Exxon Valdez của không gian mạng

0
5


tôiN 1989 thân tàu mỏng Exxon valdez tàu siêu tốc mắc cạn ở Hoàng tử William Sound, Alaska, đổ một phần tư triệu thùng dầu vào vùng biển xung quanh. Vào thời điểm đó, đó là sự cố tràn bờ ngoài khơi tồi tệ nhất nước Mỹ, và một cú đánh mạnh vào danh tiếng của chủ tàu Tàu, Exxon. Công ty đã trả 3 tỷ đô la để dọn dẹp khu vực và giải quyết các khiếu nại pháp lý, và để cải thiện sự an toàn, chính phủ Mỹ đã ra lệnh loại bỏ các tàu một thân tàu như Exxon valdez. Tất cả các tàu được sử dụng trên toàn thế giới bởi hậu duệ của công ty Exxon, ExxonMobil, hiện đang được đóng hai lần. Nhưng đó không phải là tất cả. Thảm họa đã tạo ra một nền văn hóa kỷ luật văn hóa trong ExxonMobil, thứ đã giúp biến nó thành con thú kiếm lợi nhuận như ngày nay.

Ba thập kỷ sau, do sự gia tăng không ngừng của tội phạm mạng, các công ty kỹ thuật số đang lúng túng về phía mình Exxon valdez chốc lát. Mới nhất là Capital One, một ngân hàng lớn của Mỹ với vốn hóa thị trường là 42 tỷ đô la, vào ngày 29 tháng 7 tiết lộ rằng một hacker đã đánh cắp các chi tiết cá nhân và tài chính của 106 triệu khách hàng và ứng viên thẻ tín dụng. Các công tố viên cho rằng hơn bốn tháng Paige Thompson, một nhà phát triển phần mềm 33 tuổi, đã xâm nhập vào máy chủ Capital One được lưu trữ trên nền tảng điện toán đám mây của Amazon qua một tường lửa được định cấu hình sai. Thật kỳ lạ, ngân hàng đã không chú ý ngay cả sau khi tin tặc giả danh khoe khoang về vụ trộm trên phương tiện truyền thông xã hội cho đến khi nó bị lật tẩy. Đối với một công ty cho đến nay được coi là một trong những chuyên gia công nghệ tài chính nhất, đây là một cú đánh.

Vụ việc có hai điểm tương đồng với ngành dầu khí. Robert Knake, cựu cố vấn an ninh mạng của Nhà Trắng và đồng tác giả của tên miền thứ năm, một cuốn sách mới về chủ đề này, mô tả cách tin tặc xâm nhập vào một lớp bảo mật được gọi là tường lửa ứng dụng web như một sự tương tự hoàn hảo Thời đại của tàu chở dầu một thân. Như Exxon valdez, Capital One lẽ ra phải được bảo vệ nhiều hơn. Giống như các công ty dầu mỏ cũ, ngân hàng cũng có thể thiếu một nền văn hóa an toàn đủ mạnh để đảm bảo rằng họ không ngừng thăm dò các lỗ hổng mới. Cả hai đều là một lời nhắc nhở rằng, nếu dữ liệu bây giờ có giá trị hơn dầu, thì các vi phạm dữ liệu có sự tương đồng không lành mạnh với sự cố tràn dầu. Các công ty Internet có thể học một hoặc hai bài học từ những người tin tưởng carbon cũ như ExxonMobil về cách tránh chúng.

Exxon valdez là một bước ngoặt của Exxon. Năm 1989, nó đã tồn tại được một thế kỷ. Nhưng thảm họa đã dẫn đến một cuộc đại tu toàn diện về văn hóa quản lý rủi ro và an toàn của công ty. Trong cuốn sách riêng của Empire Empire, một cuốn sách về ExxonMobil của Steve Coll, tác giả hầu như không thể ngụy trang cho sự ngạc nhiên của mình về việc này đã đi được bao xa. Trong các văn phòng của nó, ngăn kéo bàn phải được giữ kín kẻo nhân viên va vào chúng. Mọi cuộc họp đều bắt đầu với một phút an toàn của người Viking, giống như một lời chúc phúc trước bữa ăn. Cắt bằng kẹp giấy văn phòng đã được theo dõi. Ngay cả ngày nay, Hệ thống quản lý toàn vẹn hoạt động 11 điểm của nó cũng chi tiết trong việc theo đuổi niết bàn an toàn khi con đường Phật giáo đến giác ngộ được đưa vào các tân binh, kết hợp với đánh giá hiệu suất và chia sẻ với các nhà thầu và nhà cung cấp. Trong 27 năm, nó đã hoạt động rất tốt.

Các tập đoàn có thể lập luận rằng dữ liệu khó quản lý hơn dầu. Ngăn chặn vi phạm dữ liệu là một trò chơi quái gở của mèo và chuột. Các công ty không biết ai là kẻ tấn công của họ là tội phạm người Haiti? diễn viên nhà nước? những con sói đơn độc? Tin tặc chỉ phải đúng một lần để xâm nhập một hệ thống. Các hậu vệ phải nhảy dù mọi lúc, mọi lúc; một bước sai lầm và họ mất. Nhiều công ty không chịu trách nhiệm là nạn nhân của tội phạm hoặc hành động chiến tranh.

Tuy nhiên, kinh nghiệm ngành công nghiệp dầu mỏ là hướng dẫn. Đầu tiên, sự nhấn mạnh vào việc ăn sâu vào an toàn ở mỗi nhân viên có thể củng cố mối liên kết yếu nhất trong an ninh mạng: cá nhân. Trong tên miền thứ năm, ông Knake và Richard Clarke cho rằng các công ty triển khai công nghệ chống hack tinh vi hơn bao giờ hết có thể loại bỏ được Poor Poor Dave, một người trong mọi tổ chức có thể chống lại một email lừa đảo. Các nghiên cứu cho thấy rằng nhân viên thường là do vô tình hoặc cố ý là nguyên nhân chính của các cuộc tấn công mạng thành công. Các công ty khôn ngoan giả mạo email lừa đảo để tuôn ra Daves.

Các công ty dầu khí nhấn mạnh vào chuỗi cung ứng của họ nói cùng một ngôn ngữ, và lớn tiếng, về an toàn cũng có giá trị thi đua. Tin tặc ngày càng xâm nhập vào các tập đoàn lớn bằng cách xâm nhập vào hàng phòng thủ của các nhà cung cấp nhỏ hơn và cõng trên các hệ thống liên lạc liên kết hai bên. Điều này được thực hiện dễ dàng hơn bởi thực tế là nhiều công ty đối xử với các vụ hack như lậu, một vấn đề đáng xấu hổ không ai muốn thừa nhận ngay cả khi nói về việc này sẽ ngăn chặn sự lây lan của nó. Một số người gọi đó là bi kịch của cộng đồng mạng.

Thứ ba, trải nghiệm cận tử HA sau thảm họa dầu Deepwater Horizon năm 2010 cho thấy dữ liệu có thể biến từ một tài sản thành trách nhiệm nghiền nát như thế nào. Nó đã kết thúc chi phí của công ty Anh hơn 50 tỷ đô la. Danh tiếng của nó vẫn chưa phục hồi hoàn toàn.

Để bây giờ, các chi phí của một vi phạm dữ liệu trông nhẹ vô lý bằng cách so sánh. Capital One cho biết vụ hack gần đây của họ sẽ tiêu tốn tới 150 triệu đô la trong năm nay, chủ yếu là hỗ trợ thêm cho khách hàng. Bỏ qua các khoản tiền phạt tiềm năng, tức là chưa đến 1,50 đô la cho mỗi nạn nhân và một phần mười lợi nhuận hàng quý mới nhất của ngân hàng. Equachus, một công ty chấm điểm tín dụng, gần đây đã đồng ý trả tới 700 triệu đô la để giải quyết các vụ kiện và các khiếu nại khác sau khi dữ liệu của gần 150 triệu khách hàng bị hack. IBM Bảo mật, một chuyên gia tư vấn, đặt chi phí trung bình của một vụ vi phạm dữ liệu trên toàn thế giới ở mức 150 đô la cho mỗi nạn nhân. Messrs Knake và Clarke nghĩ rằng nó nên giống như 1.000 đô la để thúc đẩy đầu tư cần thiết để ngăn ngừa thua lỗ.

Tar và lông

Chính phủ đang thực sự trở nên khó khăn hơn. Tháng trước, Anh đã đề xuất phạt tiền của British Airways £ 183 triệu ($ 222 triệu) sau khi dữ liệu khoảng 500.000 hành khách bị đánh cắp. Điều đó đánh dấu hình phạt lớn đầu tiên liên quan đến EUQuy tắc bảo vệ dữ liệu mới của người s. Các hãng hàng không cho biết sẽ kháng cáo. Nó có thể thuyết phục các nhà quản lý nó không phải là để đổ lỗi. Nhưng như với Exxon hoặc BP, lập luận đó có thể hao mòn với các nhà quản lý và người tiêu dùng. Các công ty kinh doanh dữ liệu trực tuyến, tức là hầu hết các công ty lớn ngày nay đã vượt qua vấn đề.



Nguồn The Economist

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Comment moderation is enabled. Your comment may take some time to appear.