Чему учит скандал с утечками данных
из Marriott

Прошло одиннадцать недель, прежде чем гостиничная сеть Marriott решила поведать, что в хакерской атаке в руки к злоумышленникам попали личные данные 383 млн клиентов, включая как минимум 25 млн номеров паспортов и 8 млн номеров кредитных карт. А теперь представьте, что бы было, если бы компания уровня Marriott на одиннадцать недель задержала свой квартальный отчет. Подобное поведение по праву считалось бы неприемлемым, но почему-то оно вполне допустимо, когда речь идет о разглашении такого рода происшествий.

Из этой ситуации можно сделать четыре вывода, которые будут полезны как руководителям, так и регулирующим властям.

1. Текущая практика информирования о кибератаках в очередной раз показала свою несостоятельность.

2. Слияния, сокращения расходов и прочие корпоративные мероприятия могут стать причиной серьезных уязвимостей в цифровой защите.

3. Угрозы безопасности в системе накапливаются.

4. Руководство организаций по-прежнему не готово или недостаточно квалифицировано, чтобы всерьез бороться с киберугрозами.

Неадекватное информирование

Единственный способ заставить бизнес ответственно относиться к информационной безопасности — ужесточить правила разглашения о случаях кибератак и ревностно следить за их соблюдением. Действующие инструкции Комиссии по ценным бумагам и биржам (SEC), мягко говоря, расплывчаты в этом вопросе. Мы не нашли ни одного требования в существующих законах о безопасности, которое бы явным образом затрагивало проблемы информационных рисков и связанных с ними инцидентов. К сожалению, инструкции SEC не помешали Marriott почти три месяца хранить молчание об утечке личных данных миллионов своих клиентов. Впрочем, нам известно о двух случаях, когда SEC все-таки прибегла к административным мерам в отношении компаний, скрывавших факты взлома своих систем безопасности. Однако в итоге обе организации отделались сравнительно небольшими штрафами, которые практически никак не отразились на их финансовом положении. С нашей точки зрения, пока наказания за такие проступки не станут по-настоящему серьезными, руководство большинства компаний продолжит игнорировать эти проблемы.

Мы изучили публичные отчеты и документы, поданные Marriott в SEC. Известно, что хакерское проникновение в систему было обнаружено 8 сентября. 6 ноября компания отправила отчет по форме 10-Q за прошедший период, закончившийся 30 сентября. Несмотря на то что вопросам цифровой безопасности в этом отчете посвящены целых два абзаца, в нем нет ни одного упоминания ни о крупной утечке данных, случившейся в компании, ни о нанесенном ею экономическом ущербе. И лишь 30 ноября Marriott подала форму 8-К, информирующую SEC об атаке на свои сервера. По правилам этот документ необходимо высылать в течение трех дней после происшествия, при этом показательно, что по другим вопросам компания отчитывается гораздо расторопнее. Например, когда сенатор Митт Ромни покинул совет директоров компании, форма 8-K с этой информацией была отправлена уже на следующий день.

Затем мы внимательно изучили проведенный Marriott анализ возможных финансовых последствий. Оказалось, что страховка, которую менеджмент компании преподносит в качестве смягчающего фактора, может быть аннулирована, если страховщик сочтет утечку информации результатом координированных действий китайской разведки. Кроме того, судя по всему, в Европе Marriott может попасть под удар Общего регламента о защите данных (GDPR), хотя, насколько нам известно, об этом не упоминают ни менеджеры компании, ни СМИ. GDPR предписывает, что организация обязана заявить о бреши в своей безопасности в течение 72 часов. Это требование вступает в силу, если хотя бы один из клиентов гостиничной сети легально проживает в ЕС.

Сокращение расходов после слияния и его последствия

Углубляясь в детали этого инцидента, мы обнаружили, что утечка данных произошла не в самой сети Marriott, а в системе безопасности Starwood (Starwood — американская сеть отелей, поглощенная в 2016 году Marriott — прим. ред.). Выяснилось, что после слияния с Marriott в целях сокращения расходов едва ли не все сотрудники Starwood были уволены, включая и тех, кто работал в отделах ИТ и информационной безопасности. Возможно, регулирующим органам следует ввести правила, обязывающие компании предоставлять полноценный план защиты информационных систем после слияний. А руководителям необходимо учитывать возможный эффект от быстрой консолидации персонала, ответственного за работу таких систем и безопасность данных.

Системный киберриск

С каждой новой успешной хакерской атакой угрозы безопасности в системе накапливаются. Проникнув в компьютерную сеть компании, злоумышленник потенциально может получить доступ ко всей цепочке поставщиков.

Для лучшего понимания этой угрозы возьмем в качестве примера компанию Avendra. Она была создана в 2001 году для управления процессом снабжения в североамериканской сети Marriott. В одном только 2017 году компания совершила закупки на общую сумму в $5 млрд. Если хакеры получили доступ к серверам Marriott, несложно предположить, что они могут воспользоваться и связью с Avendra для размещения фальшивых заказов. В 2016 году атаки такого типа стоили американским компаниям $500 млн. И, по нашим оценкам, ущерб продолжит расти в геометрической прогрессии до тех пор, пока не будут приняты адекватные совместные меры.

Нехватка специалистов в высшем руководстве

Как и во многих других компаниях, совет директоров и высший менеджмент Marriott испытывают явный дефицит квалифицированных специалистов по управлению киберугрозами. Ни у одного из членов действующего совета директоров компании нет сколько-нибудь серьезного опыта в области сетевой безопасности или технологий. Нет в Marriott и специального комитета, занятого этими вопросами. Как и многим другим компаниям, гостиничному гиганту приходится полагаться на внешних «экспертов» для оценки масштаба и последствий кибератак.

Мы убеждены, что регулирующие органы могут заставить бизнес вплотную заняться повышением общей подготовленности к киберугрозам, а также устойчивости к атакам, если потребуют от советов директоров представлять полноценные отчеты об уязвимости своих компаний. Как только советы директоров окажутся «на крючке», контроль и подотчетность в этих вопросах многократно усилится, а ущерб, наносимый хакерскими атаками клиентам и обществу в целом, заметно снизится. История с Marriott — это хороший урок для многих компаний, а заодно и повод крепко задуматься, как бы они действовали в случае столь масштабной утечки данных.

Об авторах

Шиварам Раджгопал (Shivaram Rajgopal) — преподаватель бухгалтерского учета и аудита, заместитель декана по исследованиям Школы бизнеса Колумбийского университета.

Бугра Гезер (Bugra Gezer) — основатель и президент Cyber Rate L.L.C.