信息化觀察網

如果說曾經有完美的數據泄露包裝案例，那就是萬豪最新披露的megabreach事件。兩周前，這家連鎖酒店宣布，萬豪旗下的喜達屋酒店客房預訂系統(tǒng)曾在2014年遭受過黑客攻擊--就在萬豪收購喜達屋酒店資產（包括瑞吉酒店、威斯汀酒店、喜來登酒店和W酒店）的兩年前--此次攻擊可能導致5億顧客個人信息的泄露。

結果幾乎是立竿見影的；就在宣布數據泄露當天，在早盤交易中，萬豪的股價下跌了5%，并引發(fā)了兩起集體訴訟（其中一起索賠125億美元）。美國參議院也開始探討對安全違規(guī)事件實行更嚴厲的罰款和規(guī)定。到目前為止，一切都很正常。

但萬豪數據泄露事件中特別需要注意的是，在并購過程中明顯缺乏詳盡的網絡安全調查。

絕不要跳過任何步驟

2016年9月，萬豪國際宣布，完成了對喜達屋度假酒店集團的收購，成為了全球最大的酒店集團。萬豪在新聞中特別強調，兩個品牌合并后，可以向會員提供一流的會員計劃。

萬豪國際高管們沒有意識到，自2014年以來，黑客就已經獲得了對喜達屋會員計劃的未授權訪問，顧客的個人信息暴露無遺，包括姓名、電話號碼、電子郵件地址、護照號碼、生日、信用卡號等。

然而，如果萬豪做足了功課，或許就可以避免現(xiàn)在面臨的巨額法律費用和合規(guī)性罰款。在當今數字時代，在任何并購過程中，詳盡的網絡安全調查無疑都是必不可少的。

不光只有安全專家會強調這一點。美國律師協(xié)會同樣主張“了解收購目標漏洞的本質和重要性、可能發(fā)生（或已經發(fā)生的）的數據泄露事件的潛在損害范圍、目標企業(yè)保護自身安全的網絡防御措施的范圍和有效性都是至關重要的。對這些問題的正確評估可能會對收購方對目標公司的估值以及交易結構產生重大影響。”

不可能每次都能成功緩解每一個威脅，因此網絡攻擊的代價確實非常大。一次成功的網絡攻擊以及由此引發(fā)的數據泄露會抹殺客戶的信任，并摧毀品牌。

唯一的出路

當一家公司收購另一家公司時，收購的不僅僅只是資產。還要承擔目標公司的風險。簡單地說，被收購公司存在的安全缺口會成為收購公司的安全缺口。

此外，缺乏詳盡的網絡安全調查還會破壞交易的價值驅動因素。在萬豪的案例中，一個很大的驅動因素就是喜達屋高價值旅客的保留：他們都是會員計劃的一部分。由于這些客戶現(xiàn)在面臨著更換信用卡號、護照等煩惱，這一價值驅動因素已經不可避免地被破壞了。

企業(yè)必須將網絡安全納入到從最高層到IT的每一個業(yè)務結構中，這是至關重要的。保護數字資產的安全不能僅僅委托給IT部門；而是必須將安全融入到產品和服務中，也許最重要的是，還要融入到研發(fā)計劃和業(yè)務措施中。以萬豪為例，以130億美元收購喜達屋，就代表了一項涉及董事會、最高層高管和管理人員的戰(zhàn)略措施--這些人現(xiàn)在都應該對萬豪品牌親和力的削弱負一部分責任。

正如Radware之前所提到的，當涉及到會員計劃時，安全必須從被動的災難恢復和業(yè)務連續(xù)性轉變?yōu)橹鲃臃雷o。如果會員計劃的制定針對的是最有價值的客戶，那為什么安全性不能和為這些客戶提供服務的其他關鍵業(yè)務資產和基礎架構保持一致呢？

萬豪喜達屋數據泄露事件是一個讓人遺憾的案例，這就說明了，為什么在涉及到確?？蛻趔w驗時，CEO和高管團隊必須帶頭定下基調。如果忽視了網絡安全或者將其作為事后的補救措施，潛在的損害就遠不止金錢那么簡單了。企業(yè)聲譽就會岌岌可危。