萬豪併購引發的網路安全事件給我們的啟示
如果說曾經有完美的資料洩露包裝案例,那就是萬豪最新披露的megabreach事件。兩週前,這家連鎖酒店宣佈,萬豪旗下的喜達屋酒店客房預訂系統曾在2014年遭受過黑客攻擊——就在萬豪收購喜達屋酒店資產(包括瑞吉酒店、威斯汀酒店、喜來登酒店和W酒店)的兩年前——此次攻擊可能導致5億顧客個人資訊的洩露。
結果幾乎是立竿見影的;就在宣佈資料洩露當天,在早盤交易中,萬豪的股價下跌了5%,並引發了兩起集體訴訟(其中一起索賠125億美元)。美國參議院也開始探討對安全違規事件實行更嚴厲的罰款和規定。到目前為止,一切都很正常。
但萬豪資料洩露事件中特別需要注意的是,在併購過程中明顯缺乏詳盡的網路安全調查。
絕不要跳過任何步驟
2016年9月,萬豪國際宣佈,完成了對喜達屋度假酒店集團的收購,成為了全球最大的酒店集團。萬豪在新聞中特別強調,兩個品牌合併後,可以向會員提供一流的會員計劃。
萬豪國際高管們沒有意識到,自2014年以來,黑客就已經獲得了對喜達屋會員計劃的未授權訪問,顧客的個人資訊暴露無遺,包括姓名、電話號碼、電子郵件地址、護照號碼、生日、信用卡號等。
然而,如果萬豪做足了功課,或許就可以避免現在面臨的鉅額法律費用和合規性罰款。在當今數字時代,在任何併購過程中,詳盡的網路安全調查無疑都是必不可少的。
不光只有安全專家會強調這一點。美國律師協會同樣主張“瞭解收購目標漏洞的本質和重要性、可能發生(或已經發生的)的資料洩露事件的潛在損害範圍、目標企業保護自身安全的網路防禦措施的範圍和有效性都是至關重要的。對這些問題的正確評估可能會對收購方對目標公司的估值以及交易結構產生重大影響。”
不可能每次都能成功緩解每一個威脅,因此網路攻擊的代價確實非常大。一次成功的網路攻擊以及由此引發的資料洩露會抹殺客戶的信任,並摧毀品牌。
唯一的出路
當一家公司收購另一家公司時,收購的不僅僅只是資產。還要承擔目標公司的風險。簡單地說,被收購公司存在的安全缺口會成為收購公司的安全缺口。
此外,缺乏詳盡的網路安全調查還會破壞交易的價值驅動因素。在萬豪的案例中,一個很大的驅動因素就是喜達屋高價值旅客的保留:他們都是會員計劃的一部分。由於這些客戶現在面臨著更換信用卡號、護照等煩惱,這一價值驅動因素已經不可避免地被破壞了。
企業必須將網路安全納入到從最高層到IT的每一個業務結構中,這是至關重要的。保護數字資產的安全不能僅僅委託給IT部門;而是必須將安全融入到產品和服務中,也許最重要的是,還要融入到研發計劃和業務措施中。以萬豪為例,以130億美元收購喜達屋,就代表了一項涉及董事會、最高層高管和管理人員的戰略措施——這些人現在都應該對萬豪品牌親和力的削弱負一部分責任。
正如Radware之前所提到的,當涉及到會員計劃時,安全必須從被動的災難恢復和業務連續性轉變為主動防護。如果會員計劃的制定針對的是最有價值的客戶,那為什麼安全性不能和為這些客戶提供服務的其他關鍵業務資產和基礎架構保持一致呢?
萬豪喜達屋資料洩露事件是一個讓人遺憾的案例,這就說明了,為什麼在涉及到確保客戶體驗時,CEO和高管團隊必須帶頭定下基調。如果忽視了網路安全或者將其作為事後的補救措施,潛在的損害就遠不止金錢那麼簡單了。企業聲譽就會岌岌可危。