رییس، به نظر یک نشتی اطلاعات داریم!

سریما نازاریان

برت الیتون، مدیر عامل شرکت فلیتون الکترونیکز به یادداشتی ناراحت کننده از طرف مدیر امنیتی شرکت که روی میزش بود خیره شده بود. این مشکل امنیتی شب قبل نزدیک‌های ساعت ۹ به اطلاع او رسیده بود. او از یک جلسه با فروشندگان به خانه بر می‌گشت که صدای موبایلش در آمد. لاری بنسون، مدیر بخش «جلوگیری از زیان» بود.

«برت ما مشکلی داریم. فکر می‌کنم که یک نشتی اطلاعات روی داده است.» لاری که یک پلیس سابق شیکاگو بود، سه سال بود که مسوول امنیتی سازمان شده بود. او توانسته بود میزان دزدی از فروشگاه‌ها را کاهش دهد.

برت در حالی که صدایش مانند همیشه آرام بود جواب داد: «چه نوع نشتی اطلاعاتی؟»

«مطمئن نیستم. بانک با من تماس گرفت. آنها در بررسی منظمی‌که از کارت‌ها و حساب‌هایشان می‌کنند متوجه شده‌اند که تعداد زیادی از کارت‌های بد از ما استفاده می‌کنند. آنها قرار است اطلاعات بیشتری به من بدهند. ولی فکر کردم همین الان بدانی بهتر است.»

برت خبر‌های زیادی راجع به این قبیل سرقت‌ها شنیده بود. ولی سازمان او سازمانی کوچک تنها با ۳۲ مغازه در شش ایالت بود. آیا واقعا فیتون می‌توانست هدفی برای دزدی اطلاعات باشد؟

«لاری، فکر می‌کنم متوجه نشدم. یعنی آدم‌ها در مغازه‌های ما از کارت‌های اعتباری دزدی استفاده کرده‌اند؟ مگر صندوقدارها کارت‌ها را چک نمی‌کردند؟»

«به نظر مشکل از ما بوده است.»

قلمروی جدید

صبح روز بعد در دفتر، برت به نتایج جست‌وجو‌های دیشبش فکر می‌کرد. دزدی اطلاعات به شکل‌های مختلفی انجام می‌شد. دزدها اطلاعات کارت‌ها، شماره حساب‌ها و حتی آدرس‌های ‌ایمیل را می‌دزدیدند. به نظر برای هر چیزی در بازار سیاه مشتری وجود داشت. او تنها از اینکه اخیرا پول زیادی را صرف استاندارد‌های جدید محافظت از اطلاعات یا PCI کرده بود خوشحال بود.

لاری آن طرف میز نشسته بود. او برخورد با چنین مشکلی را پیش بینی کرده بود، ولی مقابله کردن با آن برای او قلمروی جدیدی بود. همه جرم‌هایی که او تا کنون با آنها مواجه شده بود، یک صحنه جرم داشتند. ولی این مورد فرق می‌کرد.

این چک روتین در بانک مشخص کرده بود که تقریبا ۱۵۰۰ حساب استفاده شده در مغازه‌ها مورد سوءاستفاده قرار گرفته‌اند. این عدد برای یک چک روتین عدد واقعا بزرگی بود. این بانک به بانک‌های دیگر هم اطلاع داده بود تا سایر کارت‌های اعتباری را هم بررسی کنند که ببینند آیا در آنها هم مشکلی پیش آمده است یا نه.

برت پرسید: «خودمان نباید متوجه می‌شدیم؟ ما از بانک‌ها به صورت منظم خبر می‌گیریم.»

«نه ضرورتا. اگر تراکنش‌ها در مغازه‌های ما با کلاهبرداری صورت می‌گرفت، می‌فهمیدیم. ولی مشکل اینجاست که همه خرید‌ها قانونی بوده است. ولی اطلاعات مشتریان در جای دیگری هم دارد به صورت غیرقانونی مورد استفاده قرار می‌گیرد. شاید این ۱۵۰۰ تا تنها بخش نمایان یک کوه یخی شناور باشد.»

برت با خود فکر می‌کرد که آیا PCI سازمان می‌توانست امنیت کافی ایجاد کند. «ما چه حد در خطر هستیم؟»

«مطمئن نیستم. دارندگان کارت‌ها از طرف بانکشان محافظت می‌شوند. ولی اینکه این برای ما چه معنایی دارد را نمی‌دانم.»

«اصلا چرا باید به مشتریانمان اطلاع دهیم؟ مگر بانک‌ها به آنها خبر نداده‌اند که از حسابشان سوءاستفاده شده است؟»

«به این سادگی هم نیست. بانک‌ها از ابزارهای پیچیده‌ای برای شناختن این جرم‌ها استفاده می‌کنند. ولی این شیوه‌ها غیردقیق هستند. تنها زمانی بانک‌ها متوجه مشکل می‌شوند که صورت حسابی پرداخت نشود یا دارنده کارت شکایت کند. اگر دارندگان حساب به‌اندازه کافی مراقب نباشند، گاهی مدت‌ها طول می‌کشد تا یک مشکل کشف شود. فکر می‌کنم گفتن به مشتریان که شاید از حسابشان سوء استفاده شده باشد، بهترین کار ممکن است.»

لاری صبح را صرف پیدا کردن نقاط حساس به دزدی کرده بود. زنجیره داده ساده بود، ولی یافتن ضعیف‌ترین بخش آن نه. در صندوق، مشتری کارت را به کارتخوان می‌داد و اطلاعات برای تایید یا رد شدن به بانک ارسال می‌شد. تنها چند ثانیه طول می‌کشید. بعدش تراکنش‌ها برای برخی گزارش‌ها در کامپیوتر‌های سازمان ذخیره می‌شد. شماره کارت‌ها قاعدتا نباید ذخیره می‌شد، ولی لاری همه بخش‌های فرآیند را به خوبی متوجه نمی‌شد. آیا کارتخوان‌ها هک شده بودند؟ آیا خط ارتباطی میان فروشگاه و بانک مشکل پیدا کرده بود؟ آیا داده‌های ذخیره شده جایشان امن بود؟ ممکن بود کار یک نفر از داخل سازمان باشد؟ یا کسی که اخراج شده بود؟

برت گفت: «امکان دارد این تنها اشتباه یک نفر بوده باشد؟ شاید یکی اطلاعات را اشتباهی به سطل زباله‌انداخته باشد. یا شاید تصادف باشد. اینکه ۱۵۰۰ نفر از مشتریانمان همزمان بدشانسی آورده‌اند.»

لاری گفت: «احتمال همه چیز هست. من باید اطلاعات بیشتری به دست بیاورم. بانک‌ها دارند جست‌وجو می‌کنند. چند روز طول می‌کشد تا همه چیز مشخص شود. در حال حاضر پیشنهاد این است که ما پیشینه همه آنهایی که ممکن است به حساب‌ها دسترسی داشته باشند را بررسی کنیم. همه چیز باید چک شود.»

«فکر می‌کنم سرگی همین الان هم این کار را شروع کرده است.» او می‌دانست که مدیر اطلاعاتی سازمان تا زمانی که منشا مشکل را پیدا نمی‌کرد آرام نمی‌گرفت.

لاری گفت: «آنها گفتند الان که بانک‌ها مشکل را فهمیده‌اند باید اجازه دهند از کارت‌ها استفاده شود تا زمانی که کلاهبرداری مشخص شود.»

«ولی مشتریان چه؟ ما نمی‌توانیم بگذاریم از آنها کلاهبرداری شود. این کسب و کار بر اساس اعتماد بنیان گذاشته شده است.»

«باید ببینیم بهترین کار چیست. از مشتریان که این پول‌ها گرفته نمی‌شود.»

دفاع ضعیف

برت به دفتر سرگی رفت و پرسید موضوع از چه قرار است و اینکه ما مگر از PCI استفاده نمی‌کنیم. سرگی جواب داده بود که استفاده کردن از PCI در سازمان نسبی است و اینکه آنها تقریبا ۷۵ درصد با آن سیستم تطبیق دارند. برت که عصبانی شده بود پرسید که مگر ما نباید حساب‌هایمان به صورت منظم از خارج از سازمان بررسی شود؟

«آنها ما را هر روز اسکن نمی‌کنند. تطبیق یافتن بیشتر به ما، یعنی در نهایت به من، برمی‌گردد.»

ارزش‌ها در خطر

دیوارهای دفتر برت پر از عکس‌ها از مشتریان در وضعیت‌های مختلف بود تا به کارکنان یادآوری شود که مشتریان تنها کیف‌های پول نیستند. وقتی برت به این عکس‌ها نگاه می‌کرد فکر کرد که شاید سازمان را سریع مجبور به رشد کرده است. شاید سازمان هنوز زیرساخت‌های لازم را نداشت. او تا الان به استراتژی‌اش اطمینان داشت. آیا او فلیتون را با سرمایه‌گذاری کم در خطر‌انداخته بود؟

بررسی نشتی

آخر آن روز برت با مدیران سازمانش جلسه‌ای تشکیل داده بود. لاری به همه گفت که بانک‌های دیگر هم جواب داده‌اند و اینکه تعداد حساب‌های در خطر خیلی بیشتر از ۱۵۰۰ تایی است که اول اعلام شده بود.

سرگی گفت که یک سوراخ پیدا کرده است. دیواره آتشی که خاموش بوده است. این دیواره قرار بود از سیستم انبار محافظت کند، ولی حالا که از کار افتاده است، اطلاعات سازمان به بیرون پخش می‌شود. ولی کسی که بخواهد از آنها استفاده کند باید خیلی نزدیک به مغازه‌ها باشد. چون ادامه پخش این اطلاعات خیلی زیاد نیست. برت به مدیر منابع انسانی نگاه کرد. بین فریدمن که چند پرونده در دست داشت گفت: «پنج نفر از افرادی که با اطلاعات سر و کار داشته‌اند از سازمان رفته‌اند. دو نفر استعفا داده‌اند. یک نفر مشکل اعتیاد داشت، یکی به دانشگاه رفته بود و یکی هم به خاطر سوءاستفاده از اینترنت اخراج شده بود.»

برت گفت: «خوب الان چند مظنون داریم» و به سمت مدیر ارتباطات سالی برگشت که صبح آن روز سه استراتژی برای این موقعیت پیشنهاد داده بود. اول اینکه در یک کنفرانس خبری همه چیز به مشتریان گفته شود. دوم ‌اینکه به مشتریان نامه نوشته شود که برت فکر می‌کرد شاید بیشتر شک بر انگیز باشد تا اطمینان بخش و سوم ‌اینکه تا زمانی که همه چیز مشخص نشده است چیزی به بیرون گفته نشود.

درل که یک مشاور خارجی در سازمان بود و دیشب از موضوع خبردار شده بود گفت: «ما هنوز از چیزی اطمینان نداریم و تجربه می‌گوید هر کس اول به مشتریان موضوع را می‌گوید از او شکایت می‌شود.»

فرنک مدیر مالی پرسید: «چه کسی می‌خواهد شکایت کند. از مشتریان که توسط بانک‌ها محافظت می‌شود؟»

«الان وارد این بحث نمی‌شوم. ولی ممکن است هر کسی از ما شکایت کند. هر شکایت هزینه‌های خودش را به همراه دارد و رسانه‌ها همه خبردار می‌شوند.»

فرنک پرسید: «مگر ما مجبور نیستیم همه چیز را رک به مشتریان بگوییم؟»

درل گفت: «در سه تا از شش تا ایالت چرا. ولی به نظر شما هنوز نمی‌دانید که فلیتون در این میان چه نقشی داشته است. شاید همه اینها تنها تصادفی باشد که کارت‌های مورد استفاده در اینجا مورد سوء استفاده قرار گرفته‌اند.»

برت پرسید: «یعنی کاری نکنیم؟»

درل گفت: «دقیقا و به سالی گفت: استراتژی تو این باشد که به کسی چیزی نگو. فقط بگو از طرف بانک‌ها به ما خبر رسیده است و ما داریم تماما با آنها همکاری می‌کنیم.»

برت گفت: «خوب این برای الان جواب می‌دهد. ولی قدم بعدی چیست؟» درل نشست.

برت ناراحت بود. دیشب متوجه شده بود که مشتریان مایل به خرید از مغازه‌هایی که در آنها احتمال نشتی وجود دارد نیستند. درل می‌گفت که فلیتون تنها برای انجام دادن کار درست و گفتن خبرها به همه، ممکن است خودش را در خطر بیندازد. ولی اعتبار سازمان به عدالتش بستگی داشت.

سالی گفت: «من متوجه شده‌ام که یکی از این حساب‌ها متعلق به یک مجری تلویزیونی است که احتمالا به زودی خبر را به دیگران می‌دهد.»

برت گفت: «پس اگر درست فهمیده باشم، ما مدارکی داریم که نشان می‌دهد یک نشتی رخ داده است. دو کارمند سابق داریم که شاید در این میان دست داشته باشند و شاید هم نداشته باشند. سه ایالت داریم که ما را مجبور به گفتن اخبار می‌کنند و یک مجری در میان قربانیان. اگر ما ماجرا را افشا کنیم، از ما شکایت می‌شود.

اگر نکنیم، داستان به شکلی درز می‌کند. اگر به پلیس‌ها وقت بدهیم احتمالا بتوانند کلاهبردار را بیابند، ولی مطمئن نیستیم. اعتبارمان در خطر است و رقبا به زودی وارد عمل می‌شوند که مشتریانمان را تصاحب کنند. چیزی را جا‌انداختم؟ در نهایت اینکه نام سازمان برای من ارزش خاصی دارد، برای مشتریان و کارکنانمان هم همین‌طور. ما امروز تصمیم می‌گیریم که چه کاری درست است.»

سوال: تیم فلیتون چگونه باید به این بحران پاسخ دهد؟

منبع: HBR