Специальные смартфоны
Morgan Stanley выдал сотрудникам урезанные iPhone, пишет Financial Times. Они предназначены для использования в материковом Китае.
Инвестиционный банк Morgan Stanley начал выдавать сотрудникам своего подразделения в Гонконге специальные iPhone и iPad, предназначенные исключительно для использования в материковом Китае. Устройства обладают ограниченной функциональностью и могут применяться только для выполнения рабочих задач. Руководство банка приняло это решение в связи с растущей озабоченностью по поводу соблюдения требований к защите данных сотрудников, въезжающих в страну.
Morgan Stanley – одна из крупнейших международных финансовых компаний, которая специализируется на предоставлении инвестиционных услуг и банковских операций. Компания была основана в 1935 г. и на протяжении многих десятилетий занимает лидирующие позиции на мировом финансовом рынке.
По информации Financial Times, такие гаджеты позволяют доступ только к корпоративной почте и приложениям для видеоконференций. Остальные функции и ИТ-сервисы заблокированы, чтобы минимизировать риски утечки данных при работе в Китае, где действуют строгие требования к кибербезопасности.
Такая практика связана с ужесточением требований в сфере защиты персональных данных с 2022 г. как в Китае, так и в США, власти рассматривают трансграничный обмен данными как угрозу. При этом, по информации источников, другие крупные международные банки, включая Goldman Sachs и JPMorgan Chase, пока не вводили аналогичных ограничений, несмотря на общую тенденцию к разделению цифровых экосистем в деятельности глобальных финансовых организаций.
Усиленный надзор
28 октября 2025 г. Постоянный комитет Всекитайского собрания народных представителей (ВСНП) принял набор поправок к Закону о кибербезопасности, обновляя несколько положений для усиления надзора за искусственным интеллектом (ИИ) и уточнения нормативных обязательств для сетевых операторов и критической информационной инфраструктуры (КИИ).
Впервые принятый в 2017 г., Закон о кибербезопасности установил основную правовую основу Китая, регулирующую онлайн-активности, обработку данных и сетевую безопасность. Недавно утвержденные поправки представляют собой наиболее значительные изменения в законе с момента его принятия и вступили в силу 1 января 2026 г.
Новая статья добавлена в главу IV («Кибербезопасность») для согласования Закона о кибербезопасности с Гражданским кодексом (ГК), Закон о защите личной информации (PIPL), и связанные с ним нормативные акты. PIPL, принятый в 2021 г., является всеобъемлющим законом Китая о защите данных, который устанавливает правила сбора, хранения, использования, передачи и раскрытия личной информации. Он устанавливает принципы, такие как минимизация данных, ограничение целей и прозрачность, налагает строгие требования к согласию и безопасности на обработчиков и предоставляет физическим лицам права на их личные данные.
Новая же статья требует от сетевых операторов соблюдать эти законы при обработке личной информации: «Сетевые операторы должны соблюдать положения настоящего Закона и ГК Китайской Народной Республики (КНР), Закона о защите личной информации КНР и других законов и административных нормативных актов при обработке личной информации».
Компенсации американцам
16 ноября 2023 г. Генеральная прокуратура Нью-Йорка сообщила о том, что Morgan Stanley выплатит компенсацию в размере $6,5 млн за небезопасную утилизацию оборудования, содержащего незашифрованную персональную информацию. В третьих руках могли оказаться личные сведения о миллионах клиентов компании.
Говорится, что для вывода из эксплуатации устаревшего компьютерного оборудования — тысяч жестких дисков и серверов — Morgan Stanley привлекла стороннюю фирму, которая, как впоследствии выяснилось, не имела опыта по безопасному уничтожению данных. Финансовый конгломерат не смог должным образом проследить за работой этого подрядчика и проконтролировать уничтожение персональных сведений. В результате, часть компьютерного оборудования, содержащего конфиденциальную информацию, была продана на аукционе. В Morgan Stanley о проблеме узнали только после того, как один из покупателей техники обнаружил на накопителе персональные данные и связался с представителями компании.
В 2024 г. сообщается еще об одном схожем инциденте: в процессе вывода ИТ-оборудования из эксплуатации компания Morgan Stanley выявила более 40 серверов, содержащих незашифрованную информацию о клиентах. Расследование, проведенное в нескольких штатах, показало, что Morgan Stanley не смогла обеспечить адекватный контроль в ходе инвентаризации оборудования. В материалах дела подчеркивается, что при соблюдении должных требований безопасности оба события можно было бы предотвратить.
Помимо выплаты штрафа, Morgan Stanley обязана усилить меры защиты конфиденциальной информации. Это, в частности, применение шифрования, регулярное обновление программного обеспечения (ПО), внедрение плана реагирования на ИТ-инциденты и прочее.
Поделиться
