Mengapa Pelanggaran Keselamatan Siber Korporat Terus Berlaku: Sistem Legasi dan Kesan Minimum

Berikutan tuduhan terbaru SEC terhadap empat syarikat kerana pendedahan keselamatan siber yang mengelirukan, satu perbincangan mendalam telah timbul tentang mengapa syarikat-syarikat terus menghadapi masalah pelanggaran keselamatan siber dan pendedahan mereka. Pandangan komuniti mendedahkan jaringan kompleks cabaran organisasi, penalti yang tidak mencukupi, dan isu sistemik yang mengekalkan masalah ini.

Mimpi Ngeri Sistem Legasi

Salah satu penjelasan paling meyakinkan tentang kelemahan keselamatan siber yang berterusan datang daripada realiti infrastruktur IT korporat. Melalui penggabungan dan pengambilalihan selama bertahun-tahun, syarikat mengumpul lapisan sistem legasi yang semakin sukar untuk diselenggara dan dilindungi. Keadaan ini mewujudkan situasi di mana:

• Sistem dari syarikat yang diambil alih terus beroperasi tanpa dokumentasi yang betul
• Pasukan IT asal yang memahami sistem ini sering diberhentikan semasa penggabungan
• Pelayan yang terlupakan menjalankan perisian lapuk menjadi risiko keselamatan
• Tiada sesiapa yang memahami sepenuhnya semua sistem operasi

Ekonomi Ketidakpatuhan

Penalti terbaru SEC menunjukkan kesan minimum yang dihadapi syarikat untuk kegagalan keselamatan siber:

• Unisys : $4 juta
• Avaya : $1 juta
• Check Point : $995,000
• Mimecast : $990,000

Walaupun denda ini mungkin kelihatan besar, ia agak kecil bagi syarikat yang mempunyai pendapatan berbilion. Namun, sesetengah pihak berpendapat bahawa kesan sebenar datang daripada:

• Kerosakan reputasi, terutamanya untuk vendor keselamatan
• Potensi tuntutan pelanggaran kontrak daripada pelanggan
• Risiko tindakan penguatkuasaan masa depan yang lebih serius
• Perintah persetujuan yang boleh menyekat operasi perniagaan

Dilema Pendedahan

Syarikat sentiasa menghadapi masalah dengan pendedahan pelanggaran, sering memilih untuk meminimumkan insiden berbanding memberikan maklumat yang jelas. Tingkah laku ini didorong oleh:

1. Pemeliharaan harga saham
2. Ego eksekutif dan perlindungan kerjaya
3. Reaksi pelabur jangka pendek
4. Kekurangan format pendedahan yang standard

Penyelesaian yang Dicadangkan

Komuniti mencadangkan beberapa pembaharuan yang berpotensi:

1. Format Pendedahan Standard : Seperti label pemakanan pada produk makanan, mewujudkan format standard untuk pendedahan pelanggaran boleh meningkatkan ketelusan dan perbandingan.

2. Penalti Berasaskan Pendapatan : Melaksanakan denda berdasarkan peratusan pendapatan, walaupun pendekatan ini mempunyai pengkritiknya kerana margin keuntungan yang berbeza merentasi industri.

3. Liabiliti Jenayah : Sesetengah pihak menyokong untuk menjenayahkan penipuan korporat berkaitan dengan pendedahan keselamatan, serupa dengan peraturan industri kewangan sedia ada.

4. Denda Berasaskan Kerosakan : Mengira penalti berdasarkan jumlah individu yang terjejas, jenis data yang terjejas, dan masa tindak balas syarikat.

Keadaan semasa menunjukkan keperluan kritikal untuk pembaharuan dalam cara kita menangani tanggungjawab dan akauntabiliti keselamatan siber korporat. Sehingga kesan yang lebih bermakna dilaksanakan, syarikat mungkin terus mengutamakan pengurusan reputasi jangka pendek berbanding amalan keselamatan yang telus.