信息化觀察網(wǎng)

如果說(shuō)曾經(jīng)有完美的數(shù)據(jù)泄露包裝案例，那就是萬(wàn)豪最新披露的megabreach事件。近日，這家連鎖酒店宣布，萬(wàn)豪旗下的喜達(dá)屋酒店客房預(yù)訂系統(tǒng)曾在2014年遭受過(guò)黑客攻擊--就在萬(wàn)豪收購(gòu)喜達(dá)屋酒店資產(chǎn)(包括瑞吉酒店、威斯汀酒店、喜來(lái)登酒店和W酒店)的兩年前--此次攻擊可能導(dǎo)致5億顧客個(gè)人信息的泄露。

結(jié)果幾乎是立竿見(jiàn)影的；就在宣布數(shù)據(jù)泄露當(dāng)天，在早盤交易中，萬(wàn)豪的股價(jià)下跌了5%，并引發(fā)了兩起集體訴訟(其中一起索賠125億美元)。美國(guó)參議院也開(kāi)始探討對(duì)安全違規(guī)事件實(shí)行更嚴(yán)厲的罰款和規(guī)定。到目前為止，一切都很正常。

但萬(wàn)豪數(shù)據(jù)泄露事件中特別需要注意的是，在并購(gòu)過(guò)程中明顯缺乏詳盡的網(wǎng)絡(luò)安全調(diào)查。

絕不要跳過(guò)任何步驟

2016年9月，萬(wàn)豪國(guó)際宣布，完成了對(duì)喜達(dá)屋度假酒店集團(tuán)的收購(gòu)，成為了全球最大的酒店集團(tuán)。萬(wàn)豪在新聞中特別強(qiáng)調(diào)，兩個(gè)品牌合并后，可以向會(huì)員提供一流的會(huì)員計(jì)劃。

萬(wàn)豪國(guó)際高管們沒(méi)有意識(shí)到，自2014年以來(lái)，黑客就已經(jīng)獲得了對(duì)喜達(dá)屋會(huì)員計(jì)劃的未授權(quán)訪問(wèn)，顧客的個(gè)人信息暴露無(wú)遺，包括姓名、電話號(hào)碼、電子郵件地址、護(hù)照號(hào)碼、生日、信用卡號(hào)等。

然而，如果萬(wàn)豪做足了功課，或許就可以避免現(xiàn)在面臨的巨額法律費(fèi)用和合規(guī)性罰款。在當(dāng)今數(shù)字時(shí)代，在任何并購(gòu)過(guò)程中，詳盡的網(wǎng)絡(luò)安全調(diào)查無(wú)疑都是必不可少的。

不光只有安全專家會(huì)強(qiáng)調(diào)這一點(diǎn)。美國(guó)律師協(xié)會(huì)同樣主張"了解收購(gòu)目標(biāo)漏洞的本質(zhì)和重要性、可能發(fā)生(或已經(jīng)發(fā)生的)的數(shù)據(jù)泄露事件的潛在損害范圍、目標(biāo)企業(yè)保護(hù)自身安全的網(wǎng)絡(luò)防御措施的范圍和有效性都是至關(guān)重要的。對(duì)這些問(wèn)題的正確評(píng)估可能會(huì)對(duì)收購(gòu)方對(duì)目標(biāo)公司的估值以及交易結(jié)構(gòu)產(chǎn)生重大影響。"

不可能每次都能成功緩解每一個(gè)威脅，因此網(wǎng)絡(luò)攻擊的代價(jià)確實(shí)非常大。一次成功的網(wǎng)絡(luò)攻擊以及由此引發(fā)的數(shù)據(jù)泄露會(huì)抹殺客戶的信任，并摧毀品牌。

唯一的出路

當(dāng)一家公司收購(gòu)另一家公司時(shí)，收購(gòu)的不僅僅只是資產(chǎn)。還要承擔(dān)目標(biāo)公司的風(fēng)險(xiǎn)。簡(jiǎn)單地說(shuō)，被收購(gòu)公司存在的安全缺口會(huì)成為收購(gòu)公司的安全缺口。

此外，缺乏詳盡的網(wǎng)絡(luò)安全調(diào)查還會(huì)破壞交易的價(jià)值驅(qū)動(dòng)因素。在萬(wàn)豪的案例中，一個(gè)很大的驅(qū)動(dòng)因素就是喜達(dá)屋高價(jià)值旅客的保留：他們都是會(huì)員計(jì)劃的一部分。由于這些客戶現(xiàn)在面臨著更換信用卡號(hào)、護(hù)照等煩惱，這一價(jià)值驅(qū)動(dòng)因素已經(jīng)不可避免地被破壞了。

企業(yè)必須將網(wǎng)絡(luò)安全納入到從最高層到IT的每一個(gè)業(yè)務(wù)結(jié)構(gòu)中，這是至關(guān)重要的。保護(hù)數(shù)字資產(chǎn)的安全不能僅僅委托給IT部門；而是必須將安全融入到產(chǎn)品和服務(wù)中，也許最重要的是，還要融入到研發(fā)計(jì)劃和業(yè)務(wù)措施中。以萬(wàn)豪為例，以130億美元收購(gòu)喜達(dá)屋，就代表了一項(xiàng)涉及董事會(huì)、最高層高管和管理人員的戰(zhàn)略措施--這些人現(xiàn)在都應(yīng)該對(duì)萬(wàn)豪品牌親和力的削弱負(fù)一部分責(zé)任。

正如Radware之前所提到的，當(dāng)涉及到會(huì)員計(jì)劃時(shí)，安全必須從被動(dòng)的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)。如果會(huì)員計(jì)劃的制定針對(duì)的是最有價(jià)值的客戶，那為什么安全性不能和為這些客戶提供服務(wù)的其他關(guān)鍵業(yè)務(wù)資產(chǎn)和基礎(chǔ)架構(gòu)保持一致呢？

萬(wàn)豪喜達(dá)屋數(shù)據(jù)泄露事件是一個(gè)讓人遺憾的案例，這就說(shuō)明了，為什么在涉及到確?？蛻趔w驗(yàn)時(shí)，CEO和高管團(tuán)隊(duì)必須帶頭定下基調(diào)。如果忽視了網(wǎng)絡(luò)安全或者將其作為事后的補(bǔ)救措施，潛在的損害就遠(yuǎn)不止金錢那么簡(jiǎn)單了。企業(yè)聲譽(yù)就會(huì)岌岌可危。