Статья только в электронной версии журнала
Когда и как раскрывать сведения о нарушении безопасности ваших компьютерных систем
Незадолго до Рождества Egghead.com (Менло-Парк, шт. Калифорния), занимающаяся онлайновой розничной продажей технологий, попала в кошмарную ситуацию: 18 декабря администрация фирмы обнаружила, что в ее компьютерных системах побывал хакер. В первый же день вскрылось, что в числе таких систем оказались и базы данных с информацией о кредитных карточках клиентов.
Исполнительный директор и президент Egghead.com Джефф Шихан решение принял быстро: чтобы предотвратить попытки мошенничества, надо поделиться дурными известиями с клиентами и главными партнерами. Компания немедленно разослала от имени Шихана 3,3 млн. электронных сообщений прежним и нынешним клиентам и издала пресс-релиз для средств массовой информации США.
На сегодня это один из немногих и наиболее ярких примеров, когда компания оперативно информировала клиентов о нарушении ее Интернет-безопасности. Поэтому опыт Egghead.com и других организаций, извещавших общественность о взломе своих систем, является ценным уроком для э-бизнеса.
Учитывая, что пользователи онлайнового сервиса все больше беспокоятся об охране своих секретов, а также то, что мало-помалу вступают в действие новые законы о защите прав частных лиц на неразглашение личной информации, эксперты рекомендуют большинству э-компаний решить заранее, когда и как извещать клиентов и бизнес-партнеров о вторжениях в свои системы. Излишне активная реакция вредна, так как публичные заявления могут инициировать новые атаки взломщиков. Но когда в чужие руки попадает частная информация (номера кредитных карточек, адреса или другие данные), компания, по мнению экспертов, обязана оповестить своих клиентов.
Если клиентская информация осталась в безопасности или фирма не уверена в факте проникновения в ее сеть злоумышленников, характер реакции менее однозначен. Но в любом случае э-компании больше не имеют права игнорировать данную проблему, они обязаны выработать меры и процедуры, позволяющие оповещать клиентов в случае нарушения защиты.
“Компании, как правило, очень не хотят, чтобы такая информация выходила наружу, - говорит Фред Райка, партнер фирмы PricewaterhouseCoopers (Флорэм-Парк, шт. Нью-Йорк) по решениям в области управления глобальными рисками. - Они боятся подмочить свою репутацию, а также спровоцировать новые попытатки хакеров проникнуть через ту же брешь”.
Без сомнений
Egghead.com стала исключением из этого правила. Уже через несколько дней после происшествия она оповестила о происшествии своих главных партнеров среди эмитентов кредитных карточек. Компания предупредила их о возможности мошеннических операций и посоветовала произвести обмен карточек.
Далее надлежало поставить в известность клиентов. Egghead.com решила действовать по двум направлениям и 22 декабря разослала им электронные письма, одновременно уведомив обо всем средства массовой информации. Сообщения о прорыве защиты попали в первые строки новостей. Кое-кто из клиентов высказал серьезные претензии. Тем не менее Шихан считает, что поступил верно, предав события гластности: “Не было ни малейших сомнений, что мы действуем правильно. Я лично убежден, что открытость и честность с людьми в конечном счете всегда окупаются”.
Возможно, встав на позиции открытости, Egghead.com избежала более серьезных последствий для своей репутации и торгового бизнеса. По словам Шихана, объемы продаж за неделю между Рождеством и Новым годом - сразу после обнаружения взлома - не разошлись с прогнозами. Во время подготовки этой статьи Egghead.com еще не имела отчета об итогах IV квартала 2000 г., который мог бы пролить дополнительный свет на последствия действий хакера.
Тем не менее, считают эксперты, при отсутствии серьезных признаков ущерба для клиентской базы данных менеджерам э-бизнеса разглашать информацию о нарушении безопасности не стоит. Публичные заявления могут навести хакеров на уязвимые места системы, и чем больше людей будет знать о методах ее защиты, тем больше вероятность ее взлома.
Скорее компаниям стоит проявить более пристальное внимание к конкретным внутренним проблемам обеспечения безопасности, считает Райка из PricewaterhouseCoopers. Стоит задуматься о том, как противостоять вирусам в системе электронной почты и своевременно пресекать действия злоумышленников, пока они не нанесли серьезного ущерба.
Популярные сайты пять-шесть раз в день подвергаются хакерским атакам, говорит Саймон Перри, вице-президент служб безопасности фирмы Computer Associates International (Исландия, шт. Нью-Йорк). Большинство компаний не склонно оповещать пользователей о каждой подобном случае, но лучшей защитой при угрозе разглашения секретов клиентов, будет, по мнению экспертов, предупреждающая информация.
Что касается открытых акционерных компаний, нарушение системы информационной безопасности которых может повлиять на финансовую сторону бизнеса, то им, по мнению Джона Пескатора, аналитика Gartner Group (Стэмфорд, шт. Коннектикут), также лучше предупредить о возможном риске владельцев акций.
Даже если клиентской информации ничто не угрожает, компании должны быть готовы к публичному обсуждению возникших у них проблем с безопасностью. Например, привлечь внимание клиентов могут порча витрины Web-сайта или атаки с подавлением сервиса. Хакеры и пресса очень любят посудачить о таких инцидентах. Компания, столкнувшаяся с подобным нежелательным вниманием, должна быть готова объяснить, что произошло и что будет предпринято для исправления ситуации.
Средства массовой информации моментально узнают о дефектах системы защиты, в чем недавно убедилось бюро путешествий Travelocity.com (Форт-Уорс, шт. Техас). В конце января этот сайт нечаянно раскрыл имена и адреса почти 40 тыс. посетителей, участвовавших в онлайновой викторине. О своей ошибке компания узнала из прессы, и ей пришлось сделать публичное заявление.
“Окружающий мир теперь представляет собой совершенно новую среду, особенно для тех специалистов в области информационных технологий, кто привык рассматривать и саму ИТ, и проблемы безопасности как внутреннее дело компаний, - говорит Томас Баррит, старший вице-президент и директор по управлению ценными бумагами PR-компании Ketchum, филиала фирмы Omnicom Group (Нью-Йорк). - Сегодня публика гораздо лучше разбирается в этих вопросах и понимает степень риска, связанного с онлайновым предоставлением личной и финансовой информации”.
Быть наготове
Хотя эксперты высоко оценили действия Egghead.com в критической ситуации, они вместе с тем считают, что одной лишь оперативной реакции на вторжения недостаточно. Задолго до появления проблемы надо выработать политику и процедуры взаимодействия с клиентами и средствами информации. Подобные меры должны стать частью планов обеспечения Интернет-безопасности. Вот об этом Egghead.com до кризиса не позаботилась. Теперь же, говорит Шихан, компания усвоила урок и на его основе выработала свои принципы информирования по вопросам безопасности.
Если фирма решает известить клиентов о внешней угрозе, надо хорошо продумать содержание сообщения. Важно дать ясно понять, что она принимает меры к решению проблемы и позаботится об устранении риска для пользователей, считает Пескатор из Gartner.
Надо помнить, что одного оповещения недостаточно. Клиенты захотят иметь информацию о том, как развиваются события. Этого Egghead.com не учла. Послав 22 декабря по электронной почте первое сообщение для клиентов, компания до 8 января хранила молчание. Поэтому некоторые агентства новостей решили, что клиенты Egghead.com в растерянности и ждут, когда им скажут, были или нет украдены номера их кредитных карточек.
Для клиента Egghead.com Билла Касвела, обнаружившего странный платеж по своей кредитной карточке в пользу одной российской телекоммуникационной компании, информации по электронной почте оказалось явно недостаточно. Чтобы узнать поподробнее о том, какого рода платежи могут проходить по его карточке, Касвелл, житель Силвер-Спрингс (шт. Мэриленд), позвонил ее эмитенту. Банк возложил вину на хакера, проникшего в Egghead.com.
Сама Egghead.com признала, что примерно 7,5 тыс. ее клиентов заявили о мошенничестве с их счетами, но фирма утверждает, что все эти случаи не имеют отношения к взлому сети и, по всей видимости, связаны с проблемами безопасности других компаний. Официальные лица Egghead.com сообщили, что не могли дать дополнительную информацию клиентам после первого электронного письма, так как факт хакерского вторжения расследовало ФБР. Кроме того, по словам Шихана, он не спешил с новыми заявлениями, поскольку хотел, чтобы эксперты по безопасности прежде выявили, какие системы пострадали от вторжения.
В то же время Egghead.com выделила с десяток представителей клиентских служб для ответов на звонки пользователей, обеспокоенных проблемами информационной безопасности.
Учитывая растущую осведомленность людей в этих вопросах, а также экономические трудности Интернет-бизнеса, э-компании должны позаботится о том, чтобы не терять покупателей. В случае нарушения защиты сети они должны быть готовы поведать клиентам плохие новости, говорит Дебора Пирс, штатный юрист адвокатской группы Electronic Frontier Foundation (Сан-Франциско).
“Если компании действительно хотят установить в Сети доверительные отношения, они обязаны это делать, чтобы подтвердить серьезность своих намерений”, - считает Пирс.
О безопасности начистоту
Если ваш сайт пострадал от прорыва системы безопасности, грозящего рассекречиванием частной информации, лучше всего быть честным по отношению к клиентам. Вот несколько советов, как лучше делиться плохими известиями:
- Свяжитесь с клиентами, используя доступные им средства. Компаниям, занимающимся Web-бизнесом, например осуществляющим розничную торговлю через Интернет, для рассылки сообщений о нарушениях защиты лучше воспользоваться электронной почтой, а обычный банк может прибегнуть к услугам традиционной почтовой связи.
- Будьте последовательны. Не предлагайте клиентам одно объяснение, а прессе или акционерам - другое.
- Разъясните меры, которые предпримет ваша компания для ликвидации бреши в защите, и честно, но не поднимая паники, расскажите о возможных рисках.
- Позаботьтесь о том, чтобы ваш штат клиентских служб был должным образом обучен и готов отвечать на вопросы о безопасности, полученные по телефону или электронной почте.
- Не забывайте своевременно сообщать свежие новости. Если вы не будете держать своих клиентов в курсе дела, они могут потерять к вам доверие.
Источник: eWeek
