Wann immer ein großes Unternehmen einen Bruch erleidet, scheint eine unbehagliche Zeit - Wochen, manchmal Monate oder sogar ein Jahr - zu vergehen, bis die Opfer darüber informiert sind, dass ihre persönlichen Daten in den Händen einer Gruppe von Unfugherstellern liegen.

Um etwas Kontext zu bieten, hat Uber, eine Firma, die eine Alternative zu Taxis auf der ganzen Welt anbietet, von einer Verletzung seit Oktober 2016 gewusst, die es erst offenbart hat, als Bloomberg es im November 2017 meldete! Schlimmer noch, sie bezahlten sogar ein Lösegeld an die Hacker, die es angriffen, in der Hoffnung, dass es nicht die Titelseite der Nachrichten sein würde (ein Plan, der anscheinend schrecklich nach hinten losging).

Was ist die große Sache? Warum verstecken Firmen wie Uber, Equifax und Yahoo ihre Verletzungen so lange?

Sie wollen nicht, dass ihre Kunden das Vertrauen verlieren

Das hört sich zwar kontraproduktiv an, aber einige Führungskräfte stellen sich vor, dass ihre Kunden ihnen weiterhin vertrauen, wenn sie ihre Verletzungen unter den Teppich kehren. Ihre Finger sind gekreuzt, in der Hoffnung, die Verletzung wird nicht so schlimm für alle sein. Sobald sich der Staub gelegt hat, könnten sie eine Ankündigung ohne Auswirkungen machen.

In gewisser Weise ist es wie ein Kind, das schlechte Noten bekommt und zögert, seiner Mutter seine Visitenkarte zu zeigen. Sie weiß, dass es ankommen muss, aber er hofft, dass sie vergessen wird, dass er im nächsten Semester bessere Noten bekommt, und dann kann er ihr die besseren Noten neben den schlechteren zeigen. "Siehst du, so schlimm ist es nicht!" Würde er sagen.

Leider ist diese Praxis genauso kontraproduktiv, wie es sich anhört. Kunden neigen dazu, sich betrogen zu fühlen, wenn sie herausfinden, dass ihre persönlichen Daten monatelang ohne ihr Wissen gelaufen sind. Dies gilt insbesondere dann, wenn Sozialversicherungsnummern, Kreditkartennummern oder andere sensible Daten betroffen sind.

Ich will nicht, dass ihre Aktien fallen

Nach der gleichen Logik könnten Unternehmen, deren Aktien an einer bedeutenden Börse gehandelt werden, ihre Datenbrüche aus dem gleichen Grund verbergen. Der Unterschied besteht darin, dass sie ihre Aktionäre nicht beunruhigen wollen. Wenn die Verletzung nicht als außerordentlich schädlich angesehen wird, werden ihre Aktienkurse nicht auf den Grund eines Abgrunds fallen.

Aktionäre könnten ein bisschen nachsichtiger sein. Als Equifax zum Beispiel am 7. September 2017 seine Verletzung bekannt gab, wurde es bei etwa 464 US-Dollar pro Aktie gehandelt. Unmittelbar danach, am 11. September, erreichte der Aktienkurs 474 Dollar. Equifax war nicht betroffen. Im weiteren Verlauf kam es zu einem Abwärtstrend, der am 26. September bei 434 USD lag.

Als der Nachrichtenzyklus ein wenig nachließ, traf er nie wieder diese niedrige Zahl. Im November notierte er höher als der Wert vom 11. September und erreichte einen Höchststand von 492 USD pro Aktie.

Außerdem, Verlegenheit

Stellen Sie sich vor, Sie wären in der Position eines CEO: Sie leiten ein Unternehmen mit n-tausend Mitarbeitern, Milliarden von Dollar an Vermögenswerten, Dutzende von Millionen von Benutzern / Kunden, die ganzen neun Werften. Plötzlich findet ein fauler Hacker eine Schwachstelle auf Ihren Servern, die Ihre IT-Abteilung vor Monaten vergessen hat zu patchen. Es brauchte nur einen College-Aussteiger in seiner Studiowohnung, um dich in die Knie zu zwingen.

Das ist ein großer Hit für das Ego! Was glaubst du, würden die meisten Menschen mit einem etwas aufgeblasenen Selbstwertgefühl tun?

Manchmal werden sogar Führungskräfte mit dem besten Gefühl der Integrität wählen, nur um den Sturm zu reiten und zu sehen, ob alles weggeht. Dann kommt es, um sie zu beißen, und sie entschuldigen diese Entscheidung, da es jetzt zu spät ist. Sie hatten eine Verantwortung und versäumten es, zuzugeben, dass sie den Menschen, die der Anschlag zum Opfer machte, einen Fehler unterstellten.

Lösungen

In den meisten Industrieländern gibt es Cybersecurity-Gesetze innerhalb der Handelscodes, die nicht zu viel Zeit zwischen der Entdeckung eines Bruchs und seiner Ankündigung lassen. Vertuschungen wie Uber im November 2017 werden von der US-amerikanischen Federal Trade Commission (FTC) mit hohen Strafen belegt, um nur ein Beispiel zu nennen.

Es gibt sogar eine Gesetzesvorlage, die den US-Kongress durchläuft und Gefängnisstrafen für Führungskräfte verhängt, die Verstöße für einen längeren und unangemessenen Zeitraum verbergen.

An dieser Stelle können Sie persönlich nichts gegen diese Verstöße unternehmen, außer dass Sie vorsichtig mit Ihren personenbezogenen Daten umgehen, aber Regierungen haben Gesetze, die diese Unternehmen bestrafen. Die Vereinigten Staaten gehen nur einen Schritt weiter, indem sie die möglichen Strafen um Gefängnisstrafen verlängern.

Es erübrigt sich noch einmal zu wiederholen, dass Sie nicht zu viel von Ihrem sensiblen Zeug ins Internet bringen sollten - unabhängig davon, wie vertrauenswürdig die Entität ist, der Sie es anvertrauen - es sei denn, Sie müssen dies unbedingt tun.

Was denken Sie? Sollten Führungskräfte ins Gefängnis gehen, weil sie Datenschutzverletzungen vertuschen, die die Kunden der von ihnen vertretenen Unternehmen betreffen? Sagen Sie uns, was Sie in einem Kommentar denken!