Analiza reputacji firmy po naruszeniu danych

okres po naruszeniu danych nie jest łatwy dla firm. Wiele czasu i pieniędzy przeznacza się na skuteczne zarządzanie kryzysem, a jeszcze więcej czasu i pieniędzy przeznacza się na następstwa. Wydatki te obejmują członków zespołów IT i bezpieczeństwa unowocześniających swoje rozwiązania w zakresie bezpieczeństwa; zarządzanie i HR przeprowadzające szkolenia w zakresie bezpieczeństwa dla pracowników; oraz zespół ds. komunikacji kryzysowej rozmawiający z klientami, interesariuszami i opinią publiczną w celu odzyskania zaufania., Sposób, w jaki firma zarządza naruszeniem danych bezpośrednio wpływa na jej reputację po opadnięciu kurzu.

aby zobaczyć, jaki to ma wpływ, przyjrzeliśmy się różnym danym ilościowym i jakościowym, aby zrozumieć, co naprawdę dzieje się z reputacją firmy po naruszeniu danych.

spis treści

• Z kim nadal kupują po włamaniu?,
  • Amerykanie ufają detalistom najbardziej
  • Amerykanie ufają usługom Rideshare najmniej
• wpływ wieku i płci na reputację firmy
• Znaczenie reputacji w biznesie
• Wskazówki dotyczące odzyskiwania po naruszeniu danych
  • działania, których należy podjąć po naruszeniu danych
  • błędy, których należy unikać po naruszeniu danych

myślisz o firmach po włamaniu?

, Odkryliśmy, że ludzie najczęściej kupują w sklepie detalicznym, A najmniej w sklepie z usługą rideshare po naruszeniu.

należy pamiętać, że dla każdego pytania zamieściliśmy nazwy firm, które doświadczyły poważnych naruszeń. Dodaliśmy Target do opcji detalistów (zwycięski wybór w ankiecie) i Uber do opcji usługi rideshare (najmniej korzystna opcja w ankiecie).

Amerykanie najbardziej ufają sprzedawcom

, Wykryli naruszenie w ciągu 16 dni i ujawnili je publicznie 20 dni po odkryciu.

Wielu skrytykowało Target za czas potrzebny na powiadomienie opinii publicznej o naruszeniu. Było to jedno z największych naruszeń danych w tym czasie i wywołało wiele dyskusji na temat bezpieczeństwa POS, bezpieczeństwa danych konsumentów i wielu innych problemów, które nie były szeroko omawiane przed naruszeniem. Dzięki ich wielu wysiłkom na rzecz poprawy bezpieczeństwa i pozyskania klientów, Target wydawał się odwrócić ich niekorzystną reputację w latach po ich naruszeniu.,

miesiące po naruszeniu Target opublikował listę ulepszeń zabezpieczeń i technologii na swojej stronie firmowej. Ulepszenia obejmowały ulepszone monitorowanie i rejestrowanie, przeglądanie i ograniczanie dostępu dostawców oraz zwiększone bezpieczeństwo kont. Ich solidne i szybkie wdrożenie usprawnień, zwłaszcza w czasach, gdy naruszenia te nie były tak powszechne, mogło pozytywnie wpłynąć na opinię publiczną.

Target jest również znany z posiadania lojalnej bazy klientów, która mogła się przydać do ich silnego odbicia., Huffington Post przypisuje tę lojalność do takich rzeczy, jak wygoda, atrakcyjność wizualna i silne poczucie celu społeczności zapewnia różnym klientom. Forbes cytuje również ich inwestycje w pracowników zorientowanych na obsługę klienta jako czynnik przyczyniający się do ich silnej ogólnej reputacji.

widzimy, że percepcja konsumentów Target spadła o 54,6 proc.w roku po naruszeniu danych. W latach 2014-2018 odnotowano stały wzrost o 84 proc., Mały spadek w 2016 jest prawdopodobnie przypisywany kontrowersji dotyczącej stanowiska Target w sprawie umożliwienia transgenderowym Klientom korzystania z przebieralni i toalet dla płci, którą identyfikują.

jak już wspomnieliśmy, silna lojalność wobec marki Target i wysiłki na rzecz poprawy systemu bezpieczeństwa to dwa czynniki, które prawdopodobnie przyczyniły się do tego wzrostu. Przeprowadziliśmy to badanie sześć lat po naruszeniu danych przez Target, czyniąc Target firmą z najstarszym naruszeniem reprezentowanym w badaniu., Mogło to mieć wpływ na ich wysoką przychylność w tym badaniu, ponieważ ich naruszenie było mniej niedawne i mieli więcej czasu na odzyskanie.

Amerykanie zaufali usługom Rideshare najmniej

naruszenie przez Ubera nastąpiło w październiku 2016 roku, a firma odkryła je miesiąc później. Zamiast ujawniać naruszenie, Uber zapłacił hakerom $100,000, aby usunąć dane i zachować milczenie o incydencie. Uber ostatecznie ujawnił naruszenie w listopadzie 2017 i spotkał się z wieloma reperkusjami, w tym grzywnami, usankcjonowanymi protokołami bezpieczeństwa i zmniejszonym zaufaniem klientów.,

w przeciwieństwie do Target, krytycy Ubera byli dla nich znacznie ostrzejsi, ponieważ złamali przepisy dotyczące powiadamiania o naruszeniach. Wielu prokuratorów generalnych było wokalnymi krytykami i uznało, że wybór Ubera polegał na ukryciu naruszenia i ogólnym lekceważeniu bezpieczeństwa.

w naszej ankiecie więcej osób zaufało starszym branżom, takim jak sklepy detaliczne i hotele, niż nowszym branżom, takim jak social i rideshare. Konsumenci wydają się być mniej wyrozumiali w odniesieniu do naruszeń danych dla firm w nowszych branżach., Oznacza to, że firmy te muszą być bardzo ostrożni o tym, jak przetwarzają dane klientów.

dużą różnicą jest to, że Target pochodzi z 1902 roku, podczas gdy Uber rozpoczął działalność dopiero w 2009 roku (pod inną nazwą). Branża rideshare rozpoczęła się dopiero w 2007 roku wraz z firmą Zimride. Dlatego Uber miał mniej czasu niż Target na budowanie reputacji marki, mniej czasu na odzyskanie po naruszeniu w czasie badania i jest w stosunkowo nowej branży.,

jednak Uber miał również kilka innych kontrowersji wystąpić w ich krótkiej historii, w tym ich „widok boga” oprogramowanie, które rzekomo używane do śledzenia w czasie rzeczywistym lokalizacje pasażerów( w tym polityków i byłych dziewczyn); problemy wokół niedopłacających kierowców; i molestowanie seksualne ugody wśród innych oskarżeń o seksizm w firmie. Problemy te prawdopodobnie przyczyniły się do szybkiego spadku percepcji konsumentów.

możemy zobaczyć tutaj, że percepcja konsumentów Ubera spadła o 141.3 procent w roku ujawnienia naruszenia., Nawet po upływie miesiąca w roku (od ujawnienia naruszenia w listopadzie), negatywność otaczająca Ubera jako firmę i ich działania związane z naruszeniem były wystarczająco prawdopodobne, aby obniżyć ich rating.

wpływ wieku i płci na reputację firmy po naruszeniu

zauważyliśmy kilka trendów w wieku i płci w odniesieniu do tego, gdzie dana osoba nadal robi zakupy po naruszeniu danych. Spójrz na nasze ustalenia poniżej.,

w naszej ankiecie stwierdziliśmy, że Milenium ogólnie nie ufało różnym instytucjom po naruszeniu danych. Widać powyżej, że nawet w przypadku sklepów detalicznych, zwycięska odpowiedź w naszej ankiecie, millenialsi nadal ufali tej instytucji najmniej w porównaniu do innych

kilka badań i raportów wykazało, że millenialsi są skomplikowane, jeśli chodzi o zaufanie., CIO poinformował, że Milenium są na ogół podejrzane wobec firm, podczas gdy Forbes poinformował, że Milenium kiedyś ufali, ale mają ogólną erozję zaufania dzięki wzrostowi naruszeń danych na dużą skalę.

Kiedy nurkowaliśmy w kierunku płci, odkryliśmy, że podstawowa grupa demograficzna firmy może wpływać na to, jak szybko klienci będą kontynuować zakupy.

na przykład w naszej ankiecie odkryliśmy, że kobiety najczęściej kupują u sprzedawców, takich jak Target, po doświadczeniu naruszenia danych., Podstawową grupę demograficzną Target stanowią kobiety, a kobiety częściej kupują u podobnych sprzedawców niż mężczyźni. Oznacza to, że może istnieć związek między nimi. Odkryliśmy również, że usługi rideshare cieszyły się większym zaufaniem mężczyzn w naszej ankiecie i że mężczyźni korzystają z Ubera nieco bardziej niż kobiety.

relacja między naruszeniami danych a reputacją

widzimy, że konsumenci bardzo dbają o naruszenia danych i sposób zarządzania nimi przez firmy., W rzeczywistości, jeśli naruszenie jest źle zarządzane, konsumenci mogą stracić zaufanie, odłączyć się od firmy, poinformować swoją sieć o naruszeniu i robić zakupy z bezpieczniejszym konkurentem.

badanie Centrify wykazało, że 65 procent ofiar naruszenia danych straciło zaufanie do organizacji w wyniku naruszenia. IDC stwierdziło, że 80 procent konsumentów w krajach rozwiniętych odejdzie od firmy, jeśli ich informacje zostaną naruszone w wyniku naruszenia bezpieczeństwa.

oprócz utraconego zaufania, firmy muszą również martwić się o sieci bezpośrednio dotkniętych klientów., Badanie marketingu interakcji wykazało, że:

• 85 procent mówi innym o swoich doświadczeniach
• 33,5 procent korzysta z mediów społecznościowych, aby narzekać na swoje doświadczenia
• 20 procent komentuje bezpośrednio na stronie internetowej sprzedawcy

skala naruszenia danych jest daleko idąca dzięki internetowi. Powszechna negatywna reputacja firmy, zwłaszcza z powodu naruszenia, może zaszkodzić jej ogólnej reputacji bardziej, niż się zdaje. Może to ostatecznie wpłynąć na ich wyniki finansowe., Security Magazine poinformował o badaniu, które wykazało:

• 52 procent konsumentów rozważyłoby płacenie za te same produkty lub usługi od dostawcy o lepszym zabezpieczeniu
• 52 procent konsumentów stwierdziło, że bezpieczeństwo jest ważnym lub głównym czynnikiem przy zakupie produktów lub usług.

Wskazówki dotyczące odzyskiwania danych po naruszeniu danych

teraz, gdy znamy fakty, co możemy zrobić dalej? Wcześniejsze głośne naruszenia dają nam przykłady tego, co robić, a czego nie robić po naruszeniu., Spójrz poniżej, aby zobaczyć, co możesz zrobić, aby zdobyć zaufanie klientów i etycznie budować swoją reputację po naruszeniu danych.

działania, które należy podjąć po naruszeniu danych

Bądź pierwszym źródłem, które poinformuje o nowościach. Dowodzi to przejrzystości między tobą a publicznością, a także pozwala kontrolować narrację otaczającą naruszenie. Udostępnienie innym źródłom wiadomości automatycznie stawia cię w defensywie i w niekorzystnej sytuacji zgodnie z globalnym kryzysem, ryzykiem i strategiem reputacji Davią Temin w artykule Forbesa analizującym naruszenie celu., Temin radzi również, aby uzyskać złe wiadomości na raz, gdy jest to możliwe i reagować z rozmysłem i dokładnie na każdą korespondencję.

Istnieje kilka organizacji i inicjatyw, do których Twoja firma może dołączyć w następstwie naruszenia. Grupy te udostępniają informacje o naruszeniach, aby poinformować branżę bezpieczeństwa o zmieniających się zagrożeniach. To ostatecznie pomaga wszystkim nauczyć się lepiej bronić się przed ciągle zmieniającymi się zagrożeniami cybernetycznymi. Target jest jedną z największych firm, które dołączyły do dwóch inicjatyw dzielenia się zagrożeniami w następstwie naruszenia.,

wdrożyć solidny plan powiadomień. Powiadamianie klientów, pracowników i innych zainteresowanych stron jest tak samo ważne jak samo zarządzanie naruszeniem., W proces powiadamiania zaangażowanych jest wiele osób, w tym:

• specjaliści ds. IT i cyberbezpieczeństwa, którzy przekazują informacje o tym, co się stało
• Specjaliści ds. prawnych, którzy przekazują informacje vet communications i informują firmę o wszelkich powiązanych przepisach, których muszą przestrzegać
• Public relations i menedżerowie C-suite, którzy przekazują te informacje opinii publicznej

posiadanie przynajmniej niektórych z tych informacji zaplanowanych przed naruszeniem zapewnia solidny proces rozpowszechniania informacji tak szybko i dokładnie, jak to możliwe.

wynajmij CISO i innych specjalistów ds. bezpieczeństwa., Liderzy i specjaliści bezpośrednio skupieni na cyberbezpieczeństwie mogą zwiększyć wysiłki w zakresie odzyskiwania danych. Wydaje również publicznie oświadczenie, że poważnie myślisz o naprawieniu swoich błędów i podjęciu silnego nacisku na wzmocnienie wysiłków w zakresie bezpieczeństwa cybernetycznego. Target i Sony zatrudniły swoje pierwsze CISO po ich naruszeniach. Equifax zatrudnił CISO Home Depot, aby poprowadzić ich wysiłki odzyskiwania, ponieważ pomagał w odzyskiwaniu domu.

bądź wystarczająco przejrzysty dla wszystkich zaangażowanych stron. Każdy związany z naruszeniem powinien znać niezbędne informacje., Konsumenci powinni wiedzieć, że ich informacje zostały naruszone i co robisz, aby naprawić sytuację. Władze powinny dokładnie wiedzieć, kiedy i jak doszło do naruszenia. Jest jednak cienka linia, aby przejść tutaj. Ujawnienie zbyt dużej ilości informacji w niewłaściwym czasie może dać innym hakerom wystarczającą wiedzę, aby przeprowadzić kolejny atak, podczas gdy ty próbujesz odzyskać dane z poprzedniego naruszenia.

regularnie mierz i raportuj na temat ulepszeń w cyberbezpieczeństwie. Następstwa naruszenia danych nie zatrzymują się po tym, jak wiadomości wydają się wycofywać, a wody zaczynają się uspokajać., Budowanie długoterminowego zaufania ze społeczeństwem obejmuje aktywne monitorowanie i prace mające na celu zapobieganie przyszłym atakom.

seria naruszeń Yahoo rok po roku jest doskonałym przykładem, dlaczego firmy powinny priorytetowo traktować wysiłki w zakresie cyberbezpieczeństwa. Upewnij się, że masz potężne i kompleksowe rozwiązanie cyberbezpieczeństwa, które pomoże Ci w raportowaniu i ogólnie przyjrzysz się swojemu krajobrazowi cyberbezpieczeństwa. Badanie Statista wykazało również, że 73 procent ludzi uważa, że niezwykle ważne jest rozwiązanie problemu i powstrzymanie naruszenia po tym, jak dane klientów zostały naruszone.,

błędy, których należy unikać po naruszeniu danych

nie opłaca się hakerom. To nie tylko bezpośrednio atakuje konsumentów i zaufanie publiczne, ale także napędza hakerski „rynek”, dodatkowo potwierdzając hakowanie jako środek dochodu. Jak wspomnieliśmy wcześniej, Uber opłacił hakerów, aby usuwali informacje i milczeli o włamaniu, a wiele osób potępiło firmę rideshare za ten wybór.

nie czekaj, aż poinformujesz opinię publiczną., Im dłużej czekasz na powiadomienie odpowiednich osób o naruszeniu, tym gorsze mogą być konsekwencje ze strony konsumentów i organów. Uber, Equifax i inne głośne naruszenia danych doznały poważnej krytyki za czas potrzebny na powiadomienie opinii publicznej. Inne kwestie, które należy wziąć pod uwagę, oprócz konsekwencji reputacji, to konsekwencje prawne opóźnionych powiadomień. RODO zezwala tylko na 72 godziny na ujawnienie naruszenia. Nieprzestrzeganie tej zasady lub któregokolwiek z przepisów RODO może skutkować grzywną nawet w wysokości $22.,6 milionów lub 4 procent światowych rocznych przychodów firmy z poprzedniego roku.

nie składaj żadnych ostatecznych oświadczeń, dopóki nie potwierdzisz faktów. Powrót i sprostowanie Oświadczenia tylko pogarsza złą sytuację. Firmy, które to robią, mogą wyjść jako nieprzygotowane i nieprofesjonalne — dwie rzeczy, których nie chcesz, aby Twoi klienci postrzegali Cię jako po tym, jak skompromitowałeś ich informacje. Zamiast próbować szybko uzyskać informacje, Daj aktualizacje o tym, kiedy możesz dostarczyć potwierdzenie i bądź przejrzysty, dlaczego nie możesz ujawnić określonych informacji w danym momencie.,

skonsultuj się z różnymi działami (public relations, legal, IT), aby upewnić się, że wiadomości i informacje są poprawne. Equifax wielokrotnie wycofywał swoje oświadczenia i miał kilka innych czkawek po ich naruszeniu (w tym przypadkowe skierowanie użytkowników do witryny phishingowej), które pozostawiło nieszczere wrażenie na konsumentach. Yahoo poprawiło również swoje oświadczenia dotyczące liczby kont zhakowanych podczas ich naruszenia. Początkowo donosili, że jeden miliard kont został naruszony, a później wycofali to Oświadczenie, aby powiedzieć, że każde konto (3 miliardy) było zaangażowane., Ten błąd w połączeniu z ich ciągiem hacków nie wypadł dobrze z publicznością.

sposób, w jaki firma zarządza naruszeniem danych, wpływa na jej reputację i postrzeganie przez konsumentów. Firmy powinny poświęcić odpowiedni czas i zasoby na przygotowanie, zarządzanie i obsługę następstw naruszenia. Pomoże to im odbudować i wzmocnić reputację i relacje z klientami, pracownikami, interesariuszami i społeczeństwem. Czas potrzebny na odpowiedź i powstrzymanie naruszenia jest głównym czynnikiem w postrzeganiu firmy przez opinię publiczną.,

posiadanie planu reagowania na incydenty i angażowanie się w skuteczne modelowanie zagrożeń to sprawdzone sposoby na zmniejszenie ogólnego wpływu naruszenia i zastosowanie metod wzmacniających zaufanie konsumentów. Nie narażaj swojej firmy na ryzyko i zostaw swoją reputację Przypadkowi. Dokonaj oceny ryzyka, aby zobaczyć, jak Twoja firma jest przygotowana na naruszenie i co możesz zrobić, aby podjąć właściwe kroki w kierunku minimalizacji potencjalnych zagrożeń.

Źródła: