Утечка на $100 млн | Большие Идеи

・ Корпоративный опыт
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Утечка на
$100 млн

Как правильная политика конфиденциальности может сэкономить сотни миллионов долларов

Авторы: Абхишек Борах , Келли Мартин , Роберт Палматир

Утечка на $100 млн
OSMAN RANA/HAYON THAPALIYA/UNSPLASH

читайте также

Интеллект вне системы: больше вреда, чем пользы

Виджей Говиндараджан,  Шрикантх Шринивас

«Время женщин»

Ади Игнейшес

Как построить инклюзивную организацию: три правила для лидеров

Лиза Шалетт,  Ноа Зандан

Что делать, если у вас всё плохо

Сабина Наваз

Сегодня в мире стремительно увеличивается число кибератак: лишь в 2016 году в США было зафиксировано более 1000 случаев утечки данных организаций — чаще всего в результате хакерской атаки или кражи. Подобные инциденты наносят ущерб не только фирмам, оказавшимся жертвами киберпреступников. Изучив сотни случаев кражи данных, мы пришли к выводу, что последствия кибератак негативно влияют и на другие компании, которые работают в данной области.

Как показывают результаты проведенного нами исследования, утечка данных может как навредить ближайшим конкурентам пострадавшей компании (благодаря эффекту перелива), так и укрепить их позиции (за счет эффектов конкуренции). Кроме того, мы обнаружили, что грамотная политика конфиденциальности может предотвратить финансовые потери от утечки данных (за счет предоставления потребителям гарантии прозрачности и контроля над их персональной информацией), в то время как несовершенная политика лишь усугубит проблемы, вызванные кражей информации. Наши находки впервые свидетельствуют о том, что ближайшие конкуренты компании могут понести прямые финансовые потери в результате утечки ее данных, а также предлагают ряд эффективных стратегий, которые помогут компаниям сберечь сотни миллионов долларов.

Согласно нашему исследованию, в ряде случаев побочным эффектом кражи информации становится снижение доверия инвесторов к ближайшим конкурентам подвергшейся атаке фирмы. Рассмотрим, к примеру, произошедшую в июле 2012 года кражу данных компании Nvidia, в результате которой преступники получили доступ к 400 000 аккаунтов пользователей. В тот же день за счет эффекта перелива конкурент Nvidia компания Advanced Micro Devices (AMD) потеряла около $48 млн (стоимость ее акций упала на 1,4%). Исключив из анализа прочие обстоятельства, которые могли повлиять на цену акций AMD (объявления дивидендов, подписания договоров, отчеты о прибыли, сделки по слиянию или поглощению), мы установили, что кража информации в Nvidia повлекла за собой очевидный и значительный ущерб для ее конкурентов.

Компании-конкуренты из нашей выборки, на стоимости акций которых сказался эффект перелива, потеряли в среднем более $8 млн, несмотря на то, что их данные оставались в сохранности. Результаты исследования показывают, что падение цен на акции конкурентов сохранялось на протяжении нескольких дней после кибератаки, а затем цены стабилизировались.

Тем не менее, иногда кража информации может и помочь фирме-конкуренту. Рассмотрим в качестве примера произошедшую в феврале 2015 года масштабную утечку данных корпорации Anthem, которая затронула порядка 80 миллионов пользователей. Благодаря этому конкурент Anthem, компания Aetna, заработала около $745 млн (ее акции выросли на 2,2%) в день инцидента. Утечка данных такого масштаба вызывает у инвесторов опасения, что клиенты пострадавшей компании перейдут к ее конкурентам, что и способствует росту цен на акции последних.

Наше исследование показывает: чтобы понять, пострадают ли компании-конкуренты от утечки данных или выиграют, следует обратить внимание на количество пользователей, чьи данные были утеряны. С ростом числа пострадавших клиентов эффект, оказываемый на стоимость акций конкурентов, меняется с отрицательного на положительный. Можно предположить, что небольшие утечки служат сигналом того, что и другие представители отрасли не застрахованы от действий хакеров. В то же время масштабные кражи информации создают у инвесторов впечатление, что компания-жертва оказалась в исключительном трудном положении. По данным нашего исследования, крупные утечки данных приводят к оттоку клиентов. Вместе со склонностью покупателей переключаться на предложения конкурентов это приносит существенную пользу остальным игрокам рынка и отражается на росте их биржевой прибыли.

К счастью, фирмы способны ограничить побочные эффекты утечки. Существуют действенные стратегии, которые помогут противостоять или защититься от кражи информации — как в своей компании, так и у конкурентов. Опросив сотни покупателей на платформе для краудсорсинга Amazon Mechanical Turk, а также проанализировав стоимость акций нескольких сотен организаций за последние десять лет, мы пришли к выводу, что компании могут защитить себя от негативных последствий утечки данных с помощью двух важных и выгодных для их клиентов практик, в основе которых лежит внимание к сохранности личной информации.

Во-первых, они могут четко и ясно объяснять пользователям, как будет использоваться и распространяться их персональная информация. Прозрачная политика конфиденциальности позволяет клиентам понять, какую именно информацию и каким образом используют компании (например, IP-адрес, история поиска, рекламные кампании, передача информации третьим лицам). Во-вторых, компании могут предоставить клиентам возможность контролировать использование и распространение своих персональных данных. Иными словами, отказаться от участия в бизнес-практиках компании, связанных с распространением информации (рекламные кампании, обмен данными с партнерами, продажи). Вместе эти меры представляются эффективным способом расширить полномочия клиентов, предоставляя им больше информации и право голоса в принятии решений компании.

ЗАЧЕМ ИЗУЧАТЬ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ

Хотя компании могут обеспечивать прозрачность и контроль посредством различных каналов взаимодействия с потребителем, все они систематизированы и документально закреплены в политике конфиденциальности. Изложенные в ней правила — важный инструмент связи с клиентами, поскольку компания юридически обязалась их выполнять. Какие бы сведения о своем отношении к сохранности данных компания ни сообщала другими путями, то, что будет реализовано на практике, содержится именно в политике конфиденциальности. Если клиенты испытывают сомнения относительно действий компании в отношении их персональной информации, она отсылает их к своей политике конфиденциальности.

В недавно опубликованном обзоре исследований, посвященных конфиденциальности данных в маркетинге, отмечалось, что потребители действительно имеют достаточно точное представление о действиях компаний в отношении их персональных данных, которые закреплены в политике конфиденциальности — даже если они ее не читают. Поскольку политика конфиденциальности — это всего лишь перечень практик компании, направленных на обеспечение сохранности данных, клиенты, знакомые с компанией и ее подходами к защите персональной информации, четко представляют себе основные положения этого документа. Проведенное нами исследование, в котором приняли участие сотни клиентов, подтверждает это предположение.

Клиенты компаний с прозрачной политикой конфиденциальности, участвовавшие в нашем опросе, чувствовали, что обладают достаточными знаниями для того, чтобы принять взвешенное решение относительно предоставления своих персональных данных. Когда политика конфиденциальности предоставляла клиентам контроль, они знали, что могут изменить свои предпочтения относительно объема и порядка предоставления своей информации. В нашем исследовании клиенты не отворачивались от компаний, ставших жертвами кражи информации, если им были гарантированы прозрачность и контроль. Как мы убедились, пользователи, обладающие более широкими полномочиями, охотнее делятся своей информацией и с большим пониманием относятся к утечкам, сохраняя лояльность даже после инцидента. Клиенты фирм, которые обеспечивают высокую прозрачность и контроль, не чувствуют, что организации злоупотребляют их информацией, предоставляют более точные данные, больше доверяют компаниям и склонны рекомендовать их знакомым.

Кроме того, утечки информации не влияли на стоимость акций компаний, уделявших должное внимание двум названным критериям. Однако лишь около 10% организаций из списка Fortune 500 соответствуют этому описанию.

Чтобы понять, какие меры могут обеспечить прозрачность и контроль, мы ознакомились с документами, в которых объясняется подход компаний к сохранности персональных данных клиентов. Пристально изучив политику конфиденциальности всех компаний из списка Fortune 100, мы установили степень их защищенности от негативных последствий утечек данных.

Полученные результаты показывают, что некоторые компании обеспечивают высокий уровень прозрачности и контроля, что повышает их устойчивость к утечкам информации. Лидеры нашего рейтинга, такие как Costco, Verizon и HP, надежно защищены от эффекта перелива, который может спровоцировать кибератака на одного из их конкурентов. Эти фирмы четко объясняют, какую информацию они используют и как они ее получают, а также обеспечивают своим клиентам контроль над использованием и распространением их данных.

Последние места в рейтинге занимают такие компании как Citigroup, Morgan Stanley и HCA. В 2011 году в Citigroup произошла утечка данных 146 000 клиентов, что привело к падению стоимости ее акций на $1,3 млрд. Согласно нашему анализу, если бы Citigroup обеспечила своим клиентам высокую степень прозрачности и контроля, ее акции потеряли бы лишь $16 млн в цене и компания смогла бы сохранить около $820 млн. После утечки  Citigroup потратила $250 млн на усовершенствование систем кибербезопасности и наняла 1000 IT-специалистов. Но, как нам известно, по состоянию на 2016 год компания не начала гарантировать клиентам более высокую степень прозрачности и контроля. Таким образом, несмотря на информационную безопасность, Citigroup по-прежнему рискует пострадать от утечки данных ее конкурентов.

МЕТОДОЛОГИЯ СОСТАВЛЕНИЯ РЕЙТИНГА

Мы ввели переменные прозрачность и контроль, для определения которых мы применили комбинацию автоматизированной и неавтоматизированной систематизации и кодификации политики конфиденциальности компаний.

Сперва мы записали все активные по состоянию на 1 января 2016 года ссылки, имеющие отношение к политике конфиденциальности компаний из списка Fortune 500. Мы использовали код на языке Python, который переходил по ссылкам и сохранял вариант политики конфиденциальности наиболее близкий к интересующей нас дате. Чтобы убедиться в правильности загруженных ссылок, мы провели ручную проверку качества полученных данных. Мы проверили 5% ссылок, чтобы найти возможные ошибки в коде, после чего все они были исправлены. Проведенная после повторного извлечения информации проверка не выявила ошибок. Этот процесс позволил нам убедиться в корректности сохраненной политики конфиденциальности компаний. После получения релевантных данных мы вручную произвели их кодификацию для определения переменных прозрачность и контроль: внимательно ознакомившись с политикой конфиденциальности каждой компании, мы, используя специальную схему кодификации, присвоили каждой из них оценку уровня прозрачности и контроля. Для переменных, определение которых требовало кодификации определенных событий, мы применяли стандартные методы текстовой кодификации.

Для проведения процедуры текстовой кодификации мы воспользовались услугами двух ассистентов, не знакомых с проверяемой гипотезой. Прежде чем начать анализировать данные, они прошли тренировку, применяя схему на политике конфиденциальности ряда компаний, которые не вошли в итоговую выборку. Один из авторов исследования проверил, правильно ли ассистенты понимают систему кодификации. Получив все документы с политикой конфиденциальности, каждый из них независимо анализировал все данные. В результате уровень согласия между двумя ассистентами составил более 85%, а все разногласия были затем разрешены в общении с автором исследования.

Для определения уровня прозрачности мы произвели подсчет фиктивных переменных среди ряда элементов политики конфиденциальности, которые демонстрировали открытость и готовность предоставлять информацию клиентам. Мы обращали внимание на то, объясняет ли компания 1) критерии отказа от предоставления персональных данных; 2) принципы сбора информации; 3) ее использование; 4) использование инструментов для отслеживания; 5) пользу от предоставления персональной информации; 6) политику касательно передачи информации третьим лицам; 7) методы шифрования данных; 8) предоставление контактной информации по частным запросам и 9) способы защиты в случае утечки данных. Если политика конфиденциальности компании соответствовала всем девяти критериям, она получала оценку 9 по шкале прозрачности.

Для определения уровня контроля мы произвели подсчет количества опций для отказа от предоставления личных данных в политике конфиденциальности компаний. Мы обращали внимание на то, могут ли клиенты отказаться от 1) участия в рекламных рассылках; 2) сохранения истории использования данных (например, истории поиска); 3) хранения персональных данных (например, номера кредитной карты); 4) предоставления конфиденциальной информации третьим лицам; 5) отслеживания местоположения. Если в политике конфиденциальности компании учитывались все пять критериев, она получала оценку 5 по шкале контроля. Отметим, что нами также принимались во внимание опции, не вошедшие в этот список. Так, в политике конфиденциальности четырех фирм учитывались возможности отказа от предоставления персональной информации для использования ее в других целях, помимо вышеперечисленных. Эти опции предоставляли клиентам больший контроль, но не оправдывали введения дополнительных критериев для всей выборки.

Чтобы составить наш рейтинг, мы собрали суммированные показатели прозрачности и контроля всех компаний. В случае, если у двух компаний совпадали оценки по обоим критериям, мы представляли их в алфавитном порядке.

Из нашего рейтинга можно увидеть, что ряд компаний используют как минимум одну из названных стратегий. Так, некоторые гарантируют прозрачность, но не предоставляют клиентам возможность воспользоваться доступной информацией (низкий уровень контроля). Наше исследование показывает, что клиенты плохо реагируют на такой подход. 

Те же компании, которые не только не предоставляют клиентам сведений об использовании их персональных данных, но и не позволяют контролировать доступ к личной информации, больше всего подвержены финансовому риску. Проведенный нами анализ показал, что подавляющее большинство (80%) представленных в списке Fortune 100 компаний относятся именно к этой категории. По нашим данным, акции компаний, которые не объясняли клиентам свой подход к использованию конфиденциальных данных, теряли в 1,5 раза больше в цене, чем акции их конкурентов с более прозрачной политикой конфиденциальности. Компании же, предоставлявшие клиентам контроль над своими данными, после утечки данных не сталкивались с падением стоимости акций.

Компании могут использовать политику конфиденциальности для того, чтобы оградиться от эффекта перелива в случае утечки данных их конкурентов, но их стратегия должна быть осмысленной. Они должны четко объяснять клиенту, каким образом они будут собирать, использовать, распространять и защищать его персональные данные, и предоставлять больший контроль над ними. В противном случае компании рискуют понести существенные потери.

Примечание редакции: Каждый рейтинг или индекс — лишь один способ анализа и сравнения компаний и регионов, основанный на конкретных данных и методологии. Мы в Harvard Business Review убеждены, что тщательно продуманный индекс способен предоставить важную информацию, но при этом остается лишь одним взглядом на явление в целом и может иметь недостатки. В каждом таком случае следует внимательно читать раздел, посвященный методике составления рейтингов.

Об авторах. Келли Мартин — доцент маркетинга, заслуженный научный сотрудник в Колорадском университете. Абхишек Борах — доцент маркетинга в Школе бизнеса Майкла Дж. Фостера при Вашингтонском университете. Роберт Палматир — профессор маркетинга, председатель кафедры делового администрирования в Школе бизнеса Майкла Дж. Фостера при Вашингтонском университете.