Bất cứ khi nào một công ty lớn bị vi phạm, một khoảng thời gian khó chịu - vài tuần, đôi khi vài tháng, hoặc thậm chí một năm - dường như trôi qua cho đến khi nạn nhân được thông báo rằng dữ liệu cá nhân của họ có thể nằm trong tay của một nhóm kẻ gian xảo.
Để cung cấp một số bối cảnh, Uber, một công ty cung cấp giải pháp thay thế cho taxi trên toàn thế giới, đã biết về một vi phạm từ tháng 10 năm 2016 mà hãng không tiết lộ cho đến khi Bloomberg đưa tin vào tháng 11 năm 2017! Tệ hơn nữa, họ thậm chí còn trả tiền chuộc cho những tin tặc đã tấn công nó, với hy vọng rằng nó sẽ không xuất hiện trên trang nhất của tin tức (một kế hoạch rõ ràng đã phản tác dụng khủng khiếp).
Vấn đề lớn là gì? Tại sao các công ty như Uber, Equifax và Yahoo lại che giấu hành vi vi phạm của mình trong một thời gian dài như vậy?
Không muốn khách hàng mất lòng tin
Điều này nghe có vẻ phản tác dụng, nhưng một số giám đốc điều hành tưởng tượng rằng nếu họ quét sạch các vi phạm của mình dưới tấm thảm, bằng cách nào đó khách hàng của họ sẽ tiếp tục tin tưởng họ. Các ngón tay của họ đan chéo nhau, hy vọng rằng vụ vi phạm sẽ không gây thiệt hại cho mọi người. Sau khi bụi lắng xuống, chúng có thể đưa ra thông báo mà không ảnh hưởng nhiều.
Theo một cách nào đó, nó giống như một đứa trẻ bị điểm kém và do dự không cho mẹ xem học bạ của mình. Cô ấy biết là phải đến nơi, nhưng anh ấy hy vọng cô ấy sẽ quên, rằng anh ấy sẽ đạt điểm cao hơn trong học kỳ tới, và sau đó anh ấy có thể cho cô ấy xem điểm tốt hơn bên cạnh điểm kém hơn. "Thấy chưa, nó thực sự không tệ như vậy!" anh ấy sẽ nói.
Thật không may, cách làm này cũng phản tác dụng. Khách hàng có xu hướng cảm thấy bị phản bội khi họ phát hiện ra rằng dữ liệu cá nhân của họ đã hoạt động trong nhiều tháng mà họ không hề hay biết. Điều này đặc biệt đúng khi có liên quan đến số an sinh xã hội, số thẻ tín dụng hoặc các phần dữ liệu nhạy cảm khác.
Không muốn cổ phiếu của họ giảm
Theo cùng một logic, các công ty có cổ phiếu được giao dịch trên một sàn giao dịch chứng khoán lớn có thể che giấu các vi phạm dữ liệu của họ vì cùng một lý do chính xác. Sự khác biệt ở đây là họ không muốn các cổ đông của mình phải hoảng sợ. Nếu hành vi vi phạm không được coi là có hại đặc biệt, thì giá cổ phiếu của họ sẽ không lao xuống đáy vực thẳm.
Các cổ đông có thể dễ dàng tha thứ hơn một chút. Ví dụ, khi Equifax thông báo vi phạm của mình vào ngày 7 tháng 9 năm 2017, nó đang giao dịch ở mức khoảng 464 USD / cổ phiếu. Ngay sau đó, vào ngày 11 tháng 9, giá cổ phiếu đạt 474 đô la. Equifax không bị ảnh hưởng. Khi tháng trôi qua, nó trải qua một đợt dốc xuống, cuối cùng được giao dịch ở mức 434 đô la vào ngày 26 tháng 9.
Sau đó, khi chu kỳ tin tức giảm đi một chút, nó không bao giờ đạt đến con số thấp đó nữa. Đến tháng 11, nó được giao dịch cao hơn con số ngày 11 tháng 9, đạt mức cao nhất là 492 USD / cổ phiếu.
Ngoài ra, Xấu hổ
Hãy tưởng tượng bạn ở vị trí của một giám đốc điều hành:Bạn đang lãnh đạo một công ty với n nghìn nhân viên, tài sản hàng tỷ đô la, hàng chục triệu người dùng / khách hàng, cả chín thước. Đột nhiên, một hacker lười biếng tìm thấy một lỗ hổng trong máy chủ của bạn mà bộ phận CNTT của bạn đã quên vá nhiều tháng trước. Chỉ cần một lần bỏ học đại học trong căn hộ studio của anh ấy để khiến bạn quỳ gối.
Đó là một cú đánh vào bản ngã! Bạn nghĩ hầu hết những người có lòng tự trọng bị thổi phồng sẽ làm gì?
Đôi khi, ngay cả những giám đốc điều hành với tinh thần liêm chính tốt nhất cũng sẽ chọn cách vượt qua cơn bão và xem liệu tất cả có biến mất hay không. Sau đó, nó sẽ cắn họ, và họ quay ra hối hận về quyết định này, vì bây giờ đã quá muộn. Họ có trách nhiệm và không đủ can đảm thừa nhận họ đã phạm lỗi với chính những người mà cuộc tấn công trở thành nạn nhân.
Giải pháp
Ở hầu hết các nước phát triển, có luật an ninh mạng được áp dụng trong các quy tắc thương mại không cho phép quá nhiều thời gian giữa việc phát hiện ra vi phạm và thông báo vi phạm. Các công ty che đậy như Uber vào tháng 11 năm 2017 phải chịu các hình phạt nặng nề của Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), để nêu ra một ví dụ.
Thậm chí, có một dự luật đang được Quốc hội Hoa Kỳ thông qua sẽ đưa ra các bản án tù đối với những giám đốc điều hành che giấu vi phạm trong một thời gian dài và không hợp lý.
Tại thời điểm này, cá nhân bạn không thể làm gì đối với những vi phạm này ngoại trừ hãy thận trọng với dữ liệu cá nhân của bạn, nhưng các chính phủ có luật xử phạt những công ty này. Hoa Kỳ chỉ đang tiến thêm một bước nữa bằng cách thêm thời gian ngồi tù vào các hình phạt có thể có.
Cần nhắc lại một lần nữa rằng bạn không nên đưa quá nhiều nội dung nhạy cảm của mình lên Internet - bất kể tổ chức mà bạn đang giao phó đáng tin cậy đến mức nào - trừ khi bạn hoàn toàn phải làm điều này.
Bạn nghĩ sao? Giám đốc điều hành có nên vào tù vì che giấu vi phạm dữ liệu ảnh hưởng đến khách hàng của doanh nghiệp mà họ đại diện? Hãy cho chúng tôi biết suy nghĩ của bạn trong một bình luận!