגריעת המידע.

לעמוד הכתבה באתר occ.gov