如果说曾经有完美的数据泄露包装案例,那就是万豪最新披露的megabreach事件。两周前,这家连锁酒店宣布,万豪旗下的喜达屋酒店客房预订系统曾在2014年遭受过黑客攻击——就在万豪收购喜达屋酒店资产(包括瑞吉酒店、威斯汀酒店、喜来登酒店和W酒店)的两年前——此次攻击可能导致5亿顾客个人信息的泄露。
结果几乎是立竿见影的;就在宣布数据泄露当天,在早盘交易中,万豪的股价下跌了5%,并引发了两起集体诉讼(其中一起索赔125亿美元)。美国参议院也开始探讨对安全违规事件实行更严厉的罚款和规定。到目前为止,一切都很正常。
但万豪数据泄露事件中特别需要注意的是,在并购过程中明显缺乏详尽的网络安全调查。
绝不要跳过任何步骤
2016年9月,万豪国际宣布,完成了对喜达屋度假酒店集团的收购,成为了全球最大的酒店集团。万豪在新闻中特别强调,两个品牌合并后,可以向会员提供一流的会员计划。
万豪国际高管们没有意识到,自2014年以来,黑客就已经获得了对喜达屋会员计划的未授权访问,顾客的个人信息暴露无遗,包括姓名、电话号码、电子邮件地址、护照号码、生日、信用卡号等。
然而,如果万豪做足了功课,或许就可以避免现在面临的巨额法律费用和合规性罚款。在当今数字时代,在任何并购过程中,详尽的网络安全调查无疑都是必不可少的。
不光只有安全专家会强调这一点。美国律师协会同样主张“了解收购目标漏洞的本质和重要性、可能发生(或已经发生的)的数据泄露事件的潜在损害范围、目标企业保护自身安全的网络防御措施的范围和有效性都是至关重要的。对这些问题的正确评估可能会对收购方对目标公司的估值以及交易结构产生重大影响。”
不可能每次都能成功缓解每一个威胁,因此网络攻击的代价确实非常大。一次成功的网络攻击以及由此引发的数据泄露会抹杀客户的信任,并摧毁品牌。
唯一的出路
当一家公司收购另一家公司时,收购的不仅仅只是资产。还要承担目标公司的风险。简单地说,被收购公司存在的安全缺口会成为收购公司的安全缺口。
此外,缺乏详尽的网络安全调查还会破坏交易的价值驱动因素。在万豪的案例中,一个很大的驱动因素就是喜达屋高价值旅客的保留:他们都是会员计划的一部分。由于这些客户现在面临着更换信用卡号、护照等烦恼,这一价值驱动因素已经不可避免地被破坏了。
企业必须将网络安全纳入到从最高层到IT的每一个业务结构中,这是至关重要的。保护数字资产的安全不能仅仅委托给IT部门;而是必须将安全融入到产品和服务中,也许最重要的是,还要融入到研发计划和业务措施中。以万豪为例,以130亿美元收购喜达屋,就代表了一项涉及董事会、最高层高管和管理人员的战略措施——这些人现在都应该对万豪品牌亲和力的削弱负一部分责任。
正如Radware之前所提到的,当涉及到会员计划时,安全必须从被动的灾难恢复和业务连续性转变为主动防护。如果会员计划的制定针对的是最有价值的客户,那为什么安全性不能和为这些客户提供服务的其他关键业务资产和基础架构保持一致呢?
万豪喜达屋数据泄露事件是一个让人遗憾的案例,这就说明了,为什么在涉及到确保客户体验时,CEO和高管团队必须带头定下基调。如果忽视了网络安全或者将其作为事后的补救措施,潜在的损害就远不止金钱那么简单了。企业声誉就会岌岌可危。