بدأ حجم الهجمات الإلكترونية التي يتعرض لها العالم يتزايد بشكل كبير، إذ وصل عدد اختراقات البيانات التي تعرضت لها المؤسسات في الولايات المتحدة إلى أكثر من 1,000 اختراق فقط في العام 2016، جاء معظمها عن طريق القرصنة أو السرقات الخارجية. ولا تنتهك هذه الاختراقات الشركات المتضررة من الحادثة فحسب، حيث أظهر البحث الذي قمنا به بعد دراسة المئات من حالات اختراق البيانات أنها تشكل موجات كبيرة تتأثر بها الشركات الأخرى في الصناعة ذاتها.
يُظهر بحثنا أنّ اختراقات البيانات تضر في بعض الحالات بمنافسي الشركة القريبين (بسبب الآثار الجانبية غير المباشرة)، إلا أنها تفيدهم كذلك في حالات أخرى (بسبب الآثار التنافسية). ووجدنا أنّ وجود سياسة خصوصية قوية لدى الشركات يمكنه حمايتها من الأضرار المادية المترتبة على اختراقات البيانات، وذلك من خلال تحلي الشركة بالشفافية أمام عملائها والسماح لهم بالتحكم في بياناتهم الشخصية، بينما يمكن أن تؤدي السياسة الضعيفة إلى تفاقم المشاكل التي يسببها الاختراق. ويعتبر هذا الدليل هو أول ما يوضح تضرر منافسي الشركة مادياً بشكل مباشر من اختراق معلوماتها ويقدم الحلول القابلة للتنفيذ، والتي من شأنها أن توفر على الشركات مئات الملايين من الدولارات.
يوضح هذا البحث أنّ الاختراقات تؤدي أحياناً إلى إحداث آثار جانبية غير مباشرة، إذ تظهر لدى المستثمرين فكرة "الجرم بالتبعية" التي تضر بالمنافسين القريبين من الشركة المخترقة. ومن الأمثلة على تضرر المنافسين من التأثيرات غير المباشرة: عملية اختراق البيانات التي تعرضت لها شركة إنفيديا (Nvidia) في يوليو/تموز 2012 التي تأثر بها 400,000 حساب مستخدم، إذ تضررت شركة أيه إم دي (Advanced Micro Devices) المنافسة لها وخسرت حوالي 48 مليون دولار في يوم الحادثة (انخفضت أسعار الأسهم بنسبة -1.4 في المئة) جراء تأثرها بحادثة اختراق بيانات شركة إنفيديا التي هيمنت على تأثيرات السوق بشكل عام. وبمعنى آخر، عندما استبعدنا من هذه الدراسة كافة الأحداث الأخرى التي قد تكون أثرت على انخفاض أسهم شركة أدفانسد مايكرو دفايسز، مثل الإعلان عن مدفوعات الأرباح أو توقيع العقود أو معلومات الإيرادات أو عمليات الاندماج والشراء، وجدنا أنّ الضرر البالغ الذي تعرضت له كان بسبب اختراق بيانات إنفيديا.
وفي الحقيقة، اشتملت التأثيرات غير المباشرة في العينة التي قمنا بدراستها انخفاضاً في أسعار الأسهم وصلت لأكثر من 8 مليون دولار تضررت به الشركات المنافسة في حالات أخرى لم يحدث فيها مثل هذه الاختراقات. وتُظهر نتائج الدراسة أنّ الأضرار المالية التي تتعرض لها أسعار أسهم الشركات المنافسة يمكن أن تستمر لعدة أيام بعد حادثة اختراق البيانات قبل أن تستقر مرة أخرى.
ومع ذلك، يمكن أن يصب الاختراق أحياناً في مصلحة الشركات المنافسة، إذ يساعد على خلق ميزات تنافسية. ومن الأمثلة على ذلك ما حدث عند تعرض شركة أنثيم (Anthem) لاختراق بيانات في فبراير/شباط 2015 تأثر به 80 مليون عميل. وأدى هذا الاختراق إلى كسب شركة أتنا (Aetna) حوالي 745 مليون دولار (ارتفعت أسعار الأسهم بنسبة 2.2 في المئة) في يوم الحادثة نتيجة للآثار التنافسية التي استفادت منها، والتي هيمنت كذلك على تأثيرات السوق عموماً. وفي هذه الحالة، تؤدي الاختراقات الكبيرة بهذا الشكل إلى قلق المستثمرين حيال حجم العملاء، وبالتالي اللجوء إلى الشركات المنافسة، ما يشكل دفعة إيجابية لصالح أسعار أسهم الشركات المنافسة.
ويشير البحث إلى أنّ حدة الاختراق أو عدد العملاء المتأثرين به يعد مقياساً أساسياً لمعرفة ما إذا كانت الشركات المنافسة سوف تتأثر سلبياً أم إيجابياً نتيجة لأزمة الشركة المنافسة لها. فعندما يزداد عدد العملاء المتضررين من الاختراق، تتحول تأثيرات سوق الأسهم بالنسبة للشركات المنافسة من السلبية إلى الإيجابية، وتصبح الآثار التنافسية هي الأكثر هيمنة. ويعني ذلك أنّ الاختراقات الصغيرة تشير إلى احتمال تعرض الشركات الأخرى في الصناعة ذاتها كذلك للقرصنة، أما اختراقات البيانات الكبيرة تعطي انطباعاً أنّ الشركة المعرضة للاختراق متورطة في مشكلة خاصة بها وحدها. ويُظهر البحث أنه في حالة اختراقات البيانات الكبيرة يرغب العملاء بشكل كبير في ترك الشركة المعرضة للاختراق، ويصب هذا السلوك المتوقع في مصلحة الشركات المنافسة وينعكس على عائدات الأسهم الخاصة بها.
والخبر الجيد، هو أنّ الشركات يمكنها ألا تقف مكتوفة الأيدي حيال هذه الآثار المترتبة على اختراقات البيانات، إذ توجد استراتيجيات عملية يمكنها الاستعانة بها لحماية نفسها ضد الآثار المترتبة على اختراقها أو التأثر باختراقات الشركات المنافسة. وباستخدام الدراسات التي تضم بيانات مئات العملاء الذين قمنا بتعيينهم في موقع أمازون ميكانيكال ترك (Amazon Mechanical Turk) بالإضافة إلى تحليلات بيانات الأسهم الخاصة بمئات الشركات خلال العقد الماضي، أظهر البحث الذي قمنا به أنّ الشركات يمكنها حماية نفسها من أضرار اختراق البيانات من خلال تطبيق ممارستين هامتين تركّزان على الخصوصية وتفيدان العملاء.
أولاً، على الشركات أن توضح للعملاء كيفية استخدام بيانتهم ومشاركتها. تعتمد ممارسات الخصوصية القائمة على الشفافية على إبلاغ العملاء بالمعلومات المحددة التي تجمعها الشركات وكيفية استخدامها (مثلاً، عنوان الآي بي وسجل البحث والترقيات والبيانات التي يتم بيعها لأطراف خارجية). ثانياً، يمكن للشركات إتاحة إمكانية تحكم العملاء بشكل كبير في استخدام بياناتهم ومشاركتها. وتتم إتاحة هذا التحكم عن طريق توفير الفرصة للعملاء لرفض الاشتراك في ممارسات البيانات الخاصة بالشركة (الترقية والتبادل مع الشركاء والبيع). ويساعد كل من هذين الأمرين معاً على تمكين العملاء فعلياً وتوفير المزيد من المعرفة لهم ومنحهم إمكانية المشاركة في ممارسات الشركة.
وفي الشركات التي كان لديها ممارسات خاصة تتميز بالشفافية في الدراسات التي أجريناها، شعر العملاء أنه يمكنهم اتخاذ قرارات واعية حول مشاركة بياناتهم الشخصية. وعندما أتاحت ممارسات الخصوصية لدى الشركة إمكانية التحكم في بياناتهم، أدرك العملاء أنه بإمكانهم تغيير تفضيلاتهم حول نوع البيانات التي تتم مشاركتها وكيفية القيام بذلك. وفي الدراسات التي أجريناها، لم يتخذ العملاء إجراءات عقابية تجاه الشركة المعرضة للاختراق، التي وفرت لهم الشفافية وإمكانية التحكم في بياناتهم. وأظهرت نتائج الدراسة أنّ العملاء الذين يتمتعون بميزات التحكم في بياناتهم يشعرون برغبة أكبر في مشاركة المعلومات ويكونون أكثر تسامحاً في حالة تعرض الشركة لاختراق بيانات الخصوصية، ويظلون أوفياء لها حتى بعد وقوع الحادثة. وأظهرت الدراسة أنّ عملاء الشركات التي توفر المزيد من الشفافية والتحكم يشعرون أنهم أقل تعرضاً للانتهاك من قبل ممارسات البيانات الكبيرة، كما أنهم أظهروا قدراً كبيراً من الثقة وقدموا بيانات أكثر دقة للشركة وبدوا أكثر ميلاً للتحدث بشكل إيجابي عن الشركة.
كما أنّ الشركات الحريصة بشكل أكبر على هذين الأمرين لم تتضرر أسعار أسهمها أثناء حوادث اختراق البيانات سواء كانت الحادثة لديها أو لدى الشركات المنافسة لها. ومع ذلك، لم ينطبق ذلك سوى على 10 في المئة فقط من شركات قائمة فورتشن 500 (Fortune 500).
ولدراسة كيفية تطبيق الشركة للممارسات التي تتيح المزيد من الشفافية والتحكم للعملاء، كان علينا النظر في الوسائل الموثوقة التي تشرح بها الشركات نهجها في التعامل مع خصوصية بيانات العملاء. وفي دراسة كيفية تطبيق الشركات للشفافية والتحكم في سياسات الخصوصية الخاصة بها، كان علينا أن نعرف لأي درجة تعتبر شركات فورتشن 100 محمية من التأثيرات السلبية لاختراقات البيانات. لذلك، قام فريق البحث بدراسة سياسات الخصوصية لكافة شركات فورتشن 100 لفهم الموقف بشكل أكبر.
وأظهرت النتائج أنّ بعض الشركات توفر مستويات عالية من الشفافية والتحكم للعملاء بخصوص بياناتهم، وتعتبر هذه الشركات محمية من آثار اختراقات البيانات. انظر الترتيب الموضح في الجدول "ما مدى جودة سياسات الخصوصية في شركات قائمة فوتشن 100؟". تعتبر شركات المراتب الأولى مثل كوستكو (Costco) وفيرايزون (Verizon) وهيوليت-باكارد (آتش بي) (HP) محمية من الآثار غير المباشرة المترتبة على تعرض أحد منافسيها إلى اختراق بيانات. تبين هذه الشركات بوضوح نوع البيانات التي تجمعها وكيفية جمعها وتتيح لعملائها قدراً كبيراً من التحكم وإبداء الرأي في عمليات مشاركة المعلومات واستخدامها.
ويوجد في الطرف الآخر من الترتيب شركات مثل سيتي غروب (Citigroup) ومورغان ستانلي (Morgan Stanley) وآتش سي أيه (HCA).
تعرضت شركة سيتي غروب لعملية اختراق بيانات شملت 146,000 سجل عميل فقدت على إثرها 1.3 مليار دولار من قيمة أسهمها. وبناء على التحليلات التي قمنا بها، إذا كانت هذه الشركة تتبع ممارسات تتيح شفافية وتحكم أكبر للعملاء، لكانت بلغت خسائرها حوالي 16 مليون دولار فقط من قيمة أسهمها، أي أنّ شركة سيتي غروب كانت ستوفر حوالي 820 مليون دولار إذا كانت وفرت لعملائها الشفافية والتحكم فحسب. ونتيجة لهذا الاختراق، أنفقت شركة سيتي غروب 250 مليون دولار على أنظمة الأمن السيبراني وعينت 1,000 مختص إضافي في تكنولوجيا المعلومات. ومع ذلك، تُظهر متابعتنا لممارستها أنها مازالت حتى وقت قريب (عام 2016) لا توفر مستويات عالية من الشفافية والتحكم. وبالتالي، بينما تعتبر أنظمة حماية تكنولوجيا المعلومات لديها سليمة، يُظهر بحثنا أنها لاتزال معرضة للخطر إذا مرت إحدى الشركات المنافسة بعملية اختراق.
وبالنظر إلى جدول الترتيب، نلاحظ أنّ الشركات الأخرى توفر ميزة واحدة فقط لعملائها. مثلاً، تتيح بعض الشركات الشفافية ولكنها تخفق في إتاحة إمكانية تحكم العملاء في بياناتهم (تحكم ضعيف). وأظهر البحث، أنّ هذا النهج لا يفضله العملاء.
وأخيراً، تعتبر الشركات التي لا توضح لعملائها كيف تستخدم بياناتهم ولا تتيح لهم التحكم فيها أكثر عرضة لخطر التعرض لأضرار مادية. ويوضح تحليل الخصوصية الذي قمنا به أنّ 80 في المئة من شركات قائمة فورتشن 500 تندرج تحت هذه الفئة. وأوضحت الدراسة التي أجريناها أنّ الشركات التي لم توضح ممارسات خصوصية البيانات لديها تعرضت لانخفاض في أسعار الأسهم أكبر بمقدار مرة ونصف من الشركات ذات الدرجة العالية من الشفافية، بينما لم تتأثر أسعار أسهم الشركات التي أتاحت لعملائها إمكانية التحكم في بياناتهم بشكل كبير بعد حوادث اختراق البيانات.
وفي النهاية، يمكن للشركات تطبيق ممارسات متعلقة بخصوصية البيانات لحماية نفسها من الآثار الجابية غير المباشرة المترتبة على إخفاق الشركات المنافسة في حماية خصوصية بياناتها، على أن تكون جهودها في سبيل ذلك حقيقية وهادفة. إلى جانب ذلك، يتعين على الشركات أن تبين بشكل واضح للعملاء كيف ستقوم بالوصول إلى بياناتهم واستخدامها ومشاركتها وحمايتها، كما يجب أن يقترن ذلك بتوفير إمكانية تحكم العملاء في استخدامات بياناتهم. وإخفاق الشركة في ذلك يجعلها عرضة للعديد من المخاطر والأضرار.