Tại sao Nhân viên Điều hành Ẩn Vi phạm Dữ liệu?
Bất cứ khi nào một công ty lớn bị vi phạm, một khoảng thời gian khó chịu - tuần, đôi khi hàng tháng, hoặc thậm chí một năm - dường như đã trôi qua cho đến khi nạn nhân được thông báo rằng dữ liệu cá nhân của họ có thể nằm trong tay một nhóm các nhà sản xuất nghịch ngợm.
Để cung cấp một số bối cảnh, Uber, một công ty cung cấp thay thế cho taxi trên toàn thế giới, đã biết về vi phạm từ tháng 10 năm 2016 mà nó không tiết lộ cho đến khi Bloomberg báo cáo vào tháng 11 năm 2017! Thậm chí tệ hơn, họ thậm chí còn phải trả một khoản tiền chuộc cho các tin tặc đã tấn công nó, hy vọng rằng nó sẽ không làm cho trang chủ của tin tức (một kế hoạch dường như đã phản tác dụng khủng khiếp).
Thỏa thuận lớn là gì? Tại sao các công ty như Uber, Equifax, và Yahoo giấu những vi phạm của họ trong một thời gian dài như vậy?
Không muốn khách hàng của họ để mất lòng tin
Điều này nghe có vẻ phản tác dụng, nhưng một số giám đốc điều hành tưởng tượng rằng nếu họ quét vi phạm của họ dưới tấm thảm, khách hàng của họ sẽ bằng cách nào đó tiếp tục tin tưởng họ. Những ngón tay của họ bị vượt qua, hy vọng sự vi phạm sẽ không gây tổn hại cho tất cả mọi người. Một khi bụi lắng xuống, sau đó chúng có thể tạo ra một thông báo mà không có nhiều tác động.
Theo một cách nào đó, nó giống như một đứa trẻ bị điểm kém và do dự cho mẹ mình xem bản báo cáo của mình. Cô ấy biết nó phải đến, nhưng anh ấy hy vọng cô ấy sẽ quên, rằng anh ấy sẽ đạt điểm cao hơn trong học kỳ tiếp theo, và sau đó anh ấy có thể cho cô ấy điểm tốt hơn bên cạnh những điểm tồi tệ hơn. “Xem này, nó không thực sự tệ đến thế!” Anh ta nói.
Thật không may, thực hành này chỉ là phản tác dụng như nó âm thanh. Khách hàng có xu hướng cảm thấy bị phản bội khi họ phát hiện ra rằng dữ liệu cá nhân của họ đã chạy amok trong nhiều tháng mà họ không biết. Điều này đặc biệt đúng khi số an sinh xã hội, số thẻ tín dụng hoặc các phần dữ liệu nhạy cảm khác có liên quan.
Không muốn cổ phiếu của họ để thả
Đi theo cùng một logic, các công ty có cổ phiếu được giao dịch trên một sàn giao dịch chứng khoán lớn có thể ẩn các vi phạm dữ liệu của họ vì cùng một lý do chính xác. Sự khác biệt ở đây là họ không muốn cổ đông của họ bị báo động. Nếu vi phạm không được xem là cực kỳ có hại, giá cổ phiếu của họ sẽ không giảm mạnh xuống đáy vực thẳm.
Cổ đông có thể tha thứ hơn một chút. Ví dụ, khi Equifax thông báo vi phạm của nó vào ngày 7 tháng 9 năm 2017, nó đã được giao dịch ở một nơi nào đó quanh $ 464 cho mỗi cổ phiếu. Ngay sau đó, vào ngày 11 tháng 9, giá cổ phiếu đã chạm mức 474 đô la. Equifax không bị ảnh hưởng. Khi tháng này diễn ra, nó đã trải qua một dốc giảm, cuối cùng giao dịch ở mức $ 434 vào ngày 26 tháng Chín.
Sau đó, khi chu kỳ tin tức giảm xuống một chút, nó không bao giờ một lần nữa đánh con số thấp đó. Vào tháng 11, nó đã được giao dịch cao hơn con số 11 tháng 9, đạt mức đỉnh là 492 USD / cổ phiếu.
Ngoài ra, sự bối rối
Hãy tưởng tượng mình ở vị trí của một CEO: Bạn đang dẫn đầu một công ty với n-nghìn nhân viên, hàng tỷ đô la tài sản, hàng chục triệu người dùng / khách hàng, toàn bộ chín bãi. Đột nhiên, một hacker lười biếng tìm thấy một lỗ hổng trong các máy chủ của bạn mà bộ phận CNTT của bạn quên vá cách đây vài tháng. Nó chỉ mất một trường đại học bỏ học trong căn hộ studio của mình để đưa bạn đến đầu gối của bạn.
Đó thực sự là một cú đánh cho bản ngã! Bạn nghĩ gì về hầu hết mọi người với một chút cảm giác tự ti sẽ làm gì?
Đôi khi, ngay cả các giám đốc điều hành với ý thức tốt nhất của tính toàn vẹn sẽ chọn chỉ để đi xe ra khỏi cơn bão và xem nếu nó tất cả chỉ biến mất. Sau đó, nó đến để cắn chúng, và họ quay ra để hối tiếc quyết định này, như bây giờ nó đã quá muộn. Họ có trách nhiệm và không tập trung can đảm để thừa nhận họ đã phạm sai lầm với chính những người mà cuộc tấn công đã bị nạn nhân.
Các giải pháp
Trong hầu hết các nước phát triển, có luật về an ninh không gian mạng được đặt ra trong các mã thương mại không cho phép quá nhiều thời gian để vượt qua giữa việc phát hiện vi phạm và thông báo của nó. Bao che như Uber trong tháng 11 năm 2017 chịu phạt nặng nề bởi Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), để nêu tên một ví dụ.
Thậm chí còn có một dự luật chạy qua Quốc hội Hoa Kỳ sẽ đưa ra án tù cho các giám đốc điều hành, những người giấu các vi phạm trong một khoảng thời gian dài và không hợp lý.
Tại thời điểm này, không có gì cá nhân bạn có thể làm về những vi phạm ngoại trừ thận trọng với dữ liệu cá nhân của bạn, nhưng chính phủ có luật tại chỗ phạt các công ty này. Hoa Kỳ chỉ đang tiến thêm một bước nữa bằng cách thêm thời gian tù vào các hình phạt có thể.
Nó lặp đi lặp lại một lần nữa rằng bạn không nên đặt quá nhiều thứ nhạy cảm của bạn lên Internet - bất kể bạn thực sự đáng tin cậy như thế nào - bạn sẽ không phải làm điều này.
Bạn nghĩ sao? Các nhà điều hành có nên vào tù vì che giấu các vi phạm dữ liệu có ảnh hưởng đến khách hàng của các doanh nghiệp mà họ đại diện không? Hãy cho chúng tôi biết những gì bạn nghĩ trong một bình luận!