Jak firmy reagują na wycieki danych i dlaczego przerzucanie winy na innych nie jest dobrym pomysłem

AT&T: Cyberatak i odpowiedzialność podwykonawcy

W ostatnim czasie AT&T stało się głośnym przykładem tego typu zachowań. Firma ta doświadczyła masowego wycieku danych, w wyniku którego ujawniono informacje dotyczące około 73 milionów klientów, zarówno obecnych, jak i byłych. Zamiast jednoznacznie przyznać się do zaniedbań, AT&T wskazało na swojego dostawcę usług chmurowych, firmę Snowflake, sugerując, że to ich niedostateczne zabezpieczenia przyczyniły się do wycieku danych​, mimo, że Snowflake wskazywało luki w stosowanych przez AT&T procedurach uwierzytelniania.

Target: Wyciek przez dostawcę systemów HVAC

Innym znanym przykładem jest przypadek firmy Target, która w 2013 roku doświadczyła ogromnego wycieku danych, w wyniku którego skradziono informacje o kartach kredytowych i debetowych ponad 40 milionów klientów. Target początkowo obwiniał swojego dostawcę systemu HVAC, twierdząc, że to przez ich systemy hakerzy dostali się do głównej sieci firmy. Choć dostawca rzeczywiście odegrał rolę w ataku, krytycy zwrócili uwagę, że Target powinien był lepiej zabezpieczyć swoje wewnętrzne systemy przed takimi zagrożeniami​.

Marriott: Wina przejętej firmy

Marriott International również zmierzył się z wyciekiem danych, który objął informacje o milionach gości na całym świecie. Firma, zamiast przyznać się do własnych zaniedbań w zakresie bezpieczeństwa, wskazywała na problemy z przejętymi systemami informatycznymi Starwood, które były już narażone na ataki przed przejęciem. W rezultacie Marriott próbował przekierować część winy na poprzednią administrację IT Starwood. W rzeczywistości jednak Marriott nie przeprowadził odpowiednio szczegółowego audytu bezpieczeństwa podczas fuzji, choć to ich obowiązkiem było zapewnienie, że przejmowane systemy są odpowiednio zabezpieczone.

Equifax: Zaniedbanie aktualizacji i obwinianie dostawców oprogramowania

Equifax, jedno z trzech największych biur informacji kredytowej w USA, doświadczyło w 2017 roku wycieku danych, który dotknął około 147 milionów osób. W wyniku tego incydentu ujawniono numery ubezpieczenia społecznego, daty urodzenia, adresy i inne wrażliwe informacje. Equifax początkowo obwiniał podatność w oprogramowaniu Apache Struts za atak, jednak okazało się, że firma nie wdrożyła dostępnej aktualizacji zabezpieczeń, co mogło zapobiec wyciekowi​.

Uber: Ukrywanie i zrzucanie winy

W 2016 roku Uber ukrywał fakt wycieku danych 57 milionów użytkowników przez ponad rok. Firma początkowo starała się obarczyć odpowiedzialnością hakerów i zaniedbania pracowników odpowiedzialnych za zabezpieczenia, jednak w rzeczywistości Uber rzekomo zapłacił hakerom 100 tysięcy dolarów za milczenie i usunięcie skradzionych danych. Ta taktyka nie tylko miała na celu ukrycie prawdziwego rozmiaru incydentu, ale również zmniejszenie odpowiedzialności firmy.

Konsekwencje i znaczenie odpowiedzialności

Kiedy firmy obarczają winą innych za wycieki danych, narażają się na utratę zaufania klientów i regulatorów, a także na konieczność wypłaty odszkodowań bezpodstawnie obwinionym podmiotom. Odbierane jest to jako próba uniknięcia odpowiedzialności i może prowadzić do poważniejszych konsekwencji prawnych i reputacyjnych. Zamiast tego, firmy powinny:

1. Przyznać się do winy: Otwarte przyznanie się do własnych zaniedbań może zyskać większy szacunek klientów niż próby obarczania winą innych.
2. Poprawić swoje procedury: Wdrożenie lepszych zabezpieczeń i ciągłe monitorowanie systemów IT może zminimalizować ryzyko przyszłych wycieków.
3. Współpracować z regulatorami: Transparentna współpraca z organami regulacyjnymi może pomóc w łagodzeniu konsekwencji prawnych i finansowych.

Źródła: CNN, The Street, SC Media, SecurityWeek, Krebs on Security, Prevalent, Consumer Advice, Insurance Journal, Bleeping Computer