Co wspólnego mają kryzys Ubera i RODO

dodano: 
13.12.2017
komentarzy: 
0

Aż miesiąc zajęło Uberowi zorientowanie się, że grupa hakerów wykradła z serwerów firmy dane osobowe 600 tys. kierowców i 57 mln użytkowników. Jakby tego było mało, informacja o kradzieży danych została podana do publicznej wiadomości dopiero rok później. Przy okazji, jak donosi Bloomberg, wyszło na jaw, że firma zamiast poinformować władze o incydencie, próbowała układać się z hakerami – ich milczenie miało kosztować 100 tys. dolarów.

Wszystko to działo się za prezesury Travisa Kalanicka, założyciela Ubera. Jego przywództwo było dla firmy w ostatnich latach kłopotliwe. Kilkakrotnie pisaliśmy na PRoto o kryzysach wizerunkowych tej marki, z którymi Kalanick nie potrafił sobie poradzić. Uber miał problem z dyskryminacją rasową czy molestowaniem seksualnym wśród pracowników, w związku z którym – jak twierdzą amerykańskie media – odszedł Jeff Jones, druga najważniejsza osoba w firmie, której misją miało być poprawienie wizerunku Ubera.

Kryzys związany z kradzieżą danych wydaje się jednak najpoważniejszy w historii Ubera – pisze Bloomberg. Nowy CEO firmy, Dara Khosrowshahi, otrzymał go w spadku po Kalanicku, i, jak twierdzi, nie wiedział o tym incydencie, gdy siadał w fotelu szefa.

To jednak Khosrowshahi jest osobą, która podała informacje o ataku hakerów do opinii publicznej. Nowy CEO opublikował oświadczenie, w którym wyjawił kulisy kradzieży danych i opisał działania, jakie podjęto w tej sprawie. Wszczęto śledztwo i rozpoczęto informowanie osób potencjalnie poszkodowanych z powodu zajścia. Zwolniono szefa bezpieczeństwa, za kadencji którego doszło do incydentu. W końcu, po roku, nawiązano też współpracę z odpowiednimi instytucjami.

Wydaje się, że wywołanie kryzysu wizerunkowego przez szefa firmy nie zdarza się zbyt często. PRoto zapytało ekspertów, co sądzą na ten temat – jak oceniają oświadczenie CEO Ubera? Czy jego działania rzeczywiście mogą uspokoić użytkowników aplikacji i kierowców? Czy postawienie na transparentność, nawet za cenę przyznania się do zatajania kradzieży danych, opłaci się marce?

Powierzchowna transparentność
„Nowy prezes w obliczu swojego pierwszego wyzwania wizerunkowego w firmie miał możliwość odcięcia się od działań swojego poprzednika i zarządzenia kryzysem w przejrzysty sposób, a tym samym wyprowadzania wizerunku firmy na prostą w oczach klientów. Pewnych błędów nie udało się jednak naprawić” – przyznaje Bartosz Sroka, Senior Account Manager w Grayling Poland. Według eksperta sytuacja, w jakiej znalazł się Khosrowshahi, była właściwie nie do wygrania. Popełniono w przeszłości zbyt duży błąd, a deklaracje o transparentności są niezbyt na miejscu w momencie, gdy ujawnia się problem sprzed roku.

„W publikacjach, które przelały się przez media, główny zarzut względem firmy dotyczył właśnie ukrywania zdarzenia przez rok, a nie samego problemu w postaci wycieku danych” – zwraca też uwagę ekspert z Grayling Poland. To właśnie zaniechanie wygląda na największy grzech Ubera.

Sroka analizuje też deklarowaną przez CEO Ubera transparentność komunikacji, która zdaniem eksperta jest dość powierzchowna. „W swoim momentami ogólnikowym oświadczeniu Khosrowshahi pisze o »uzyskaniu zapewnienia, że pobrane dane zostały zniszczone«. Takie stwierdzenie pozostawia jednak wiele pola do domysłów klientom co do podstawy tej pewności. Sytuację pogarszają dodatkowo podane przez Bloomberga informacje o okupie zapłaconym hakerom” – ocenia Senior Account Manager z Grayling Poland. Jego zdaniem ogólnikowe stwierdzenia (Khosrowshahi nie podał namacalnych dowodów, że wykradzione dane zostały zabezpieczone – przyp.red.) i obietnice, że od teraz dane użytkowników są bezpieczne, z pewnością nie pomogą w odzyskaniu społecznego zaufania.

Najlepszą obroną jest atak?
Kłopoty popularnego przewoźnika to, zdaniem Tomasza Kordowskiego, Senior Consultanta z Linkleaders, „kolejny przykład nieradzenia sobie przez firmy z komunikacją z klientami oraz partnerami w przypadku wycieku danych”. Ekspert zwraca jednak uwagę na fakt, że Khosrowshahi w swoim oświadczeniu pośrednio odcina się od kontrowersyjnego poprzednika i sprawia wrażenie, jakby wskazywał na jego winę.

„Można to różnie oceniać” – mówi Kordowski i analizuje: „Z jednej strony to nieco agresywna zagrywka, a bycie agresorem w sytuacji kryzysowej nie działa na korzyść »broniącego się«. Z drugiej strony, to dość popularna forma obrony poprzez odcięcie się od złych decyzji poprzedników i stawianie się w roli reformatora, odnowiciela. W wielu przypadkach skuteczna, choć kluczowe i tak pozostaje w mojej opinii to, jak Uber może zagwarantować bezpieczeństwo danych teraz i w przyszłości”.

Zdaniem eksperta z Linkleaders działania nowego CEO Ubera mogą pokazywać przy okazji coś innego: zaciętą walkę o wpływy w firmie. Kordowski zwraca uwagę, że Kalanick, poprzedni szef, nadal pełni w Uberze znaczące funkcje. „Odczytywałbym to w taki sposób, że wiele osób widziałoby Kalanicka poza Uberem, a kryzys z danymi jest dobrą okazją, by obniżyć jego rangę w organizacji. Podobną walką o wpływy toczono w Volkswagenie przed wybuchem afery Dieselgate i ustąpieniem Martina Winterkorna” – porównuje specjalista ds. komunikacji kryzysowej.

Kordowski dodaje też, że wbrew pozorom kryzysy wywoływane przez zarządy wcale nie są rzadkością – świadczą o tym przykłady bankructw w branży finansowej. „Wystarczy też wspomnieć zjawisko tzw. »white collar crime« (z ang. »przestępstwo białych kołnierzyków«, popełniane przez osoby na wysokich stanowiskach, które wykorzystują swoje kompetencje i znajomości do łamania prawa – przyp. red.) a z naszego podwórka chociażby przypadek Amber Gold” – przytacza ekspert z Linkleaders.

Czytaj więcej:
Volksvagen manipulował pomiarem spalin. CEO koncernu: nadużyliśmy zaufania klientów

Kryzys Ubera pobudką przed RODO
Kordowski zwraca też uwagę na jeszcze jeden aspekt kryzysu Ubera. Zdaniem eksperta całą sprawę można potraktować jako źródło cennych lekcji w kontekście cyberbezpieczeństwa. „Przede wszystkim do tego typu incydentów będzie dochodzić coraz częściej. Warto tu przytoczyć raport World Economic Forum »Global Risk Report 2017«, który wśród dziesięciu ryzyk o największym prawdopodobieństwie wystąpienia na piątym i szóstym miejscu podaje właśnie wycieki danych i cyberataki. A więc nie ma co liczyć, że taki problem ominie firmę. Wcześniej czy później w mniejszej lub większej skali dotknie on każdego” – mówi ekspert w rozmowie z PRoto.

Niezależnie od niego na to samo wskazuje Piotr Kaczor, IT Manager w Agencji Interaktywnej Insignia. „Każdy system – nawet najlepiej zaprojektowany – może zostać złamany, a dane skradzione. To nie jest kwestia »czy«, ale »kiedy«. Wystarczy jeden niewielki błąd na poziomie systemu, dowolnej składowej czy dowolnego podwykonawcy. Każda firma musi być przygotowana na taką sytuację” – przekonuje ekspert od IT.

Cytowany wcześniej Bloomberg zwraca uwagę, że wyciek danych Ubera, choć wydaje się spory, w porównaniu do kłopotów Yahoo! czy MySpace’a, jest tak naprawdę mikroskopijny. Dla przykładu: zaraz po przejęciu pierwszej firmy przez amerykańskiego operatora sieci telefonicznej, Verizona, okazało się, że atak hakerski z 2013 roku dotknął wszystkich trzech miliardów zarejestrowanych w Yahoo! kont. Uberowi „wyciekły” informacje „jedynie” o 57 mln użytkowników.

Dbanie o cyberbezpieczeństwo to system naczyń połączonych. Widać to na przykładzie Ubera: jak opisuje Bloomberg, programiści firmy pracowali na prywatnej podstronie platformy hostingowej GitHub. To właśnie z niej hakerzy wykradli dane logowania do Amazon Web Services, czyli systemu chmury obliczeniowej, z którego korzystał Uber. Za jego pośrednictwem złodzieje odkryli, jakie katalogi skrywają dane użytkowników i kierowców. E-maila do kierownictwa firmy z żądaniem okupu mieli wysłać niedługo potem.

„Zbyt często brakuje świadomości, że cyberbezpieczeństwo firmy to nie tylko odpowiedzialność działu IT, ale całej organizacji i pracowników, każdej komórki biznesowej. Co więcej, jak pokazały różne afery z wyciekami danych z ostatnich lat, często sprawcami są osoby z wewnątrz organizacji” – podkreśla Kordowski z Linkleaders, powtarzając opinię Piotra Kaczora z Insigni.

Kordowski dodaje, że „konsekwencje niewystarczającego zabezpieczenia danych zabolą podwójnie. W obliczu wchodzącej w życie w 2018 roku ustawy o RODO obok strat wizerunkowych niemalże gwarantowane będą wysokie straty finansowe spowodowane karami administracyjnymi. A dodatkowo, jak wskazują niektórzy eksperci od bezpieczeństwa, RODO stanie się dla cyberprzestępców swego rodzaju cennikiem okupów”.

Podmiotom, które nie dopilnują obowiązków związanych z RODO, będą grozić kary pieniężne w wysokości do 20 mln euro lub 4 proc. rocznego obrotu.

Opracował Maciej Przybylski

Czytaj więcej:

RODO: rewolucja czy ewolucja?

Po co cyberprzestępcy PR-owiec?

X

Zamów newsletter

 

Akceptuję regulamin