Чему учит скандал с утечками данных из Marriott

Прошло одиннадцать недель, прежде чем гостиничная сеть Marriott решила поведать, что в хакерской атаке в руки к злоумышленникам попали личные данные 383 млн клиентов, включая как минимум 25 млн номеров паспортов и 8 млн номеров кредитных карт. А теперь представьте, что бы было, если бы компания уровня Marriott на одиннадцать недель задержала свой квартальный отчет. Подобное поведение по праву считалось бы неприемлемым, но почему-то оно вполне допустимо, когда речь идет о разглашении такого рода происшествий.

Из этой ситуации можно сделать четыре вывода, которые будут полезны как руководителям, так и регулирующим властям.

1. Текущая практика информирования о кибератаках в очередной раз показала свою несостоятельность.

2. Слияния, сокращения расходов и прочие корпоративные мероприятия могут стать причиной серьезных уязвимостей в цифровой защите.

3. Угрозы безопасности в системе накапливаются.

4. Руководство организаций по-прежнему не готово или недостаточно квалифицировано, чтобы всерьез бороться с киберугрозами.

Неадекватное информирование

Единственный способ заставить бизнес ответственно относиться к информационной безопасности — ужесточить правила разглашения о случаях кибератак и ревностно следить за их соблюдением. Действующие инструкции Комиссии по ценным бумагам и биржам (SEC), мягко говоря, расплывчаты в этом вопросе. Мы не нашли ни одного требования в существующих законах о безопасности, которое бы явным образом затрагивало проблемы информационных рисков и связанных с ними инцидентов. К сожалению, инструкции SEC не помешали Marriott почти три месяца хранить молчание об утечке личных данных миллионов своих клиентов. Впрочем, нам известно о двух случаях, когда SEC все-таки прибегла к административным мерам в отношении компаний, скрывавших факты взлома своих систем безопасности. Однако в итоге обе организации отделались сравнительно небольшими штрафами, которые практически никак не отразились на их финансовом положении. С нашей точки зрения, пока наказания за такие проступки не станут по-настоящему серьезными, руководство большинства компаний продолжит игнорировать эти проблемы.

Мы изучили публичные отчеты и документы, поданные Marriott в SEC. Известно, что хакерское проникновение в систему было обнаружено 8 сентября. 6 ноября компания отправила отчет по форме 10-Q за прошедший период, закончившийся 30 сентября. Несмотря на то что вопросам цифровой безопасности в этом отчете посвящены целых два абзаца, в нем нет ни одного упоминания ни о крупной утечке данных, случившейся в компании, ни о нанесенном ею экономическом ущербе. И лишь 30 ноября Marriott подала форму 8-К, информирующую SEC об атаке на свои сервера. По правилам этот документ необходимо высылать в течение трех дней после происшествия, при этом показательно, что по другим вопросам компания отчитывается гораздо расторопнее. Например, когда сенатор Митт Ромни покинул совет директоров компании, форма 8-K с этой информацией была отправлена уже на следующий день.

Затем мы внимательно изучили проведенный Marriott анализ возможных финансовых последствий. Оказалось, что страховка, которую менеджмент компании преподносит в качестве смягчающего фактора, может быть аннулирована, если страховщик сочтет утечку информации результатом координированных действий китайской разведки. Кроме того, судя по всему, в Европе Marriott может попасть под удар Общего регламента о защите данных (GDPR), хотя, насколько нам известно, об этом не упоминают ни менеджеры компании, ни СМИ. GDPR предписывает, что организация обязана заявить о бреши в своей безопасности в течение 72 часов. Это требование вступает в силу, если хотя бы один из клиентов гостиничной сети легально проживает в ЕС.