주요 회사가 침해 사고를 당할 때마다 피해자에게 개인 데이터가 장난꾸러기 집단의 손에 있을 수 있다는 사실을 통보받을 때까지 불편한 시간(몇 주, 때로는 몇 달, 심지어 1년)이 지나가는 것처럼 보입니다.
컨텍스트를 제공하기 위해 전 세계에서 택시의 대안을 제공하는 회사인 Uber는 2016년 10월부터 침해에 대해 알고 있었으며 2017년 11월 Bloomberg에서 보고할 때까지 공개하지 않았습니다. 설상가상으로 그들은 뉴스의 첫 페이지에 오르지 않기를 바라며 공격한 해커에게 몸값을 지불하기까지 했습니다(끔찍하게 역효과를 낸 계획).
무슨 일이야? Uber, Equifax 및 Yahoo와 같은 회사는 왜 그렇게 오랫동안 침해를 숨겼습니까?
고객이 신뢰를 잃지 않도록 하십시오
이것은 비생산적인 것처럼 들리지만 일부 경영진은 위반 사항을 깔아뭉개 버리면 고객이 어떻게든 계속 신뢰하게 될 것이라고 상상합니다. 위반이 모든 사람에게 그렇게 해를 끼치 지 않기를 바라는 그들의 손가락이 교차되었습니다. 먼지가 가라앉고 나면 큰 영향 없이 발표할 수 있을 것입니다.
어찌보면 성적이 안 좋아서 엄마에게 성적표 보여주기를 주저하는 아이 같다. 그녀는 그것이 도착해야 한다는 것을 알고 있지만, 그는 그녀가 다음 학기에 더 나은 성적을 얻을 것이라는 것을 그녀가 잊기를 바라고, 그리고 나서 그는 그녀에게 더 나쁜 성적 옆에 더 나은 성적을 보여줄 수 있기를 바랍니다. "봐, 별로 나쁘지 않아!" 그는 말할 것입니다.
불행히도, 이 관행은 들리는 것처럼 비생산적입니다. 고객은 자신도 모르는 사이에 몇 달 동안 개인 데이터가 엉망이 된 사실을 알게 되면 배신감을 느끼는 경향이 있습니다. 사회 보장 번호, 신용 카드 번호 또는 기타 민감한 데이터가 관련된 경우 특히 그렇습니다.
주식 하락을 원하지 않습니다
같은 논리에 따르면 주요 증권 거래소에서 주식이 거래되는 회사는 같은 이유로 데이터 유출을 숨길 수 있습니다. 여기서 차이점은 주주들이 놀라는 것을 원하지 않는다는 것입니다. 침해가 매우 해로운 것으로 간주되지 않는다면, 그들의 주가는 심연의 바닥까지 떨어지지 않을 것입니다.
주주들은 조금 더 관대할 수 있습니다. 예를 들어 Equifax가 2017년 9월 7일에 위반을 발표했을 때 주당 약 464달러에서 거래되고 있었습니다. 그 직후인 9월 11일 주가는 474달러까지 치솟았다. Equifax는 영향을 받지 않았습니다. 월이 진행됨에 따라 하락세를 보였고 9월 26일 마침내 $434에 거래되었습니다.
그런 다음 뉴스 사이클이 약간 줄어들었을 때 다시는 낮은 수치에 도달하지 않았습니다. 11월에는 9월 11일 수치보다 높게 거래되어 주당 최고점인 $492를 기록했습니다.
게다가 당혹스러움
자신이 CEO의 위치에 있다고 상상해 보십시오. 당신은 직원이 n,000명, 자산이 수십억 달러, 사용자/고객이 수천만 명에 달하는 회사를 이끌고 있습니다. 갑자기 게으른 해커가 IT 부서에서 몇 달 전에 패치하는 것을 잊어버린 서버의 취약점을 발견했습니다. 당신을 무릎 꿇게 만드는 데는 그의 스튜디오 아파트에서 단 한 명의 대학 중퇴가 필요했습니다.
그것은 자존심에 큰 타격을 입혔습니다! 약간 부풀려진 자존감을 가진 대부분의 사람들은 무엇을 할 것이라고 생각합니까?
때로는 최고의 청렴성을 가진 경영자라도 폭풍우를 몰아내고 모든 것이 사라지는지 확인하기로 선택할 것입니다. 그러다가 물어뜯게 되고, 이제는 너무 늦었기 때문에 이 결정을 후회하게 됩니다. 그들은 책임이 있었고 공격의 희생자가 된 바로 그 사람들에게 실수를 저질렀다는 것을 인정할 용기를 내지 못했습니다.
솔루션
대부분의 선진국에서는 위반 발견과 발표 사이에 너무 많은 시간을 허용하지 않는 상거래 코드 내에 사이버 보안 법률이 있습니다. 2017년 11월 Uber와 같은 은폐는 미국 연방거래위원회(FTC)의 무거운 처벌을 받습니다.
심지어 장기간에 걸쳐 위반 사항을 숨기는 임원에게 징역형을 선고하는 법안이 미 의회를 통과하고 있습니다.
이 시점에서 개인 데이터에 신중을 기하는 것 외에는 이러한 침해에 대해 개인적으로 할 수 있는 일은 없지만 정부는 이러한 회사를 처벌하는 법률을 마련하고 있습니다. 미국은 가능한 처벌에 징역형을 추가함으로써 한 걸음 더 나아가고 있습니다.
당신이 절대적으로 해야 하는 경우가 아니라면, 당신이 그것을 위임하는 기관이 얼마나 신뢰할 수 있든 상관없이 당신의 민감한 정보를 인터넷에 너무 많이 올려서는 안된다는 것을 다시 한 번 반복해야 합니다.
어떻게 생각하나요? 경영진이 자신이 대표하는 기업의 고객에게 영향을 미치는 데이터 침해를 숨겼다는 이유로 감옥에 가야 할까요? 의견을 댓글로 알려주세요!