Știrile care nu durează doar o vreme

Focus (de , July 17, 2017)

Majoritatea intruziunilor de securitate cibernetică captează interesul știrilor în momentul în care se întâmplă – genul de titluri de știri de care companiile se feresc. Dar deteriorarea reputației și situației financiare durează încă multă vreme de la aprația la știri. Kevin Taylor analizează repercusiunile pe termen lung ale câtorva astfel de situații de profil înalt.

La sfârșitul anului 2013, gigantul american de retail, Target, a suferit ceea ce s-a considerat la acel moment a fi cea mai mare scurgere de date din istorie. Datele personale ale peste 70 de milioane de clienți au fost compromise în acel atac, inclusiv datele financiare ale nu mai puțin de 40 de milioane de oameni.

După peste 1 an de zile de la intruziune, o decizie a tribunalului din St Paul Minnesota a obligat Target să facă provizioane de 10 milioane de dolari, ca o compensație pentru clienții care au fost afectați.

La scurt timp după aceea, Target a crezut că a reușit să obțină o înțelegere cu Mastercard, pentru o compensație de 19 milioane de dolari. Cu toate acestea, mai multe bănci asociate cu compania de carduri bancare, au refuzat să accepte acea sumă și, la sfârșitul lui 2015, s-a ajuns la un acord final pentru compensații de 39 milioane de dolari. Suplimentar, cam în același timp, Target a agreat cu Visa compensații în valoare de alte 67 de milioane de dolari.

Și de parcă asta nu ar fi fost destul de rău, același procuror din Minnesota a cerut ca Target să își dezvolte strategia de securitate cibernetică – pornind în principal de la faptul că Target a știut de breșa de securitate din 2013, dar inițial a ignorat-o. Imediat după aceea Target a trebuit să concedieze 1700 de angajați și să închidă 133 de magazine.

Credeți că povestea s-a încheiat aici? Nu. Astăzi, la 4 ani de la intruziunea inițială, Target continuă să plătească consecințele și să fie subiectul știrilor. Într-un caz din instanță în care au pledat avocați din Connecticut, Illinois și New York, compania a fost obligată să plătească daune de 18,5 milioane de dolari către 47 de state americane și către Districtul Columbia. De fapt, dacă adăugăm taxele de judecată și alte costuri, o estimare conservatoare ne dă un cost total al intruziunii de la Target de ordinul a 250 milioane de dolari. Și cine poate afirma că povestea s-ar opri aici.

Intruziunea de la Target a avut loc în momentul în care hackerii au profitat de securitatea precară a unui furnizor (3rd party) pentru a accesa rețeaua companiei. După aceea a urmat ceea ce ar putea constitui un exemplu școală de ceea ce nu trebuie făcut – nu s-a încercat nici eliminarea cauzei intruziunii și nici nu s-a acționat imediat pentru eliminarea ei. După patru ani, compania continuă să plătească prețul neglijenței – atât financiar, cât și în privința reputației.

Dar dacă vreți un exemplu despre cum s-o dai cu adevărat în bară, în tratarea unei intruziuni de securitate cibernetică, nu trebuie să căutați în altă parte, este suficient să ne uităm la Yahoo! – o companie pentru care probabil a și fost inventat semnul exclamării .

Anul trecut, pe parcursul câtorva luni sinuoase, au transpirat știri conform cărora Yahoo! ar fi suferit mai multe atacuri cibernetice. Revelarea faptului că în 2017 un atac “sponsorizat de un stat” a afectat cca. 500 de milioane de utilizatori părea a fi un rău suficient de mare. Dar, în iulie, anul trecut, într-o declarație către Securities Exchange Commission (SEC), Yahoo! a recunoscut că a primit primele notificări despre intruziune încă din 2014 – cu mai mult de 2 ani mai devreme.

Lucrurile nu ar fi putut lua un curs mai rău pentru companie, nu-i așa? Ba da, au luat. Deoarece doar după câteva luni, compania a trebuit să recunoască că are neacoperită o intruziune încă și mai veche, care ar fi compromis conturile a cca. un miliard de utilizatori Yahoo!. Iată ce a declarat compania la SEC:

“Pe baza aprofundării analizei datelor realizate de experți juridici (forensic), credem că, în august 2013, o terță parte, neautorizată, a furat datele asociate cu peste 1 miliard de conturi. Nu am reușit să identificăm intruziunea asociată cu acest furt de date.”

Nici nu știu care a fost cel mai rău lucru – faptul că au știut că au avut o intruziune și că au păstrat tăcerea, sau faptul că nici măcar nu au notificat faptul că s-a întâmplat decât după mai bine de 3 ani. Dimensiunea impactului financiar a acestei intruziuni de abia de acum va fi văzută, cu excepția unei singure zone și anume a modului în care a afectat valoarea de piață a companiei.

Deoarece știrile despre acest furt de date au apărut tocmai în perioada în care Verizon se pregătea să achiziționeze Yahoo! – valoarea tranzacției a fost redusă cu 350 de milioane de dolari, până la momentul semnării tranzacției. Ba chiar, la un moment dat, Verizon încerca să reducă prețul de cumpărare cu aproape 900 de milioane de dolari.

Ca urmare a recunoașterii intruziunii, Yahoo! a condus o campanie de sfătuire a clienților să-și modifice parolele și să verifice dacă au fost victima unor tranzacții neobișnuite. Dar la 3 ani după furt, această acțiune seamănă cu a potcovi un cal mort.

Ceea ce se poate vedea din aceste două cazuri este că deși știrile imediate produc niște daune, ramificațiile pe termen lung sunt mult mai rele. Apar tot felul de solicitări de compensații, povestea nu este uitată iar numele companiei rănâne asociat pentru totdeauna cu cuvinte cum ar fi “hack” sau “furt de date”.

În cazul apariției unui atac, companiile au datoria să își informeze toți clienții potențial afectați, cât mai curând posibil. Și să își consilieze clienții despre măsurile de securitate pe care aceștia trebuie să le ia imediat. Mai mult, din punct de vedere tehnologic companiile trebuie să știe cum să își oprească sistemele, pentru a combate intruziunea și a se asigura că sistemele de back-up pot restaura datele la un moment de timp precedent atacului.

Modul în care ești pregătit pentru un atac, și modul în care tratezi unul atunci când apare, contează foarte mult, după cum au arătat și judecătorii din cazul Target. Acesta poate limita pierderile, reduce compensațiile și poate ajuta la diminuarea pierderii reputaționale. Mai mult, companiile trebuie să investească nu numai într-o securitate cibernetică mai puternică, ci trebuie și să își instruiască directorii executivi despre modul în care trebuie să reacționeze în cazul unei intruziuni.

Autor: Kevin Taylor

BIO

Kevin, FCIPR, este un consultant de comunicare și scriitor respectat, precum și un comentator apreciat în domeniul securității IT în afaceri și tehnologie, telecomunicații și în special în domeniul comunicațiilor mobile. El este Fellow și fost Președinte al Institutului de Relații Publice din UK și a fost consultant al consiliului de conducere al unor brand-uri globale, precum și al unor start-up-uri din domeniul tehnologiei. La Robertson Taylor PR, a înființat Standing Tall, o rețea de consultanți independenți care oferă o gamă largă de servicii de marketing și suport în afaceri. El este, de asemenea VP Communications la Ensygnia – o companie nou intrată pe piața identității mobile, autentificării și plăților mobile.


Tags: , ,

Trackbacks

Leave a Trackback