如何告诉您的客户您已被黑客入侵 [Q&A]

网络攻击的短期成本是巨大的。 调查和遏制漏洞、重建 IT 系统和实施新的安全控制，以及生产力损失，都可能导致严重的财务压力。

然而，违规的长期成本往往更具破坏性。 不能很好地处理攻击的企业可能会遭受许多进一步的后果，包括声誉受损、客户忠诚度下跌和股价下跌。

我们采访了网络安全公司 FoxTech 的首席技术官 Anthony Green，讨论了在网络攻击发生后如何让客户站在组织一边。

BN：您如何确定是否有必要通知客户数据泄露？

AG：确实，并不总是需要通知客户发生了攻击。 英国数据隐私权威机构信息专员办公室 (ICO) 表示，只有在泄露的信息可以识别客户的情况下，才需要通知客户数据泄露 – 这包括姓名、出生日期、银行详细信息，以及护照或驾驶执照上的身份证号码。 ICO 有一个指南，说明什么是可识别的个人信息。

要确定是否已获取揭示客户身份的信息，第一步需要进行调查。 一旦企业意识到攻击，除了努力结束正在发生的事件，立即开始调查哪些数据已被访问、加密货币或被盗，并制定事件报告至关重要。 这项调查必须由内部网络安全专家或第三方网络安全公司快速彻底地进行。

BN：如果个人数据被盗，应该多快向 ICO 报告？

AG：个人数据泄露必须在组织意识到泄露后 72 小时内向 ICO 报告。 这是英国 GDPR 规定的一项法律义务，如果不这样做，可能会被处以高达 870 万英镑（974 万美元）或全球营业额 2% 的罚款。

BN：企业应该如何通知客户违规行为？

AG：最重要的是诚实。 客户理所当然地担心他们的数据被泄露。 他们可能需要采取措施保护自己免受欺诈性使用其信息的侵害，因此保持透明、承担责任并就违规事实提供定期、诚实的沟通是保持他们对您业务的信任的最佳方式。 大多数人不了解网络安全，因此请始终使用简单的英语。

确保客户知道他们数据的哪些方面已被泄露，以及下一步该做什么。 这可能是检查银行账户中的可疑付款、更改密码或寻找看似来自被破坏组织的网络钓鱼电子邮件。

如果调查仍在进行中并且并非所有信息都为人所知，那么企业应该对此诚实，并在客户披露与他们的个人信息相关的任何新发现时及时更新它们。

BN：组织是否需要为额外的客户支持渠道做出规定？

AG：为了处理大量的电话和客户咨询，组织很可能需要建立新的客户支持渠道和信息中心。

当达美航空公司在 2018 年通知客户其个人数据遭到破坏时，该公司创建了一个新网页，其中包含违规的概述和时间表，以及一个常见问题解答部分，为客户提供沟通渠道。 达美航空公司的案例在安全行业被视为如何很好地应对数据泄露的一个很好的例子。

确保客户知道他们可以去哪里寻求支持。 提供数据保护官员或组织中正在处理违规影响的任何人的联系方式

BN：企业是否需要向受影响的客户提供任何补偿？

AG：这不是法律要求，但在数据泄露后获得良好客户保留的组织通常会向受影响的个人提供某种形式的补偿。 这可能是支付保护个人信息的任何费用，或向受影响的客户提供折扣、免费服务或特别优惠的形式。

BN：有什么最后的建议吗？

AG：一旦处理了直接后果，不要羞于讨论违规行为。 让行业专家、客户甚至公众参与讨论违规行为，并展示您正在采取哪些措施来防止未来发生类似事件。 这不仅表明您愿意适应和承担责任，而且还可以让受影响的个人放心，并有助于教育其他公司为什么会发生安全事件，以及他们如何将自己的风险降到最低。

最后，无论组织是否成为网络攻击的受害者，所有公司都应制定事件响应计划，以确保他们准备好应对违规行为。 有用于创建此文档的国家网络安全中心指南。 如果没有内部网络安全专家，报告应指定第三方网络安全合作伙伴，该合作伙伴可以管理违规的技术方面。

图片来源：LisaA85/depositphotos.com