Når et større selskap lider av et brudd, synes en ubehagelig mengde tid - uker, noen ganger måneder eller enda et år - å passere til ofrene blir informert om at deres personopplysninger kan være i hendene på en gruppe skadelige beslutningstakere.

For å gi en viss sammenheng, har Uber, et selskap som tilbyr et alternativ til drosjer rundt om i verden, kjent om brudd siden oktober 2016 at det ikke avslørte før Bloomberg rapporterte det i november 2017! Enda verre, de betalte til og med et løsepenger til hackerne som angrepet det, i håp om at det ikke ville gjøre frontsiden av nyhetene (en plan som tilsynelatende sto tilbake forferdelig).

Hva er problemet? Hvorfor skjuler selskaper som Uber, Equifax og Yahoo deres brudd i så lang tid?

Ønsker ikke at deres kunder mister tillit

Dette høres litt motproduktivt, men noen ledere forestiller seg at hvis de feier sine brudd under teppet, vil deres kunder på en eller annen måte fortsette å stole på dem. Deres fingre er krysset, og håper at bruddet ikke vil være så skadelig for alle. Når støvet er avgjort, kan de gjøre en kunngjøring uten så mye innvirkning.

På en eller annen måte er det som et barn som får fattige karakterer og nøler med å vise sin mor sitt rapportkort. Hun vet at den må ankomme, men han håper at hun vil glemme at han får bedre karakterer i neste semester, og da kan han vise henne de bedre karakterene ved siden av de verre. "Se, det er egentlig ikke så ille!" Ville han si.

Dessverre er denne øvelsen like motproduktiv som det høres ut. Kunder har en tendens til å føle seg forrådt når de finner ut at deres personlige data har rundet amok i flere måneder uten deres kunnskap. Dette er spesielt tilfelle når personnummer, kredittkortnummer eller andre sensitive data er involvert.

Ønsker ikke at deres lager faller

Går av samme logikk, kan selskaper som handles på en større børs skjule deres databrudd for samme nøyaktige grunn. Forskjellen her er at de ikke vil at sine aksjonærer skal bli urolige. Hvis bruddet ikke betraktes som ekstraordinært skadelig, vil aksjekursene ikke plummet ned til bunnen av avgrunnen.

Aksjonærer kan være litt mer tilgivende. For eksempel, da Equifax annonserte sin mislighold den 7. september 2017, handlet den på et sted rundt $ 464 per aksje. Umiddelbart etterpå, 11. september, traff aksjekursen $ 474. Equifax var upåvirket. Etter hvert som måneden utviklet seg, opplevde den en nedoverbakke, til slutt handel på $ 434 den 26. september.

Da, da nyhetssyklusen døde litt, slo den aldri igjen det lave nummeret. I november var det handel høyere enn 11 september, og toppet på 492 dollar per aksje.

I tillegg, forlegenhet

Forestill deg selv i stillingen som administrerende direktør: Du leder et selskap med n-tusen ansatte, milliarder dollar i eiendeler, titalls millioner brukere / kunder, hele ni meter. Plutselig finner en lat hacker et sårbarhet i serverne dine at din IT-avdeling glemte å lappe for måneder siden. Det tok bare ett collegeutbrudd i studioleiligheten for å ta deg til knærne.

Det er ganske en hit til egoet! Hva tror du de fleste med litt oppblåst følelse av selvtillit vil gjøre?

Noen ganger vil selv ledere med den beste følelsen av integritet velge bare for å ri ut stormen og se om alt bare går bort. Så kommer det til å bite dem, og de viser seg å angre på denne beslutningen, som nå er det for sent. De hadde et ansvar og klarte ikke å mønstre motet til å innrømme at de gjorde en feil for de menneskene som angrepet angrep.

Solutions

I det meste av den utviklede verden er det lov om cybersikkerhet innenfor handelskoder som ikke tillater for mye tid å passere mellom oppdagelsen av brudd og dets kunngjøring. Coverups som Uber er i november 2017 bærer store straffer fra United States Federal Trade Commission (FTC), for å nevne et eksempel.

Det er enda en regning som går gjennom den amerikanske kongressen som vil gi fengselsstraff til ledere som skjuler brudd på en lengre og urimelig periode.

På dette punktet er det ingenting du personlig kan gjøre med disse bruddene, med unntak av å være forsiktig med dine personlige data, men regjeringer har lover på plass som straffer disse selskapene. USA tar bare dette et skritt videre ved å legge fange tid til de mulige straffer.

Det viser at du ikke bør legge for mye av dine sensitive ting på Internett - uansett hvor pålitelig enheten du overtar det til er - med mindre du absolutt må gjøre dette.

Hva tror du? Bør ledere gå i fengsel for å skjule databrudd som påvirker kundene til bedriftene de representerer? Fortell oss hva du synes i en kommentar!