Trong bối cảnh SEC gần đây đã khởi tố bốn công ty vì công bố thông tin sai lệch về an ninh mạng, một cuộc thảo luận sâu rộng đã nổi lên về lý do tại sao các công ty vẫn tiếp tục gặp khó khăn với các vụ vi phạm an ninh mạng và việc công bố thông tin sau đó. Những góc nhìn từ cộng đồng cho thấy một mạng lưới phức tạp của các thách thức tổ chức, hình phạt không tương xứng và các vấn đề mang tính hệ thống đang làm trầm trọng thêm vấn đề này.
Cơn ác mộng từ hệ thống cũ kỹ
Một trong những lý giải thuyết phục nhất cho các lỗ hổng an ninh mạng dai dẳng xuất phát từ thực trạng cơ sở hạ tầng CNTT của doanh nghiệp. Qua nhiều năm sáp nhập và mua lại, các công ty tích tụ nhiều lớp hệ thống cũ kỹ ngày càng khó bảo trì và bảo mật. Tình trạng mất trí nhớ của doanh nghiệp này tạo ra các tình huống:
- Các hệ thống từ công ty được mua lại vẫn hoạt động mà không có tài liệu phù hợp
- Các đội ngũ CNTT ban đầu hiểu rõ những hệ thống này thường bị sa thải trong quá trình sáp nhập
- Các máy chủ bị lãng quên chạy phần mềm lỗi thời trở thành rủi ro bảo mật
- Không ai có hiểu biết đầy đủ về tất cả các hệ thống đang vận hành
Khía cạnh kinh tế của việc không tuân thủ
Các hình phạt gần đây của SEC cho thấy hậu quả không đáng kể mà các công ty phải đối mặt khi vi phạm an ninh mạng:
- Unisys : 4 triệu USD
- Avaya : 1 triệu USD
- Check Point : 995.000 USD
- Mimecast : 990.000 USD
Mặc dù những khoản phạt này có vẻ đáng kể, nhưng chúng tương đối nhỏ đối với các công ty có doanh thu hàng tỷ đô. Tuy nhiên, một số người cho rằng tác động thực sự đến từ:
- Thiệt hại về uy tín, đặc biệt là đối với các nhà cung cấp dịch vụ bảo mật
- Nguy cơ bị khách hàng khiếu nại vi phạm hợp đồng
- Rủi ro bị thực thi các biện pháp nghiêm khắc hơn trong tương lai
- Các lệnh chấp thuận có thể hạn chế hoạt động kinh doanh
Thách thức trong việc công bố thông tin
Các công ty thường xuyên gặp khó khăn với việc công bố vi phạm, thường chọn cách giảm thiểu mức độ nghiêm trọng của sự cố thay vì cung cấp thông tin trực tiếp. Hành vi này bị chi phối bởi:
- Bảo vệ giá cổ phiếu
- Bảo vệ danh tiếng và sự nghiệp của ban lãnh đạo
- Phản ứng ngắn hạn của nhà đầu tư
- Thiếu định dạng công bố chuẩn hóa
Giải pháp đề xuất
Cộng đồng đề xuất một số cải cách tiềm năng:
-
Định dạng công bố chuẩn hóa : Tương tự như nhãn dinh dưỡng trên sản phẩm thực phẩm, tạo một định dạng chuẩn cho việc công bố vi phạm có thể cải thiện tính minh bạch và khả năng so sánh.
-
Hình phạt dựa trên doanh thu : Áp dụng mức phạt dựa trên tỷ lệ phần trăm doanh thu, mặc dù cách tiếp cận này có những người phản đối do biên lợi nhuận khác nhau giữa các ngành.
-
Trách nhiệm hình sự : Một số người ủng hộ việc hình sự hóa gian lận doanh nghiệp liên quan đến công bố thông tin bảo mật, tương tự như các quy định hiện có trong ngành tài chính.
-
Phạt dựa trên thiệt hại : Tính toán hình phạt dựa trên số lượng cá nhân bị ảnh hưởng, loại dữ liệu bị xâm phạm và thời gian phản ứng của công ty.
Tình hình hiện tại cho thấy nhu cầu cấp thiết về cải cách trong cách chúng ta xử lý trách nhiệm và trách nhiệm giải trình về an ninh mạng của doanh nghiệp. Cho đến khi có những hậu quả nghiêm trọng hơn được áp dụng, các công ty có thể tiếp tục ưu tiên quản lý danh tiếng ngắn hạn hơn là thực hành bảo mật minh bạch.