Wyciek danych osobowych to poważny problem, z którym muszą się mierzyć współczesne firmy. Często, zamiast brać na siebie pełną odpowiedzialność za zaistniałą sytuację, firmy próbują obarczyć winą innych – zazwyczaj swoich partnerów, dostawców usług czy podwykonawców. Oto kilka przykładów i analiza, jak to wygląda w praktyce.
AT&T: Cyberatak i odpowiedzialność podwykonawcy
W ostatnim czasie AT&T stało się głośnym przykładem tego typu zachowań. Firma ta doświadczyła masowego wycieku danych, w wyniku którego ujawniono informacje dotyczące około 73 milionów klientów, zarówno obecnych, jak i byłych. Zamiast jednoznacznie przyznać się do zaniedbań, AT&T wskazało na swojego dostawcę usług chmurowych, firmę Snowflake, sugerując, że to ich niedostateczne zabezpieczenia przyczyniły się do wycieku danych, mimo, że Snowflake wskazywało luki w stosowanych przez AT&T procedurach uwierzytelniania.
Target: Wyciek przez dostawcę systemów HVAC
Innym znanym przykładem jest przypadek firmy Target, która w 2013 roku doświadczyła ogromnego wycieku danych, w wyniku którego skradziono informacje o kartach kredytowych i debetowych ponad 40 milionów klientów. Target początkowo obwiniał swojego dostawcę systemu HVAC, twierdząc, że to przez ich systemy hakerzy dostali się do głównej sieci firmy. Choć dostawca rzeczywiście odegrał rolę w ataku, krytycy zwrócili uwagę, że Target powinien był lepiej zabezpieczyć swoje wewnętrzne systemy przed takimi zagrożeniami.
Marriott: Wina przejętej firmy
Marriott International również zmierzył się z wyciekiem danych, który objął informacje o milionach gości na całym świecie. Firma, zamiast przyznać się do własnych zaniedbań w zakresie bezpieczeństwa, wskazywała na problemy z przejętymi systemami informatycznymi Starwood, które były już narażone na ataki przed przejęciem. W rezultacie Marriott próbował przekierować część winy na poprzednią administrację IT Starwood. W rzeczywistości jednak Marriott nie przeprowadził odpowiednio szczegółowego audytu bezpieczeństwa podczas fuzji, choć to ich obowiązkiem było zapewnienie, że przejmowane systemy są odpowiednio zabezpieczone.
Equifax: Zaniedbanie aktualizacji i obwinianie dostawców oprogramowania
Equifax, jedno z trzech największych biur informacji kredytowej w USA, doświadczyło w 2017 roku wycieku danych, który dotknął około 147 milionów osób. W wyniku tego incydentu ujawniono numery ubezpieczenia społecznego, daty urodzenia, adresy i inne wrażliwe informacje. Equifax początkowo obwiniał podatność w oprogramowaniu Apache Struts za atak, jednak okazało się, że firma nie wdrożyła dostępnej aktualizacji zabezpieczeń, co mogło zapobiec wyciekowi.
Uber: Ukrywanie i zrzucanie winy
W 2016 roku Uber ukrywał fakt wycieku danych 57 milionów użytkowników przez ponad rok. Firma początkowo starała się obarczyć odpowiedzialnością hakerów i zaniedbania pracowników odpowiedzialnych za zabezpieczenia, jednak w rzeczywistości Uber rzekomo zapłacił hakerom 100 tysięcy dolarów za milczenie i usunięcie skradzionych danych. Ta taktyka nie tylko miała na celu ukrycie prawdziwego rozmiaru incydentu, ale również zmniejszenie odpowiedzialności firmy.
Konsekwencje i znaczenie odpowiedzialności
Kiedy firmy obarczają winą innych za wycieki danych, narażają się na utratę zaufania klientów i regulatorów, a także na konieczność wypłaty odszkodowań bezpodstawnie obwinionym podmiotom. Odbierane jest to jako próba uniknięcia odpowiedzialności i może prowadzić do poważniejszych konsekwencji prawnych i reputacyjnych. Zamiast tego, firmy powinny:
- Przyznać się do winy: Otwarte przyznanie się do własnych zaniedbań może zyskać większy szacunek klientów niż próby obarczania winą innych.
- Poprawić swoje procedury: Wdrożenie lepszych zabezpieczeń i ciągłe monitorowanie systemów IT może zminimalizować ryzyko przyszłych wycieków.
- Współpracować z regulatorami: Transparentna współpraca z organami regulacyjnymi może pomóc w łagodzeniu konsekwencji prawnych i finansowych.
Wnioski z wycieków danych takich jak w przypadku AT&T, Target, Marriott czy Equifax pokazują, że odpowiedzialność za ochronę danych spoczywa przede wszystkim na firmach, które te dane przechowują i przetwarzają. Współczesne środowisko cyfrowe wymaga od firm proaktywnego podejścia do bezpieczeństwa informacji i odpowiedzialnego zarządzania incydentami bezpieczeństwa.
Źródła: CNN, The Street, SC Media, SecurityWeek, Krebs on Security, Prevalent, Consumer Advice, Insurance Journal, Bleeping Computer