由不明網路犯罪集團所造成的 VTech 資料外洩事件目前案情正持續升高。就在一連串報導指出此次事件洩漏了客戶的個人身分識別資料之後 (儘管 VTech 的聲明不這麼認為),駭客又公布了一些 VTech 客戶的私人訊息和照片來證明這是一次近乎全面的資料外洩。
VTech 也是網路犯罪受害者,不過,眼前更迫切的問題是使用其產品的家長和兒童後續將面臨的危險。但 VTech 一開始的回應卻沒讓這問題獲得改善,反而變得更糟。還好過去 24 小時之內他們已經有所調整,在資訊公開方面更為坦然。
讓我們從這次事件當中學到教訓。站在防禦的一方,您可以採取下列作法來提升您企業處理資料外洩事件的能力。
開誠布公
您現在就得先想好一套資料外洩發生之後的對外通訊計畫。當您在處理資料外洩事件時,您需要一套明確清楚且合乎當下情況的應變計畫。
以下摘要列出您可能會用到的一些項目:
- 一封開誠布公的電子郵件 (給您的客戶),內容包括:
- 清楚交代被偷的資料細節。
- 提供一位聯絡窗口,這位聯絡窗口必須完全掌握整個情況,並且隨時準備回答任何疑問 (例如您對客戶的補救措施為何)。
- 一句誠懇的道歉。
- 未來相關通訊時間表。
- 一份媒體新聞稿,內容包括:
- 清楚交代被偷的資料細節。
- 說明您已採取什麼行動來通知客戶。
- 提供一位可對外說明並提供進一步資訊的媒體聯絡窗口。
- 一份公開坦誠的說明 (給您的利害關係人),內容包括:
- 清楚交代被偷的資料細節。
- 說明目前已知的資料外洩發生經過。
- 說明您已採取的應變措施。
- 針對未來您有何打算。
- 目前是誰在負責統籌所有對外通訊。
- 一個用來整合所有資訊的公開網址 (例如常見問答集)
- 一有最新發展,內容就應立即更新。
- 將此網址當成所有人的第一參考來源。
- 別將網址藏在企業網站的某個角落,確定使用者一到您的網站就能清楚看見。
