Știrile care nu durează doar o vreme

Știrile care nu durează doar o vreme

121

Majoritatea intruziunilor de securitate cibernetică captează interesul știrilor în momentul în care se întâmplă – genul de titluri de știri de care companiile se feresc. Dar deteriorarea reputației și situației financiare durează încă multă vreme de la apariția la știri. Kevin Taylor analizează repercusiunile pe termen lung ale câtorva astfel de situații de profil înalt.

La sfârșitul anului 2013, gigantul american de retail, Target, a suferit ceea ce s-a considerat la acel moment a fi cea mai mare scurgere de date din istorie. Datele personale ale peste 70 de milioane de clienţi au fost compromise în acel atac, inclusiv datele financiare ale nu mai puţin de 40 de milioane de oameni.
După peste 1 an de zile de la intruziune, o decizie a tribunalului din St Paul Minnesota a obligat Target să facă provizioane de 10 milioane de dolari, ca o compensaţie pentru clienţii care au fost afectaţi.
La scurt timp după aceea, Target a crezut că a reușit să obţină o înţelegere cu Mastercard, pentru o compensaţie de 19 milioane de dolari. Cu toate acestea, mai multe bănci asociate cu compania de carduri bancare au refuzat să accepte acea sumă și, la sfârșitul lui 2015, s-a ajuns la un acord final pentru compensaţii de 39 milioane de dolari. Suplimentar, cam în același timp, Target a agreat cu Visa compensaţii în valoare de alte 67 de milioane de dolari.
Și de parcă asta nu ar fi fost destul de rău, același procuror din Minnesota a cerut ca Target să își dezvolte strategia de securitate cibernetică – pornind în principal de la faptul că Target a știut de breșa de securitate din 2013, dar iniţial a ignorat-o. Imediat după aceea Target a trebuit să concedieze 1700 de angajaţi și să închidă 133 de magazine.
Credeţi că povestea s-a încheiat aici? Nu. Astăzi, la 4 ani de la intruziunea iniţială, Target continuă să plătească consecinţele și să fie subiectul știrilor. Într-un caz din instanţă în care au pledat avocaţi din Connecticut, Illinois și New York, compania a fost obligată să plătească daune de 18,5 milioane de dolari către 47 de state americane și către Districtul Columbia. De fapt, dacă adăugăm taxele de judecată și alte costuri, o estimare conservatoare ne dă un cost total al intruziunii de la Target de ordinul a 250 milioane de dolari. Și cine poate afirma că povestea s-ar opri aici.
Intruziunea de la Target a avut loc în momentul în care hackerii au profitat de securitatea precară a unui furnizor (3rd party) pentru a accesa reţeaua companiei. După aceea a urmat ceea ce ar putea constitui un exemplu școală de ceea ce nu trebuie făcut – nu s-a încercat nici eliminarea cauzei intruziunii și nici nu s-a acţionat imediat pentru eliminarea ei. După patru ani, compania continuă să plătească preţul neglijenţei – atât financiar, cât și în privinţa reputaţiei.
Dar dacă vreţi un exemplu despre cum s-o dai cu adevărat în bară, în tratarea unei intruziuni de securitate cibernetică, nu trebuie să căutaţi în altă parte, este suficient să ne uităm la Yahoo! – o companie pentru care probabil a și fost inventat semnul exclamării .
Anul trecut, pe parcursul câtorva luni sinuoase, au transpirat știri conform cărora Yahoo! ar fi suferit mai multe atacuri cibernetice. Revelarea faptului că în 2017 un atac „sponsorizat de un stat” a afectat cca. 500 de milioane de utilizatori părea a fi un rău suficient de mare. Dar, în iulie, anul trecut, într-o declaraţie către Securities Exchange Commission (SEC), Yahoo! a recunoscut că a primit primele notificări despre intruziune încă din 2014 – cu mai mult de 2 ani mai devreme.
Lucrurile nu ar fi putut lua un curs mai rău pentru companie, nu-i așa? Ba da, au luat. Deoarece doar după câteva luni, compania a trebuit să recunoască că are neacoperită o intruziune încă și mai veche, care ar fi compromis conturile a cca. un miliard de utilizatori Yahoo!. Iată ce a declarat compania la SEC:
„Pe baza aprofundării analizei datelor realizate de experţi juridici (forensic), credem că, în august 2013, o terţă parte, neautorizată, a furat datele asociate cu peste 1 miliard de conturi. Nu am reușit să identificăm intruziunea asociată cu acest furt de date.”
Nici nu știu care a fost cel mai rău lucru – faptul că au știut că au avut o intruziune și că au păstrat tăcerea, sau faptul că nici măcar nu au notificat faptul că s-a întâmplat decât după mai bine de 3 ani. Dimensiunea impactului financiar a acestei intruziuni de abia de acum va fi văzută, cu excepţia unei singure zone și anume a modului în care a afectat valoarea de piaţă a companiei.
Deoarece știrile despre acest furt de date au apărut tocmai în perioada în care Verizon se pregătea să achiziţioneze Yahoo! – valoarea tranzacţiei a fost redusă cu 350 de milioane de dolari, până la momentul semnării tranzacţiei. Ba chiar, la un moment dat, Verizon încerca să reducă preţul de cumpărare cu aproape 900 de milioane de dolari.
Ca urmare a recunoașterii intruziunii, Yahoo! a condus o campanie de sfătuire a clienţilor să-și modifice parolele și să verifice dacă au fost victima unor tranzacţii neobișnuite. Dar la 3 ani după furt, această acţiune seamănă cu a potcovi un cal mort.
Ceea ce se poate vedea din aceste două cazuri este că deși știrile imediate produc niște daune, ramificaţiile pe termen lung sunt mult mai rele. Apar tot felul de solicitări de compensaţii, povestea nu este uitată iar numele companiei rănâne asociat pentru totdeauna cu cuvinte cum ar fi „hack” sau „furt de date”. În cazul apariţiei unui atac, companiile au datoria să își informeze toţi clienţii potenţial afectaţi, cât mai curând posibil. Și să își consilieze clienţii despre măsurile de securitate pe care aceștia trebuie să le ia imediat. Mai mult, din punct de vedere tehnologic companiile trebuie să știe cum să își oprească sistemele, pentru a combate intruziunea și a se asigura că sistemele de back-up pot restaura datele la un moment de timp precedent atacului.
Modul în care ești pregătit pentru un atac, și modul în care tratezi unul atunci când apare contează foarte mult, după cum au arătat și judecătorii din cazul Target. Acesta poate limita pierderile, reduce compensaţiile și poate ajuta la diminuarea pierderii reputaţionale. Mai mult, companiile trebuie să investească nu numai într-o securitate cibernetică mai puternică, ci trebuie și să își instruiască directorii executivi despre modul în care trebuie să reacţioneze în cazul unei intruziuni.

Kevin Taylor

Kevin, FCIPR, este un consultant de comunicare și scriitor respectat, precum și un comentator apreciat în domeniul securității IT în afaceri și tehnologie, telecomunicații și în special în domeniul comunicațiilor mobile. El este Fellow și fost Președinte al Institutului de Relații Publice din UK și a fost consultant al consiliului de conducere al unor brand-uri globale, precum și al unor start-up-uri din domeniul tehnologiei. La Robertson Taylor PR, a înființat Standing Tall, o rețea de consultanți independenți care oferă o gamă largă de servicii de marketing și suport
în afaceri. El este, de asemenea VP Communications la Ensygnia – o companie nou intrată pe piața identității mobile, autentificării și plăților mobile.