ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ
MASTER OF BUSINESS ADMINISTRATION (MBA GLOBAL)
COURSE: RISK MANAGMENT
ΕΡΓΑΣΙΑ:
MΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ ΤΗΣ ΔΙΑΡΡΟΗΣ ΔΕΔΟΜΕΝΩΝ ΤΗΣ EQUIFAX(2017)
ΜΕΤΑΠΤΥΧΙΑΚΟΣ ΦΟΙΤΗΤΗΣ:ΓΑΖΗΣ ΑΛΕΞΑΝΔΡΟΣ-ΠΑΣΧΑΛΗΣ
ΚΩΔΙΚΟΣ ΦΟΙΤΗΤΗ: 100609618
ΔΙΔΑΣΚΩΝ ΚΑΘΗΓΗΤΡΙΑ: ΑΛΙΜΠΑΚΗ ΔΗΜΗΤΡΑ
ΚΑΤΑΜΕΤΡΗΣΗ ΛΕΞΕΩΝ: 2234
ΕΡΓΑΣΙΑ ΥΠΟΒΛΗΘΕΙΣΑ ΕΩΣ : 12/05/2023
ΘΕΣΣΑΛΟΝΙΚΗ, ΜΑΙΟΣ 2023
Πίνακας περιεχομένων
ΠΕΡΙΛΗΨΗ ........................................................................................................................................................................ 3
ΕΙΣΑΓΩΓΗ ........................................................................................................................................................................... 4
1.Η ΣΤΑΣΗ ΤΗΣ EQUIFAX ΑΠΕΝΑΝΤΙ ΣΤΟΝ ΚΙΝΔΥΝΟ............................................................................. 5
2.ΔΙΑΘΕΣΗ ΑΝΑΛΗΨΗΣ ΚΙΝΔΥΝΟΥ ΤΗΣ EQUIFAX(RISK APPETITE)…………………………..………………………………6
3.ΕΝΤΟΠΙΣΜΟΣ ΤΩΝ ΚΙΝΔΥΝΩΝ ΓΙΑ ΤΗΝ EQUIFAX ΜΕΣΑ ΑΠΟ ΤΟ ΔΕΝΤΡΟ ΑΣΤΟΧΙΩΝ………………………….6
4. ΜΗΤΡΑ ΠΙΘΑΝΟΤΗΤΩΝ & ΕΠΙΠΤΩΣΕΩΝ ΓΙΑ ΤΗΝ EQUIFAX…………………………………………………………………7
5. ΟΙ ΕΠΙΠΤΩΣΕΙΣ ΤΩΝ ΚΙΝΔΥΝΩΝ ΣΤΗΝ ΛΕΙΤΟΥΡΓΙΑ ΤΗΣ EQUIFAX…………………………………………………………9
5.1. ΟΙ ΟΙΚΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ…………………………………………………………………………………………………………9
5.2. ΟΙ ΠΟΛΙΤΙΚΕΣ ΚΑΙ ΚΟΙΝΩΝΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ………………………………………………………………………………..10
ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΠΡΟΤΑΣΕΙΣ…………………………………………………………………………………………………………11
ΒΙΒΊΟΓΡΑΦΙΑ…………………………………………………………………………………………………………………………………….12
2
ΠΕΡΙΛΗΨΗ
Στην παρούσα αναφορά, επιχειρείται η μελέτη περίπτωσης του σκανδάλου που συνέβη το 2017 και αφορά
την εταιρεία Equifax και την διαρροή ευαίσθητων προσωπικών δεδομένων 147 εκατομμύριων πολίτων. Στα
επόμενα κεφάλαια θα πραγματοποιηθεί μια παρουσίαση της εταιρείας και του σκανδάλου που έλαβε χώρα,
θα προσδιοριστεί η στάση της εταιρείας απέναντι στο κίνδυνο και θα αναφερθούν και θα σχολιαστούν οι
ενέργειες που πραγματοποίησε. Στη συνέχεια θα αναλυθεί η διάθεση της εταιρείας για ανάληψη του
κινδύνου και των συνεπειών του, ενώ μέσω των μεθοδολογικών εργαλείων του Δέντρου Αστοχιών και της
μήτρας θερμότητας θα πραγματοποιηθεί η αναγνώριση του κινδύνου και τέλος θα γίνει αναφορά στις
συνέπειες και στις επιπτώσεις του κίνδυνου.
3
ΕΙΣΑΓΩΓΗ
Στην παρούσα έρευνα επιχειρείται η κριτική αξιολόγηση της Αμερικάνικης πολυεθνικής Equifax, με κύριο
αντικείμενο δραστηριοποίησης τις υπηρεσίες καταναλωτικής πίστης. Η αξιολόγηση πραγματοποιείται
μέσω της κατασκευής ενός επιχειρηματικού πλάνου κίνδυνου βασιζόμενο στην παραβίαση δεδομένων
που δέχθηκε η εταιρεία το διάστημα μεταξύ Μάϊου & Ιουλίου 2017, η οποία αποτελεί ένα από τα
μεγαλύτερα εγκλήματα που έχουν διαπραχθεί στον κυβερνοχώρο, όπου τα στοιχεία 147 εκατομμύριων
πολιτών παραβιάστηκαν. Βασικός σκοπός της εργασίας είναι εστιασμένη και ενδελεχής ανάλυση του
ρίσκου για την εταιρεία ακολουθούμενη από την ανάδειξη των επιπτώσεων και την προσπάθεια
αντιμετώπισης και μετριασμού τους.
Εικόνα 1. Λογότυπο της εταιρείας EQUIFAX
Η Equifax ιδρύθηκε το 1899 στην Ατλάντα των Η.Π.Α. και δραστηριοποιείται συνολικά σε 24 χώρες στην
Αμερική, την Ευρώπη και την Ασία, ενώ διαθέτει 14.000 υπαλλήλους παγκοσμίως και αποτελεί μία από τις
3 μεγαλύτερες εταιρείες στον τομέα της. Κύρια δραστηριότητα της εταιρείας είναι η παροχή υπηρεσιών
καταναλωτικής πίστης, συλλέγοντας και αναλύοντας δεδομένα για ιδιώτες και επιχειρήσεις βοηθώντας
4
στην λήψη μελλοντικών αποφάσεων και στην εκπλήρωση των αναγκών τους. Επίσης προσφέρει υπηρεσίες
παρακολούθησης πιστώσεων και πρόληψης οικονομικής απάτης (EQUIFAX,2023)
To όραμα της εταιρείας είναι να παρέχει την απαραίτητη τεχνοοικονομική γνώση στους πελάτες
της ,ιδιώτες και επιχειρήσεις βοηθώντας τους να δημιουργήσουν υγιείς οικονομικές σχέσεις στον τομέα
δραστηριοποίησης τους και να εξελιχθούν σε ένα ασφαλές πλαίσιο.
1. Η ΣΤΑΣΗ ΤΗΣ EQUIFAX ΑΠΕΝΑΝΤΙ ΣΤΟΝ ΚΙΝΔΥΝΟ
Η παραβίαση ασφαλείας που δέχθηκε η Equifax το 2017, με την διαρροή ευαίσθητων προσωπικών &
οικονομικών δεδομένων 147 εκατομμυρίων πολιτών αποτελεί, μέχρι σήμερα την περισσότερο δαπανηρή
παραβίαση ασφαλείας. Η αντίδραση της εταιρείας ήταν εξαιρετικά ράθυμη & επιζήμια καθώς η πρώτη
ενημέρωση σχετικά με την παραβίαση δεδομένων πραγματοποιήθηκε έπειτα από 40 ημέρες ενώ
ταυτόχρονα όσο η παραβίαση βρισκόταν εν εξελίξει, τρία ανώτερα στελέχη της εταιρείας στις ΗΠΑ
προχώρησαν στην πώληση μετοχών 1.8 εκατομμύριων δολαρίων. (Martin A.,2017)
Η πρώτη αντίδραση της εταιρείας, ήρθε από τον τότε CEO της, Richard Smith, oπου πραγματοποίησε
δηλώσεις οπού έθιξε την σημαντικότητα του ζητήματος και της βαθιάς κρίσης που προκάλεσε στην ύπαρξη
και την δραστηριότητα της εταιρείας, ενώ απολογήθηκε και για την αναστάτωση την οποία προκάλεσε η
διαρροή εκατομμύριων δεδομένων. Σημαντική παράλειψη αποτέλεσε η απουσία δηλώσεων για το τι
προτίθεται να κάνει η εταιρεία προκειμένου να διασφαλιστεί η ακεραιότητα των δεδομένων της και να
μετριαστούν οι επιπτώσεις.
Στη συνέχεια η εταιρεία δημιούργησε ένα τηλεφωνικό κέντρο για την ενημέρωση των πελατών της,
ταυτόχρονα με τον ιστότοπο www.equifaxsecurity2017.com, όπου οι καταναλωτές θα μπορούσαν να
ελέγξουν αν έχουν παραβιαστεί τα προσωπικά τους δεδομένα, ο οποίος όμως λειτουργούσε ως εικονικός
ιστότοπος εξαπάτησης, ενώ δεν ήταν καταχωρημένος στην ιδιοκτησία της εταιρείας και η γενικότερη
εμφάνιση και λειτουργία του ήταν πρόχειρή, δημιουργώντας εν τέλει μεγαλύτερη σύγχυση στους χρήστες
παρά διευκολύνοντας τους να ελέγξουν αν όντως έχουν υποστεί παραβίαση δεδομένων .
Επιπρόσθετα η εταιρεία, είχε συμπεριλάβει στους όρους και τις προϋποθέσεις χρήσης του ιστοτόπου, την
παραίτηση από το δικαίωμα ενός ατόμου να καταθέσει μήνυση σε αυτή, προκαλώντας τοιουτοτρόπως την
αντίδραση όσων ήθελαν να πραγματοποιήσουν έλεγχο για την παραβίαση των δεδομένων τους,
προδικάζοντας τις διαθέσιμες επιλογές τους για την υπεράσπιση των συμφερόντων τους και ενισχύοντας
την ήδη αρνητικά διαμορφωμένη κοινή συνείδηση προς αυτήν
(Janecek J.,Deniss J.,2018).
Στα επόμενα βήματα της η Equifax, ανακοίνωσε μέσω του CEO της, την προσφορά ενός ολοκληρωμένου
5
πακέτου προστασίας τόσο από κλοπή ταυτότητας όσο και παρακολούθησης πιστώσεων, με την ονομασία
TrustedID Premier, αφιλοκερδώς σε κάθε Αμερικανό πολίτη. Το κόστος υπολογίζεται σε 19.95 $/ άτομο ενώ
αν υπολογιστεί στον συνολικό ενήλικο πληθυσμό των ΗΠΑ(~ 250 εκ./ Απογραφή 2016) προσφέρει
δυνητικές υπηρεσίες περίπου 60 δισεκατομμυρίων δολαρίων.(Bracy,2017)
Είναι ξεκάθαρο ότι η Equifax, σε πρώτο επίπεδο απέτυχε παταγωδώς να προστατεύσει τα δεδομένα των
πελατών της, καταφέρνοντας ουσιαστικά να αποδημήσει την κύρια δραστηριότητα της, αφού εκατομμύρια
δεδομένα όπως ευαίσθητα πιστωτικά αρχεία παραβιάστηκαν(Wang and Johnson,2018) αλλά έτι
περισσότερο απέτυχε να ανταποκριθεί κατάλληλα στην παραβίαση τους δημιουργώντας και εκτελώντας
ένα εφιαλτικό σενάριο τόσο για την ίδια αλλά κυρίως για τα εκατομμύρια των πολιτών που επηρεάστηκαν.
2. ΔΙΑΘΕΣΗ ΑΝΑΛΗΨΗΣ ΚΙΝΔΥΝΟΥ ΤΗΣ EQUIFAX(RISK APPETITE)
Ως διάθεση ανάληψης κινδύνου ορίζεται το ποσό του κίνδυνου που είναι διατεθειμένη μια εταιρεία να
αναλάβει για την επιδίωξη των σκοπών της και την επιδίωξη αξίας(Prewett and Terry,2018).
Σύμφωνα με το ινστιτούτο BCM(2012) η διάθεση ανάληψης κινδύνου αφορά το ποσοστό του κινδύνου που
η εταιρεία είναι έτοιμη να αποδεχθεί, ανεχθεί και ναι εκτεθεί σε αυτόν οποιαδήποτε χρονική στιγμη.
Στην περίπτωση της Equifax λαμβάνοντας υπόψιν ότι το μοναδικό στέλεχος που εξαναγκάστηκε σε
παραίτηση, αναφορικά με το σκάνδαλο παραβίασης δεδομένων ήταν ο CEO, Richard Smith, οδηγούμαστε
στα εξής συμπεράσματα.





Η Equifax δεν επιχείρησε να μοιραστεί την ευθύνη με κάποιο συνεργάτη, αντιθέτως απορρόφησε
όλη την ένταση και αντιμετώπισε τις συνέπιες αποκλειστικά η ίδια.
Ο CEO της, λειτούργησε ως εξιλαστήριο θύμα, λαμβάνοντας ουσιαστικά την πλήρη ευθύνη για το
γεγονός, προστατεύοντας ουσιαστικά τα υπόλοιπα ανώτερα στελέχη αλλά και την εταιρεία ως
οντότητα.
Η εταιρεία προσπάθησε να προσωποποιήσει την ευθύνη αποκλειστικά στον CEO της, ο οποίος
ανακοίνωσε την απόσυρση τους αναλαμβάνοντας την πλήρη ευθύνη μόλις 3 εβδομάδες μετά την
αποκάλυψη του σκανδάλου και ενώ η έρευνα βρισκόταν εν εξελίξει.(Wang and Johnson, 2018)
Η ανάληψη της ευθύνης από ένα μόνο άτομο, καθώς και η χρονική στιγμή που αυτή
πραγματοποιήθηκε δεν ευνόησε την εταιρεία, ούτε βελτίωσε το κλίμα και την περιρρέουσα
ατμόσφαιρα για αυτή, αφού η μετοχή της συνέχισε να παρουσιάζει τεράστια πτώση.
Παρόλο τις ενέργειες που πραγματοποίησε, η Equifax, πέρα από τις δηλώσεις του πρώην CEO της
δεν προχώρησε σε επιπλέον ενέργειες που να επικοινωνούν στο ευρύ κοινό τις προθέσεις της και
τις ενέργειες της για την αντιμετώπιση του κινδύνου.
6
3. ΕΝΤΟΠΙΣΜΟΣ ΤΩΝ ΚΙΝΔΥΝΩΝ ΓΙΑ ΤΗΝ EQUIFAX ΜΕΣΑ ΑΠΟ ΤΟ ΔΕΝΤΡΟ ΑΣΤΟΧΙΩΝ
Ένας από τους περισσότερο κρίσιμους παράγοντες που οδήγησαν στην τεράστια παραβίαση δεδομένων
είναι η ευπάθεια στο σύστημα ασφαλείας που εντοπίστηκε στο Apache Struts CVE-2017-5638, το οποίο η
εταιρεία δεν είχε αναβαθμίσει ως όφειλε. Συγκεκριμένα το Apache, είναι ένας διακομιστής ανοιχτού
κώδικα που επιτρέπει στις εταιρείες την διαχείριση ιστοτόπων, βάσεων δεδομένων και διαφόρων
εφαρμογών ιστού(Popken,2017). Αυτό όμως ήταν η κορυφή του παγόβουνου, καθώς ήδη από το 2015 είχε
επισημανθεί από την διευθύντρια πωλήσεων Susan Mauldin, ότι δεν υπάρχει ενιαία πολιτική για τις
ενημερώσεις που απαιτούνται για την ασφάλεια του δικτύου, με αποτέλεσμα να μην γίνονται οι
ενημερώσεις σε σωστό χρόνο και να μην αντιμετωπίζονται τα τρωτά σημεία στο σύστημα ασφαλείας της
εταιρείας και να δημιουργούνται παραπάνω ζητήματα. Επίσης σε έλεγχο που πραγματοποιήθηκε
διαπιστώθηκε ότι το τμήμα ΙΤ, γνώριζε για τα τρωτά σημεία στο σύστημα ασφαλείας και μεγάλο μέρος
αυτών ήταν γνωστό για παραπάνω από ένα χρόνο. Επιπρόσθετα, υπήρχε ασυνεννοησία μεταξύ των 5
παραρτημάτων καθώς αν δεν ενημερωνόταν το κατάλληλο παράρτημα για την επίλυση των ζητημάτων
ασφαλείας, αυτό δεν ενεργούσε και δεν εφάρμοζε κάποια προληπτική αναβάθμιση του υπάρχοντος
συστήματος ή κώδικα ασφαλείας, ενώ αν ενημερωνόταν και εφάρμοζε την αναβάθμιση δεν υπήρχε η
διαδικασία επαλήθευσης και ελέγχου για την επιτυχία η όχι της αναβάθμισης. Το γενικό συμπέρασμα από
τα παραπάνω είναι ότι η EQUIFAX, δεν είχε την πλήρη εικόνα της υποδομής ασφάλειας δικτύου καθώς και
των κενών που αυτή παρουσίαζε σε οργανωτικό και εκτελεστικό επίπεδο. Ουσιαστικά, δεν υπήρχε ένα απλό
και κατανοητό οργανόγραμμα το οποίο θα βοηθούσε στην κατανομή των αρμοδιοτήτων και των
εξουσιοδοτήσεων που απαιτούνται, ώστε να δομηθεί ένα σύστημα εσωτερικού ελέγχου που θα
προλάμβανε και θα αντιμετώπιζε όλες τις προαναφερθέντες καταστάσεις.
Παρακάτω παρουσιάζεται με την μορφή ενός Δέντρου αστοχιών τα βασικά συμβάντα που οδήγησαν στην
διαρροή δεδομένων.
ΠΑΡΑΒΙΑΣΗ ΑΣΦΑΛΕΙΑΣ -ΔΙΑΡΡΟΗ
ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
ΕΚΑΤΟΜΜΥΡΙΩΝ ΧΡΗΣΤΩΝ
ΑΣΥΝΕΝΝΟΗΣΙΑ
ΜΕΤΑΞΥ
ΕΜΠΛΕΚΟΜΕΝ
ΩΝ ΦΟΡΕΩΝ
ΑΠΟΥΣΙΑ ΕΝΙΑΙΑΣ
ΠΟΛΙΤΙΚΗΣ ΓΙΑ ΤΙΣ
ΕΝΗΜΕΡΩΣΕΙΣ
ΑΣΦΑΛΕΙΑΣ
ΔΙΚΤΥΟΥ
OR
OR
ΕΥΠΑΘΕΙΑ
ΣΤΟ ΣΥΣΤΗΜΑ
ΑΣΦΑΛΕΙΑΣ
ΔΙΚΤΥΟΥ
ΛΑΘΟΣ
ΧΡΟΝΙΚΟΣ
ΠΡΟΓΡΑΜΜΑΤΙ
ΣΜΟΣ
ΕΝΗΜΕΡΩΣΕΩΝ
7
AND
ΑΠΟΥΣΙΑ
ΠΡΟΛΗΠΤΙΚΟΥ
ΕΛΕΓΧΟΥ
ΑΣΦΑΛΕΙΑΣ
ΔΙΚΤΥΟΥ
ΑΠΟΥΣΙΑ
ΣΥΣΤΗΜΑΤΟΣ
ΕΠΑΛΗΘΕΥΣΗΣ
ΕΠΙΤΥΧΩΝ Η
ΑΝΕΠΙΤΥΧΩΝ
ΕΝΗΜΕΡΩΣΕΩΝ
ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΟΥ
BΑΣΙΚΟ ΓΕΓΟΝΟΣ
ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ 147 ΕΚΚΑΤΟΜΥΡΙΩΝ
ΠΟΛΙΤΩΝ ΛΟΓΩ ΕΥΠΑΘΕΙΑΣ ΣΤΟ ΔΙΚΤΥΟ ΑΣΦΑΛΕΙΑΣ ΤΗΣ
ΕΤΑΙΡΕΙΑΣ
Σχήμα 1. Σχηματική αναπαράσταση των γεγονότων που οδήγησαν στην παραβίαση ασφαλείας
της EQUIFAX, μέσω του δέντρου αστοχιών(Fault Tree)
4. ΜΗΤΡΑ ΠΙΘΑΝΟΤΗΤΩΝ & ΕΠΙΠΤΩΣΕΩΝ ΓΙΑ ΤΗΝ EQUIFAX
Το γεγονός με την παραβίαση δεδομένων βρίσκεται στην κόκκινη περιοχή ως ένας από τους περισσότερους
σημαντικούς κίνδυνους που μπορεί να αντιμετωπίσει μια εταιρεία, ο οποίος οδήγησε σε μεγάλο πλήγμα
της φήμης και προκάλεσε οικονομική επιβράδυνση στις εισροές της εταιρείας. Σίγουρα η EQUIFAX, δεν
αντιμετώπισε το φάσμα της επιχειρηματικής διακοπής, αλλά τόσο η φήμη της όσο και η πιστοληπτική της
ικανότητα
δέχθηκαν
καίρια
χτυπήματα.
Λαμβάνοντας υπόψιν τα παραπάνω, διακρίνεται ο κίνδυνος από τις διαταραχές των
τεχνολογιών(πορτοκαλί περιοχή), όπως επίσης και ο κίνδυνος αδυναμίας στελέχωσης της εταιρείας με νέα
και ικανά ταλέντα, που θα είχανε προβλέψει και αποτρέψει την διαρροή δεδομένων που συνέβη στην
εταιρεία.
Άρα όλα τα προαναφερθέντα είναι αυτά που συνδυαστικά οδήγησαν στην παραβίαση των δεδομένων και
το
σκάνδαλο
το
οποίο
προκλήθηκε
εν
τέλει.
Όσο αφορά τους υπολοίπους κινδύνους στον πίνακα, σημαντικοί αλλά όχι άμεσα επικίνδυνοι για την
εταιρεία είναι η μειωμένη αγοραστική δύναμη, ο κίνδυνος ρευστότητας, η ανεπαρκής καινοτομία, οι
συγκεκριμένες
νομοθετικές
ρυθμίσεις
καθώς
και
η
αύξηση
του
ανταγωνισμού.
8
Πίνακας 1. Μήτρα Πιθανοτήτων – Επιπτώσεων της EQUIFAX
5. ΟΙ ΕΠΙΠΤΩΣΕΙΣ ΤΩΝ ΚΙΝΔΥΝΩΝ ΣΤΗΝ ΛΕΙΤΟΥΡΓΙΑ ΤΗΣ EQUIFAX
Οι επιπτώσεις από την επίθεση στην Equifax, με την διαρροή ευαίσθητων προσωπικών δεδομένων 147
εκατομμυρίων χρηστών είχε πολυποίκιλες επιπτώσεις σε οικονομικό, κοινωνικό και πολιτικό επίπεδο. Η
παραβίαση ασφαλείας προκάλεσε αλυσιδωτές εξελίξεις τόσο στο εσωτερικό περιβάλλον της εταιρείας, όσο
και στο εξωτερικό περιβάλλον επηρεάζοντας τον κλάδο δραστηριοποίησης της, καθώς και το πολιτικό και
κοινωνικό γίγνεσθαι κυρίως στις ΗΠΑ.
5.1.
ΟΙ ΟΙΚΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ
Στο διάστημα που το σκάνδαλο με την διαρροή δεδομένων βρισκόταν εν εξελίξει, η μετοχή της εταιρείας
παρουσίασε εξαιρετικά αρνητική διακύμανση. Συγκεκριμένα στις 7 Σεπτεμβρίου η μετοχή κυμαινόταν στα
142,73 $, ενώ μετά την ανακοίνωση του σκανδάλου η μετοχή υπέστη μείωση κατά 13,66 %. Την επόμενη
εργάσιμή ημέρα στις 8 Σεπτεμβρίου η τιμή της μετοχής διαμορφωνόταν στα 123,23 $ ενώ στις 13
ΕΝΕΡΓΕΙΑΚΗ ΚΡΙΣΗ
ΑΝΕΠΑΡΚΗΣ
ΚΑΙΝΟΤΟΜΙΑ
ΔΙΑΤΑΡΑΧΕΣ ΤΩΝ
ΤΕΧΝΟΛΟΓΙΩΝ
ΚΑΤΑΣΤΡΟΦΗ
ΦΗΜΗΣ
ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ
ΔΙΑΚΟΠΗ
Η ΟΡΘΟΤΕΡΑ
ΔΗΜΙΟΥΡΓΙΑ
ΑΛΓΕΙΝΗΣ
ΕΝΤΥΠΩΣΗΣ ΓΙΑ
ΤΗΝ ΦΗΜΗ ΤΗΣ
ΕΤΑΙΡΕΙΑΣ
ΠΟΛΙΤΙΚΟΣ
ΚΙΝΔΥΝΟΣ
ΑΒΕΒΑΙΟΤΗΤΕΣ
ΣΥΓΚΕΚΡΙΜΕΝΕΣ
ΝΟΜΟΘΕΤΙΚΕΣ
ΡΥΘΜΙΣΕΙΣ
ΔΙΑΚΟΠΗ ΑΛΥΣΙΔΑΣ ΚΙΝΔΥΝΟΣ
ΕΦΟΔΙΑΣΜΟΥ
ΔΙΑΚΥΜΑΝΣΗΣ
ΤΙΜΗΣ
ΠΡΟΪΟΝΤΩΝ
ΔΙΑΡΚΩΣ
ΜΕΙΩΜΕΝΗ
ΑΓΟΡΑΣΤΙΚΗ
ΔΥΝΑΜΗ
ΑΔΥΝΑΜΙΑ
ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ
ΠΡΟΣΕΛΚΥΣΗΣ &
CYBER ATTACK
ΔΙΑΤΗΡΗΣΗΣ
ΝΕΩΝ
ΤΑΛΕΝΤΩΝ
ΑΥΞΗΣΗ ΤΟΥ
ΑΝΤΑΓΩΝΙΣΜΟΥ
ΚΙΝΔΥΝΟΣ
ΡΕΥΣΤΟΤΗΤΑΣ
ΟΙΚΟΝΟΜΙΚΗ
ΕΠΙΒΡΑΔΥΝΣΗ
Σεπτεμβρίου η τιμή της μετοχής κατέγραψε κατακόρυφη πτώση κατρακυλώντας στα 98,99 $ σπάζοντας το
αρνητικό φράγμα των 100 $(Πτώση Μετοχής,2017). Στις 15 Σεπτεμβρίου η τιμή της μετοχής διαμορφώνεται
στα 92,98 $ έχοντας υποστεί συνολική ποσοστιαία μείωση της τάξης του 34,85 %. Είναι ξεκάθαρη η
9
αντίδραση των αγορών τόσο απέναντι στο σκάνδαλο που έλαβε χώρα για την Equifax όσο και στην
καθυστερημένη και λάθος σχεδιασμένη και εκτελεσμένη αντίδραση της εταιρείας.
Η τιμή της μετοχής αρχίζει να έχει ανοδική πορεία 11 μέρες αργότερα στις 18 Σεπτεμβρίου με την τιμή της
να διαμορφώνεται στα 94,38 $ η οποία συνεχίζεται και 6 μήνες μετά το σκάνδαλο κυβερνοεπίθεσης , την
1η Μαρτίου η τιμή διαμορφώνεται στα 111,50 $ έχοντας σίγουρα μεγάλη διαφορά από το ιστορικό χαμηλό
(92,98 $) αλλά απέχοντας αρκετά και από την τιμή της μετοχής πριν την ανακοίνωση του(142,73 $)
καταδεικνύοντας την ζημιά που έχει υποστεί(Μανώλη, 2021) .
Στο παρακάτω πίνακα καταδεικνύεται ξεκάθαρα η διαφορά στην τιμή της μετοχής στο διάστημα μεταξύ 7
έως 15 Σεπτεμβρίου, καθώς περιλαμβάνεται η τιμή της μετοχής τόσο κατά το άνοιγμα και το κλείσιμο του
χρηματιστηρίου αλλά και η διακύμανση της κατά την διάρκεια λειτουργίας του χρηματιστηρίου
Πίνακας 2. Η τιμή της μετοχής της Equifax στο χρηματιστήριο της Νέας Υόρκης το διάστημα 7 έως 21 Σεπτεμβρίου 2017
Παρακάτω στο Γράφημα 1, εμφανίζεται η ποσοστιαία διαφορά της μετοχής για το διάστημα 7 έως 21
Σεπτεμβρίου. Είναι χαρακτηριστικό ότι η τιμή της μετοχής υπέστη τρομερή πτώση η οποία σταμάτησε στις
18 Σεπτεμβρίου όπου άρχισε και η σταδιακή αύξηση της τιμής, που συνεχίστηκε έκτοτε.
Τιμή Μετοχής της Equifax
160
140
120
100
142,72
123,23
113,12 115,96
98,99 96,66
92,98
94,38 94,87
96
98,25
80
60
40
20
0
10
Γράφημα 1. Η τιμή της μετοχής της EQUIFAX το διάστημα 7 έως 18 Σεπτεμβρίου 2017
Πέρα από τις συνέπειες στην τιμή της μετοχής της Equifax, η εταιρεία βρέθηκε αντιμέτωπη με οικονομικές
συνέπειες που αφορούν το κόστος για τα μέτρα αντιμετώπισης που κλήθηκε να λάβει για τον περιορισμό
του σκανδάλου και της ζημίας που έχει προκαλέσει. Συγκεκριμένα, βασιζόμενοι στην Μανώλη(2021), η
Equifax ήρθε άμεσα αντιμέτωπη με τις αγωγές που κατατέθηκαν εις βάρος τόσο από Ομοσπονδιακά
Δικαστήρια όσο και από δικηγορικές εταιρείες που κατέθεταν ομαδικές αγωγές πολιτών. Συνολικά η
εταιρεία κατέβαλε σε διακανονισμούς ένα ποσό που ανέρχεται στα 700 εκατομμύρια δολάρια , ενώ
δεσμεύτηκε να επενδύσει μέσα στην επόμενη πενταετία 1 δις δολάρια για την την ανασυγκρότηση, εξέλιξη
και θωράκιση των συστημάτων ασφαλείας της.
5.2.
ΟΙ ΠΟΛΙΤΙΚΕΣ & ΚΟΙΝΩΝΙΚΕΣ ΣΥΝΕΠΕΙΕΣ
‘Όπως είναι εύκολα αντιληπτό, το σκάνδαλο της με την διαρροή δεδομένων εκατομμυρίων πολιτών, δεν
επέφερε συνέπειες μόνο στην εταιρεία την ίδια, αλλά επίσης και στην πολιτική ηγεσία των χωρών από όπου
κατάγονται οι πολίτες. Ως αποτέλεσμα της παραβίασης, η Equifax αντιμετώπισε έντονο έλεγχο από
νομοθέτες και ρυθμιστικούς φορείς, συμπεριλαμβανομένης της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC)
και
του
Γραφείου
Οικονομικής
Προστασίας
των
Καταναλωτών
(FTC,2017)
Χαρακτηριστικό παράδειγμα αποτελεί η δήλωση του Mark Warner, αντιπρόεδρο της Επιτροπής
Πληροφορίων της Γερουσίας, ο οποίος δήλωσε ότι "η παραβίαση που αποτελεί πραγματική απειλή για την
οικονομική ασφάλεια των Αμερικανών".(Liberal,2017)
Μια τέτοιά δήλωση από κάποιον με την συγκεκριμένη θέση καταδεικνύει την αρνητική αίσθηση που είχε
προκαλέσει στην κοινή γνώμη το περιστατικό και τις πολιτικές προεκτάσεις που είχε επιφέρει,
καθιστώντας την πολιτική ηγεσία σε μια δύσκολη θέση τόσο υπεράσπισης των συμφερόντων των πολιτών
όσο και προάσπισης των συμφερόντων των αγορών. Τον αντίκτυπο του σκανδάλου, τονίζει και η έρευνα
των Novak και Vilceanu(2019), σχετικά με την χρήση των social media στην διάδοση των πληροφορίων για
τις εξελίξεις σχετικά με την υπόθεση καθώς βοήθησαν στην ραγδαία εξάπλωση της πληροφορίας
καθιστώντας τα ως μία από τις δημοφιλέστερες αναζητήσεις στο Twitter. Είναι ξεκάθαρο από κάθε
πλευρά, ότι η διαρροή δεδομένων 147 εκατομμύριων πολιτών δεν είναι μια απλή υπόθεση και επηρέασε
την Equifax, την κοινωνία των Η.Π.Α. κυρίως καθώς και την πολιτειακή ηγεσία στις διάφορες πολιτείες.
ΣΥΜΠΕΡΑΣΜΑΤΑ ΚΑΙ ΠΡΟΤΑΣΕΙΣ
Το σκάνδαλο με την διαρροή ευαίσθητων προσωπικών δεδομένων 147 εκατομμύριων πολίτων αποτελεί
μία από τις μεγαλύτερες κυβερνοεπιθέσεις όλων των εποχών που εκτείνεται σε αρκετές χώρες. Η Equifax,
υπέπεσε σε σωρεία λαθών στην αντιμετώπιση του κινδύνου που είχε μπροστά της. Η διάθεση ανάληψης
του κινδύνου, δεν ήταν αρκετή σε αρχικό επίπεδο αλλά έδειξε την πρόθεση της εταιρείας να
αντιμετωπίσει την απειλή, χωρίς να εμπλέξει τρίτους σε αυτή την διαδικασία.
Στην ανάλυση του κινδύνου αναφερθήκαμε μέσω του δέντρου αστοχιών στα γεγονότα που οδήγησαν
στην διαρροή, με τα σημαντικότερα εξ αυτών να είναι η ευπάθεια στο σύστημα ασφαλείας και η
πολυπλοκότητα στην διαδικασία λήψης αποφάσεων και στην συνεννόηση μεταξύ των εμπλεκόμενων
μερών. Οι συνέπειες του σκανδάλου ήταν πολύπλευρές με τις οικονομικές να είναι οι περισσότερο
σημαντικές καθώς η εταιρεία είδε την μετοχή της να κατρακυλάει και την ίδια να πρέπει να δώσει
εκατομμύρια σε αποζημιώσεις.
11
Είναι ξεκάθαρο ότι η Equifax, έπεσε θύμα προβλημάτων που ήταν χρόνια και δεν είχαν επιλυθεί με τον
ενδεδειγμένο τρόπο, διαβρώνοντας έτσι το σύστημα ασφαλείας και την ενδοεταιρική εργασιακή
κουλτούρα της. Συνολικά, η παραβίαση δεδομένων κατέδειξε την ανάγκη για απλά βήματα τα οποία όμως
πρέπει να γίνουν, καθώς η ευπάθειά στο δίκτυο δεδομένων δεν ήταν κάποια μεγάλης έκτασης αστοχία
αλλά απεδείχθη σημαντική. Σημαντικό είναι επίσης να υπάρξουν ισχυρότεροι κανονισμοί ενδοεταιρικά
για το απόρρητο των δεδομένων και την ασφάλεια στον κυβερνοχώρο καθώς και οι απαραίτητοι
εσωτερικοί έλεγχο τήρησης των παραπάνω.
ΒΙΒΛΙΟΓΡΑΦΙΑ

BCI Business Continuity Institute – BCI, (2012) Risk Appetite | Διαθέσιμο στο:
http://www.bcmpedia.org/wiki/Risk Appetite, (Προσπελάσιμο: 24 Απριλίου 2023

Bracy, J. (2017) The Equifax breach, response, and fallout | iapp.org Διαθέσιμο στο The Equifax
breach, response, and fallout (iapp.org) (Προσπελάσιμο: 18 Απριλίου 2023)


Equifax(2023) Who we are , Διαθέσιμο στο : Who We Are (equifax.com) (Προσπελάσιμο: 09
Απριλίου 2023)
Equifax Hack(2023) Equifax hack: Οι Βρετανοί μεταξύ 143 εκατομμυρίων ανθρώπων που έχουν
παραβιαστεί τα στοιχεία τους | Επιστημονικά &; Τεχνολογικά Νέα | Sky News(Προσπελάσιμο:
18 Απριλίου 2023)
12

Janecek, J. & Dennis, J. (2018) The Equifax Data Breach: Lessons Learned from a One-Year LookBack | lexology.com Διαθέσιμο στο The Equifax Data Breach: Lessons Learned from a One-Year
Look-Back - Lexology(Προσπελάσιμο: 18 Απριλίου 2023)
 Μανώλη, Μ., (2021). Οικονομικές επιπτώσεις των περιστατικών αποκάλυψης προσωπικών
δεδομένων. Πανεπιστήμιο Αιγαίου
 Martin, A.,(2017) Mass data breach with Equifax hack 'an unmitigated disaster |news.sky.com
Διαθέσιμο στο Mass data breach with Equifax hack 'an unmitigated disaster' | Science & Tech
News | Sky News
 Novak, A.N. and Vilceanu, M.O., 2019. “The internet is not pleased”: twitter and the 2017 Equifax
data breach. The Communication Review, 22(3), pp.196-221.
 Prewett, K. and Terry, A., 2018. COSO's updated enterprise risk management framework—A quest
for depth and clarity. Journal of Corporate Accounting & Finance, 29(3), pp.16-23.




Popκen, B.(2017) Equifax Hackers Exploited Months – Old Flaw | nbcnews.com Διαθέσιμο στο
Equifax Hackers Exploited Months-Old Flaw (nbcnews.com) (Προσπελάσιμο: 28 Απριλίου 2023)
Πτώση Μετοχής (2017) «Ελεύθερη πτώση» 14,6% για τη μετοχή της Equifax – Επί ποδός μηνύσεις
για τη διαρροή προσωπικών στοιχείων (bankingnews.gr) (Προσπελάσιμο: 18 Απριλίου 2023)
Shepherd, A. (2019) The Equifax effect explaining the biggest security disaster of the 21st century
|Itpro.com Διαθέσιμο στο Το φαινόμενο Equifax: Εξηγώντας τη μεγαλύτερη καταστροφή
ασφάλειας του 21ου αιώνα | ITPro(Προσπελάσιμο: 28 Απριλίου 2023)
Wang, P. and Johnson, C., 2018. Cybersecurity incident handling: a case study of the Equifax data
breach. Issues in Information Systems, 19(3).
ΔΙΑΔΙΚΤΥΑΚΕΣ ΠΗΓΕΣ
 Equifax to Pay $575 Million as Part of Settlement with FTC, CFPB, and States Related to 2017 Data
Breach | Federal Trade Commission(8/5/2023)
 Στα χέρια χάκερς προσωπικά δεδομένα 143 εκατ. Αμερικανών πελατών της Equifax|
Liberal.gr(4/5/23)
 Συχνές ερωτήσεις παραβίασης δεδομένων Equifax: Τι συνέβη, ποιος επηρεάστηκε, ποιος ήταν ο
αντίκτυπος; | CSO σε απευθείας σύνδεση (csoonline.com)(8/5/2023)
 Στα χέρια χάκερς προσωπικά δεδομένα 143 εκατ. Αμερικανών πελατών της Equifax| Liberal.gr
(Προσπελάσιμο: 24 Απριλίου 2023)
13
14