Verliezen vertrouwelijke data kan consument niets schelen
Imagoschade wordt vaak de belangrijkste reden genoemd waarom bedrijven geen aangifte doen en hun mond houden als ze gehackt zijn of vertrouwelijke informatie hebben verloren. Ten onrechte zo blijkt nu. Zowel de consument als aandeelhouders kan het namelijk niets schelen als een bedrijf haar beveiliging niet op orde heeft. Een goede graadmeter is de koers van de aandelen van een bedrijf dat met de beveiliging blunderde.
Tim Erlin van nCircle vergeleek de koersen van TJX, Ameriprise, Choicepoint en ADP, die bij elkaar de gegevens van bijna een half miljoen klanten verloren, maar nog steeds bestaan. De aandelen kregen zelfs geen klap te verwerken en de koers staat inmiddels hoger dan voor de incidenten. Dit betekent volgens Erlin dat de bedrijven of heel erg hun best hebben gedaan om het imago te herstellen, of dat imagoschade eigenlijk helemaal geen invloed heeft op het bestaan van een onderneming.
Een andere reden is dat imagoschade wordt bepaald door de perceptie van het publiek. En hoe vaker dataverlies bekend wordt gemaakt, des te normaler het publiek dit vindt, waardoor ook het risico van imagoschade kleiner wordt. In het onderzoek van het High Tech Crime Center uit 2005, noemt 18% van de Nederlandse bedrijven imagoschade als gevolg van computercriminaliteit. Negatieve publiciteit speelde ook in dit onderzoek een belangrijke rol waarom bedrijven geen aangifte doen.
imago-schade, maar wel bijvoorbeeld als de winstverwachting
naar beneden moet worden bijgesteld.
Beleggers kijken meer naar de economische trekpaarden in een
bedrijf dan naar de veiligheidsrisico's die gelopen zijn.
voor wat voor zaken dan ook, afgezien van de wispelturigheid
van de aandeelhouders.
is gebeurd.
Als er echt grof misbruik van wordt gemaakt dan denk ik niet
dat "de consument" het niets kan schelen.
Maar als er idd niks mee gebeurd is: who cares?!?
Beurskoersen zijn in de regel niet onderhevig aan
imago-schade, maar wel bijvoorbeeld als de winstverwachting
naar beneden moet worden bijgesteld.
dacht het te begrijpen maar blijkbaar zijn de regels anders.
geval van een fabrikant die producten levert via een
distributeur en een wederverkoper zal het de consument
inderdaad worst zijn. Zodra echter de gegevens van de
consument zelf op straat liggen wordt het een ander verhaal.
Creditcardgegevens die gestolen worden kunnen tot
aanzienlijke schade en flinke papierwinkel leiden. Hetzelfde
gaat op voor identiteit diefstal waarbij ook schade en een
flinke papierwinkel het gevolg kunnen zijn.
Wie bovendien enige tijd besteed aan het bestuderen van de
onderzochte cases komt al vrij snel tot de conclusie dat de
bedrijven naar hun klanten toe communiceren dat het allemaal
wel meevalt. In het geval bij voorbeeld van TJX blijkt
volgens een schrijven van de directie dat er niet voldoende
informatie gelekt is om daadwerkelijk schade te kunnen
lijden. Zij zeggen in de FAQ over de inbraak:
Experts tell us that it would be extremely unlikely for
cyber thieves to commit identity fraud with the information
that was breached in this incident. Most of the information
at risk does not include names and addresses. We never
request customers’ social security numbers in our
transaction processes, which is usually a critical piece of
information needed to commit identity theft.
In de media echter wordt de organisatie afgeslacht. Teksten
zoals de onderstaande zijn bepaald geen reclame:
Unlike most organizations that have had similar, although
far smaller, breaches, TJX has not said it would protect
customers by buying credit watch services for them. I expect
the company will have to do so at some point but because it
is delaying so long, it's clear that protecting customers
has not been a concern for TJX and it will only do so when
forced.
Bron:
http://www.networkworld.com/columnists/2007/012907-bradner.html
Eerdere situaties zoals deze hebben in het verleden wel
degelijk een negatieve impact gehad op de organisaties die
getroffen werden. Los van de civiele aansprakelijkheden die
ontstaan bij een dergelijke situatie is er een trend om
bestuurders persoonlijk aansprakelijk te stellen voor
misstanden. Er is nog onvoldoende jurisprudentie om de
daadwerkelijke draagwijdte te bepalen van al deze nieuwe
wetgeving.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
