Главная » Wordpress » Статьи Wordpress

Проблема не в уязвимостях. Проблема в вашем молчании

Статьи Wordpress

Неприятная правда, которую большинство компаний отказываются признать: клиентское доверие рушится далеко не из-за самого факта взлома. Именно сокрытие инцидента, связанного с безопасностью, стирает всю лояльность клиентов. Отношение к пользователям как к противникам, а не как к союзникам – вот что вредит больше всего.

Инциденты в сфере безопасности неизбежны. Если ваша компания обрабатывает данные, обращается к какому-либо софту или нанимает людей, рано или поздно у вас произойдет инцидент. Компании, которые выходят из инцидентов более сильными, — это не те, у кого самая безупречная история безопасности; похвастаться такой историей могут единицы. Это те, кто поддерживает уважительную коммуникацию с людьми, за чьи данные они несут ответственность.

Содержание
  1. Скорость важнее всего
  2. Что должно быть включено в каждое раскрытие информации
  3. То, что следует добавить, но что большинство компаний упускают из виду
  4. Зал славы и зал позора
  5. К чему все сводится

Скорость важнее всего

Первое, что приходит в голову после инцидента, — ждать. Ждать, пока не станет ясно, что произошло. Ждать, пока юристы подпишут все пункты. Ждать, пока не удастся представить ситуацию в самом выгодном свете. Ждать до понедельника, потому что анонс в пятницу «будет выглядеть плохо».

Это неправильно. Каждый час, потраченный вами на доработку заявления, — это час, который ваши клиенты проводят, не зная о необходимости изменения учетных данных, блокировки данных карт или проверки своих аккаунтов. Это также час, когда кто-то другой, например, журналист, исследователь безопасности или пострадавший клиент на форуме, может раскрыть эту историю за вас. А если вас опередят в расследовании собственной утечки, это будет, пожалуй, худший из возможных исходов для доверия.

Решение заключается в том, чтобы раскрывать информацию об уязвимости на ранних этапах и часто обновлять её. Ваше первое сообщение не должно содержать ответы на все вопросы. «Вот что мы знаем, вот чего мы не знаем, вот что мы делаем, чтобы это выяснить, и вот когда вы получите от нас следующую информацию» — полное и заслуживающее доверия сообщение. Cloudflare заработала репутацию компании именно благодаря этому. Их отчеты часто публикуются в течение нескольких часов и обновляются по мере продвижения расследования.

Клиенты не ожидают всеведения. Они ожидают честности.

Что должно быть включено в каждое раскрытие информации

После того, как вы определились с форматом коммуникации, вот ее содержание. Пять пунктов, примерно в таком порядке:

  1. Объясните, что произошло. Опишите простыми словами. Не «событие безопасности, затрагивающее подмножество систем», эта фраза — корпоративный код, означающий «мы надеемся, что вы не будете читать дальше». Расскажите людям, что сделал злоумышленник, как он проник внутрь (насколько вам известно) и какие системы были затронуты. Если расследование продолжается, скажите об этом прямо и пообещайте держать их в курсе.
  2. Объясните, кто затронут, а кто нет. Будьте конкретны. Какие клиенты? Какие типы данных? Имена? Адреса электронной почты? Хэшированные пароли? Пароли в открытом виде? Платежная информация? Государственные удостоверения личности? Разница между «ваш адрес электронной почты был раскрыт» и «ваш номер социального страхования был раскрыт» огромна, и смешивание этих понятий или такая неопределенность, которая заставляет клиентов предполагать худшее, уже является формой нечестности.
  3. Объясните, как клиенты могут определить, были ли они затронуты. Не заставляйте людей гадать. Если вы можете отправить email пострадавшим пользователям напрямую, сделайте это. Если у вас есть инструмент для поиска информации, предоставьте его. Если проблема затрагивает всех, сообщите об этом. Говорить людям: «Мы свяжемся с вами, если вы затронуты», а затем бросать их на недели — это жестоко, и именно такой подход превращает управляемый инцидент в коллективный иск.
  4. Объясните клиентам, что нужно делать. Конкретные шаги. Сбросить пароль. Включить двухфакторную аутентификацию. Разместить оповещение о мошенничестве в кредитных бюро. Отслеживать письма, в которых описывается утечка данных. Если вы предлагаете мониторинг личных данных, дайте прямую ссылку на него; не заставляйте людей искать информацию в центре поддержки, чтобы потребовать что-то, что вы им должны предоставить.
  5. Объясните, что вы делаете для решения этой проблемы. Здесь в игру вступает триада CIA (конфиденциальность, целостность, доступность), но расскажите об этом по-человечески. Что вы пропатчили? Какие архитектурные изменения вы внесли? Какой процесс дал сбой, и как вы исправили именно процесс, а не только устранили симптом? Расплывчатые заверения («мы очень серьезно относимся к безопасности») без конкретной демонстрации того, насколько серьезно вы относитесь к безопасности, неискренни.

То, что следует добавить, но что большинство компаний упускают из виду

Вот что обычно не учитывается или упускается из виду в шаблонах раскрытия информации.

Признайте факт взлома или утечки. Без уклончивых формулировок.

  • «Были допущены ошибки».
  • «Мы стали жертвой высококвалифицированных хакерских группировок».
  • «Третья сторона получила несанкционированный доступ».

Компании, которые выходят из инцидентов сильными, — это те, которые говорят «мы это сделали» и «мы извиняемся», не прикрываясь пассивным залогом и не обвиняя злоумышленника в хитрости. Да, злоумышленник вторгся в систему. Он преступник. Но это не снимает с вас ответственности за дверь, которую вы оставили открытой.

Продолжайте коммуникацию после первоначального сообщения. Первый день — это самая простая часть. Компании, которые завоевывают доверие, — это те, кто через две недели публикует подробный анализ инцидента, обновляет раздел FAQ по мере возникновения новых вопросов и составляет окончательный отчет после завершения расследования. Молчание после того, как сделан первый шаг, говорит о том, что интересы клиентов вас не волнуют.

Сформулируйте сообщение в соответствии с аудиторией, не меняя фактов. Регуляторам необходима юридическая и техническая конкретность. Клиентам — ясность и четкие действия. Сотрудникам нужно знать, что сказать, если их спросят родственники или друзья. Прессе — точность. Эти группы нуждаются в разных подходах, но основные факты должны быть идентичными во всех каналах. Если ваше заявление для клиентов противоречит вашим документам, поданным в SEC, у вас возникает гораздо более серьезная проблема, чем первоначальный взлом.

Зал славы и зал позора

Можно многому научиться, проанализировав реальные события.

Инцидент с безопасностью Plex в 2025 году — яркий пример хорошего подхода: оперативное раскрытие информации с четким объяснением того, к каким данным был получен доступ, немедленные действия со стороны клиентов и конкретные обязательства по устранению первопричины. Несмотря на то, что инцидент затронул миллионы пользователей, компания практически не потеряла доверия клиентов.

Раскрытие информации о «Cloudbleed» компанией Cloudflare в 2017 году – тоже хороший пример: подробный технический анализ причин сбоя, четкая хронология событий, отсутствие эвфемизмов, полное признание вины. Несмотря на серьезность ошибки, компания практически не потеряла доверия клиентов.

Каноническим примером катастрофического случая стала ситуация с Equifax в 2017 году: месяцы задержки перед раскрытием информации, продажа акций руководителями до объявления, запутанный инструмент поиска, который поначалу, казалось, требовал отказа от юридических прав для его использования. Утечка данных сама по себе была ужасной. То, как с ней обошлись, превратило её в хрестоматийный случай, изучаемый в бизнес-школах.

В 2016 году Uber пошел еще дальше и заплатил злоумышленникам за молчание, а затем раскрыл информацию только после прихода нового генерального директора, который поднял этот вопрос. В итоге руководитель службы безопасности был признан виновным в воспрепятствовании правосудию и приговорен к трем годам условного заключения. (В настоящее время дело находится на стадии апелляции.) Сокрытие информации не только неэтично, но и может расцениваться как уголовное преступление. И оно подрывает доверие клиентов.

Закономерность очевидна: техническая серьезность инцидента имеет гораздо меньшее значение, нежели коммуникация, связанная с ним.

К чему все сводится

Ваши клиенты предоставили вам свои данные, потому что доверяли вам и рассчитывали на ответственное обращение с этой информацией. Инцидент — момент, когда это доверие подвергается испытанию. Вы не сможете восстановить его, увильнув, затянув или скрыв правду. Компании, которые относятся к своим клиентам по-людски во время кризиса, не просто ремонтируют брешь и движутся дальше. Они выходят из этой ситуации победителями, возвращая доверие клиентов к себе.

Утечка данных станет лишь сноской.

А то, как вы с ней справились, станет заголовком.

Источник: https://www.zant.com

0 безопасность взлом инцидент клиентское доверие утечка данных
Дмитрий/ автор статьи
CCO, Senior SEM/PPC Specialist, WordPress-энтузиаст, переводчик с английского и немецкого. Серый кардинал русскоязычного WP-комьюнити.
Советуем ознакомиться:
Статьи Wordpress 0
Как сократить расходы сетевого трафика без блокировки легитимных посетителей
Если использование ресурсов на клиентском сайте начинает бесконтрольно расти, и при этом увеличения посещений
Статьи Wordpress 0
Переменные среды против базы данных: обеспечение безопасности Connectors API
С выходом WordPress 7.0 платформа претерпела одну из самых значительных архитектурных эволюций за последние
Статьи Wordpress 0
Контрибьюторы запустили аутрич-программу для тестирования функционала совместного редактирования в разных средах
Не прошло и месяца с выхода WordPress 7.0, как контрибьюторы запустили специальную аутрич-программу по
Статьи Wordpress 0
Kubernetes: почему без него сегодня не живет ни один серьезный сервис
Если несколько лет назад про Kubernetes говорили в основном инженеры крупных IT-компаний, то сегодня
Статьи Wordpress 0
За пределами wp_enqueue: хирургическое управление ресурсами для высокопроизводительных сайтов
Многие плагины WordPress следуют путем наименьшего сопротивления. Они подключают свои CSS и JavaScript глобально,
Статьи Wordpress 0
Написание произвольных команд WP-CLI для масштабной миграции данных
Знакомая ситуация? Вам нужно обновить произвольное поле у 50 000 товаров или переработать метаданные
Блог про WordPress
Добавить комментарий

Получать новые комментарии по электронной почте.