Kradzież danych klientów sklepu internetowego Buy With Us stawia szefów tej firmy w bardzo trudnej sytuacji. Muszą szybko podjąć szereg trudnych decyzji. Priorytetami powinny stać się: obrona dobrego imienia firmy i zapewnienie na przyszłość bezpieczeństwa przechowywania oraz przetwarzania transakcji i danych.
Kradzież danych klientów sklepu internetowego Buy With Us stawia szefów tej firmy w bardzo trudnej sytuacji. Muszą szybko podjąć szereg ważnych decyzji. Priorytetami powinny stać się obrona dobrego imienia firmy i zapewnienie bezpieczeństwa przechowywania i przetwarzania informacji o transakcjach i danych w przyszłości.
Sytuacja BWU nie należy, niestety, do wyjątkowych. Często dopiero po fakcie utraty danych otwierają się oczy prezesom i właścicielom firm, którzy uświadamiają sobie, że nie dopełnili obowiązku ich zabezpieczenia. Szefowie sklepu internetowego też nie byli odpowiednio przygotowani na zagrożenie. Wprawdzie w przypadku sklepu internetowego skala i waga problemów związanych z utratą danych klientów jest wielokrotnie niższa niż choćby w banku, to jednak skutki tego faktu mogą być niebezpieczne nie tylko dla klientów, których dane wyciekły, ale także dla dalszego rozwoju BWU.
Co do zasady – sklep internetowy powinien posiadać w swoich bazach jedynie informacje konieczne do zrealizowania zakupu przez klienta, takie jak: imię, nazwisko i jego adres. Nie powinien mieć innych danych związanych z transakcjami, takich jak numery kart płatniczych czy data ich ważności. Numery kart są dostępne dla centrów autoryzacyjnych i banków. Przechowywanie takich danych przez sklepy internetowe jest niezgodne z międzynarodowymi standardami takimi jak PCI (Payment Card Industry) – zapewniającymi bezpieczeństwo w realizowaniu płatności przez internet. To standardy wymagane przez wystawców kart płatniczych takich jak Visa i MasterCard. Sklepy internetowe nie muszą ich spełniać, ale klienci często o tym nie wiedzą i oczekują, że decydując się na zakupy w sieci, sprzedawca odpowiednio zabezpieczy prywatność ich danych osobowych.
W BWU przechowywane informacje i dane klientów już wyciekły poza firmę.
Dopóki sprawa nie wyjdzie na jaw – lepiej zawczasu o tym fakcie nikogo nie informować. Jeśli wyciek danych nie nastąpił z winy firmy, to nie warto ryzykować utraty reputacji, a tym samym także klientów.
Prezes Wiśniewski musi zmierzyć się z trudnym wyzwaniem, które być może go przerasta. To sytuacja kryzysowa, z którą osoba na tym stanowisku powinna umieć się zmierzyć. Wymaga to od niego zdecydowanych i szybkich, ale przede wszystkim skoordynowanych działań.
W pierwszej kolejności trzeba znaleźć lukę w zabezpieczeniu i podjąć działania naprawcze. Zgodnie z informacją przekazaną przez szefa IT przez pewien czas był wyłączony system firewall. To oznacza, że wewnętrzne zasoby firmy mogły wpaść w niepowołane ręce. Uszczelnienie ewentualnego miejsca przecieku uniemożliwi dalszą eskalację zagrożenia.
Równoległe powinno być powołanie specjalnego zespołu (sztabu kryzysowego, komisji weryfikacyjnej), który zidentyfikowałby przyczyny kradzieży danych. W zespole powinna znaleźć się odpowiednia i ograniczona grupa wybranych osób – obok prezesa także szef IT, prawnik, rzecznik prasowy – które miałyby pełną wiedzę o sytuacji i ściśle umiałyby ze sobą współpracować. Nieskoordynowane działania przypadkowo zaangażowanych pracowników przynoszą niewiele wartości, a zwiększają ryzyko, że informacje wyjdą na rynek – do klientów i konkurencji.
Do zadań zespołu kryzysowego powinno należeć zebranie jak najpełniejszych informacji o zdarzeniach i próba identyfikacji zaistniałego problemu.
Zaplanowanie i podjęcie działań zaradczych zmierzających do naprawy zidentyfikowanych problemów bądź też związanych z lepszym zabezpieczeniem i ochroną informacji na przyszłość, na przykład określenie i wdrożenie odpowiedniej kontroli dostępu do danych, autoryzacji dla uprawnionej grupy, właściwy dobór i rekrutacja pracowników.
Równoległym procesem powinno być ustalenie metod i kanałów komunikacji wewnętrznej (informacji przekazywanej pracownikom) oraz zewnętrznej (do prasy, klientów, partnerów biznesowych). W tym trudnym okresie niezwykle ważna jest rozwaga w udzielaniu informacji, a jakikolwiek przekaz powinien być spójny i scentralizowany. Tylko wyznaczona przez prezesa osoba lub on sam powinien udzielać informacji prasie lub klientom.
Jednak dopóki sprawa nie wyjdzie na jaw – lepiej zawczasu o tym fakcie nikogo nie informować. Oczywiście ograniczenia w przekazywaniu informacji nie mogą dotyczyć współpracy z prowadzącą śledztwo policją i przedstawicielami agenta rozliczeniowego, którym także zależy na jak najszybszym rozwiązaniu sprawy. Warto więc – zgodnie z sugestią policji – zaczekać do wyników śledztwa. Jeśli wyciek informacji nie nastąpił z winy firmy, to nie warto ryzykować utraty reputacji, a tym samym także klientów.
Prowadzona w takich przypadkach przez firmy polityka w obszarze komunikacji zewnętrznej jest bardzo różna. Znam przypadki banków, które mimo ewidentnych wpadek z wyciekiem danych klientów nabierały wody w usta i szybko tuszowały całą sprawę, bez większych konsekwencji i obaw o utratę reputacji czy reakcję grupy niezadowolonych klientów.
Z drugiej jednak strony, gdy okaże się, że wina leżała po stronie firmy, to im szybciej jej szefowie się do tego przyznają, tym lepiej. Powinni otwarcie poinformować o wyciągnięciu wniosków na przyszłość oraz o planowanych działaniach naprawczych i zastosowaniu absolutnie najlepszych zabezpieczeń. Jednak w takiej sytuacji utrzymanie zaufania klientów i ich lojalności jest niezwykle trudne. Warto też przy okazji stworzyć rezerwę finansową na koszty procesów i ewentualnych odszkodowań. Najgorszym z możliwych scenariuszy, jaki może spotkać firmę, której udowodniono, że to z powodu jej zaniedbań lub z winy pracowników doszło do utraty danych klientów, będzie jej upadek.
W First Data z jednej strony wprowadzamy mechanizmy kontrolne i systemy, które zabezpieczają gromadzone i przetwarzane przez nas dane, z drugiej – monitorujemy transakcje kartami kredytowymi w punktach sprzedaży, w tym także w sklepach internetowych. Często dochodzi do prób różnego rodzaju nadużyć, które udaje nam się wykryć i w porę powiadomić o tym punkty sprzedaży, w których miały one miejsce.
Jeśli szybko wykryje się problem, wówczas niewiele osób wie o takich zdarzeniach i unika się konsekwencji dla klientów.
Jednak aby ustrzec się przed podobnymi sytuacjami, najważniejsze są działania zapobiegawcze. Na początek trzeba zdefiniować i ocenić zagrożenia, jakie mogą spotkać firmę. Potem warto zaprojektować i wdrożyć efektywne mechanizmy kontrolne. Mam tu na myśli wszystkie elementy kontroli prewencyjnej (usprawnienie procesu rekrutacji, kontrole dostępów do systemów, odpowiednie autoryzacje) i detekcyjnej (system ocen pracowniczych, system rejestrowania zdarzeń i nadużyć, kontrola dostępu do systemów, audyty bezpieczeństwa). Zawsze bowiem lepiej zapobiegać, niż naprawiać. A na wypadek wystąpienia niepożądanego incydentu każda firma powinna mieć jasno zdefiniowany plan postępowania naprawczego – określający zadania poszczególnych osób. W takich sytuacjach najważniejszy jest czas, wiedza zarządzających i pracowników oraz ich zadania.
