Каждый раз, когда крупная компания подвергается взлому, проходит неудобный промежуток времени — недели, иногда месяцы или даже год — прежде чем жертвам сообщат, что их личные данные могут оказаться в руках группы злоумышленников..
Для примера: Uber, компания, предлагающая альтернативу такси по всему миру, узнал о нарушении с октября 2016 года не раскрывала информацию до тех пор, пока Bloomberg не сообщил об этом в ноябре 2017 года! Хуже того, они даже заплатили выкуп хакерам, которые атаковали его, надеясь, что оно не попадет на первые полосы новостей (план, который, очевидно, имел неприятные последствия).
Что такого важного? Почему такие компании, как Uber, Equifax и Yahoo, так долго скрывают свои нарушения?
Не хотят, чтобы клиенты теряли доверие
Это звучит контрпродуктивно, но некоторые руководители полагают, что, если они скроют свои нарушения, клиенты каким-то образом продолжат им доверять. Они скрещивают пальцы в надежде, что нарушение не нанесет всем такой ущерб. Как только уляжется пыль, они смогут сделать объявление без такого большого эффекта.
В каком-то смысле это похоже на ребенка, который получает плохие оцен
Contents
Не хотят, чтобы клиенты теряли доверие
певаемости. Она знает, что оно должно прийти, но он надеется, что она забудет, что в следующем семестре он получит более высокие оценки, и тогда он сможет показать ей более высокие оценки рядом с худшими. «Видишь, все не так уж и плохо!» сказал бы он.К сожалению, эта практика столь же контрпродуктивна, как и звучит. Клиенты, как правило, чувствуют себя преданными, когда узнают, что их личные данные в течение нескольких месяцев находились в негодном состоянии без их ведома. Это особенно актуально, когда речь идет о номерах социального страхования, номерах кредитных карт или других конфиденциальных данных.
Не хотим, чтобы их акции упали
По той же логике компании, акции которых торгуются на крупной фондовой бирже, могут скрывать утечку данных по той же самой причине. Разница здесь в том, что они не хотят, чтобы их акционеры были встревожены. Если нарушение не будет рассматриваться как чрезвычайно вредное, цены на их акции не упадут на дно пропасти.
Акционеры, возможно, будут более снисходительными. Например, когда Equifax объявила о нарушении 7 сентября 2017 года, она торговалась по цене около 464 долларов за акцию. Сразу после этого, 11 сентября, цена акций достигла 474 долларов. Эквифакс не пострадал. В течение месяца он начал снижаться и 26 сентября, наконец, торговался на уровне 434 долларов.
Затем, когда цикл новостей немного утих, он больше никогда не достигал этого низкого показателя. К ноябрю акции торговались выше показателя 11 сентября, достигнув пика в 492 доллара за акцию.
Кроме того, смущение
Представьте себя на позиции генерального директора: вы возглавляете компанию с n тысячами сотрудников, миллиардами долларов активов, десятками миллионов пользователей/клиентов, целых девять ярдов. Внезапно ленивый хакер обнаруживает на ваших серверах уязвимость, которую ваш ИТ-отдел забыл исправить несколько месяцев назад
Не хотим, чтобы их акции упали
о колледж в своей квартире-студии, чтобы поставить тебя на колени.Это настоящий удар по эго! Как вы думаете, что сделало бы большинство людей с несколько завышенным чувством собственного достоинства?
Иногда даже самые честные руководители решают просто переждать бурю и посмотреть, исчезнет ли все само собой. Затем дело доходит до них, и они сожалеют об этом решении, так как теперь уже слишком поздно. На них лежала ответственность, и они не смогли набраться смелости признать, что допустили ошибку перед теми самыми людьми, которые стали жертвами нападения.
Решения
В большинстве развитых стран мира в коммерческих кодексах действуют законы о кибербезопасности, которые не позволяют пройти слишком много времени между обнаружением нарушения и его объявлением. Например, Федеральная торговая комиссия США (FTC) влечет за собой серьезные санкции за сокрытие информации, подобное тому, которое совершил Uber в ноябре 2017 года.
На рассмотрении Конгресса США даже находится законопроект, согласно которому приговорить к тюремному заключению руководителей будут скрывать нарушения в течение длительного и необоснованного периода времени.
На данный момент лично вы ничего не можете поделать с этими нарушениями, кроме как быть осторожными с вашими личными данными, но в правительстве действуют законы, которые наказывают эти компании. Соединенные Штаты идут еще дальше, добавляя к возможным наказания
Кроме того, смущение
>Следует еще раз повторить, что не следует выкладывать в Интернет слишком много конфиденциальных данных (независимо от того, насколько заслуживает доверия организация, которой вы их доверяете), если только это не является абсолютной необходимостью.Что вы думаете? Должны ли руководители сесть в тюрьму за сокрытие утечки данных, которая затрагивает клиентов компаний, которые они представляют? Расскажите нам, что вы думаете в комментариях!
