公民社会组织披露系列|道与顿'披露信

告诉客户您搞砸了,其中一项安全漏洞,两封信和11课。两位PR专业人员解构了Monster.com和USAJOBS真正向已披露其个人信息的客户发送的消息。关于泄露漏洞的深入系列文章的一部分。

您如何告诉某人您已经失去了重要的东西?够辛苦了现在如何告诉一百万人?

随着数据泄露披露法律的激增-38个州已强制要求披露信息,而联邦立法正在国会中逐步发展-随后出现了大量数据泄露披露信。这些字母的构造方式以及它们所说的内容可以告诉我们很多 关于数据保护的巨大失败以及公司如何 处理信息安全问题。

(实际上,如果您算出俄克拉荷马州仅适用于州机构数据的法律,则39个州已强制要求进行披露。有关详细信息,请参见 互动地图 这是本系列的一部分。)

披露信并不容易。他们要求言语柔和的人,他们必须不自然地扭曲单词,并在尴尬的,有时是矛盾的方向上移动句子。说实话,但不要过错。提供细节,但不要分享太多细节。说明发生了什么,但不要太讲究技术。使一个同理心的套用信函。发出警报,但可以控制情况。负责而不负责。有同情心,但不要说对不起。

当Monster.com被黑客入侵并暴露了130万求职者的个人记录时,公司面临着这个问题。根据法律,Monster被迫将其事件通知其客户,然后继续向所有客户发送一封信。美国AJOBS公司也是如此,这是一家依靠Monster.com数据库提供工作清单的联邦就业组织。

同样的违约。完全不同的字母。

我们将这两个字母并排显示了解决同一问题的不同方法。然后,我们请两位参与撰写公开信(要求匿名的人,我们分别称为简和琼)的公共关系专业人员来仔细检查这两项公开信息。他们都对Monster和美国AJOBS的艰巨任务深表同情。简说:“组织中有很多人在上面留下指纹。” “这些信件很难做好。”

但是他们都着眼于逐行的句子决定和信件的整体精神。他们对单词选择,动词时态选择,甚至如何称呼和签名都具有深刻的见解。他们的批评坚定不移。琼说:“这些信件中的大多数很难通过。” “到完成时,您都不知道该怎么做。”

建设性的批评对任何必须为数据泄露披露的可能性做准备的人都是有帮助的。现在,成千上万的公司已经经历了写公开信的过程,并且在未来几年中还将有成千上万的公司。他们必须写得很好。 Ponemon Institute的全国性数据泄露通知调查表明,即使没有受到负面影响,消费者也倾向于将失败归咎于组织。请继续阅读以了解有关数据泄露披露信的注意事项的更多信息。

这些信

(我们在下面提供了带注释的两个公开信的小版本。对于大版本, 在此PDF中查看它们

两个披露信的缩图

观察结果

1)亲爱的匿名匿名客户。

简和琼都质疑“亲爱的”称呼用于大量邮件的使用。 “很尴尬,”简说。 “这显然是群发邮件。”她说,对许多人来说,这本质上是紧要的备忘录,其中有些人是您所不知道的,所以要这样对待。更好的介绍可以是“致客户”或“对客户的重要信息”。

2)柔软的开口。

马上,风格便会发生变化。 Monster选择用第一句话来减轻即将来临的打击。美国AJOBS只是开始陈述事实。简看到了每种方法的利弊。她说:“第一线是最艰难的。”您想表明自己重视客户,但与此同时,这句话却像是空心营销,让人感到round回。另一方面,US AJOBS的来信似乎不那么有趣,但它也立即涉及到技术细节,可能让人感到不快。美国AJOBS还具有能够将问题归咎于另一个品牌的优势。如果是他们的数据库,那封信的开头可能会有所不同。

3)说“对不起”的问题。

“抱歉是个人的,”琼说。 “此外,这意味着您做错了。”另一方面,遗憾表示听起来有些诚恳,但消除了谬误。很少有公开信使用抱歉一词。双方都同意这是一种法律手段。简说:“您正在努力防止这些信件在集体诉讼中成为附件A。”但珍妮也理解使用遗憾而不是遗憾。她说:“抱歉不是一个专业的词。”简说,公司还可以通过明确地说出为什么要写这封信来避免措辞古怪的问题。 “我真的很想写,‘我们被政府法规强迫告诉你。’这是直接而真实的。但是律师和市场人员可能不会让像我这样的公关人员逃脱这一责任。”

4)我们也是受害者...

简说,在《怪兽》信中,“第二段很艰难”。 “在这里,您绝对必须说出它是什么以及读者如何受到影响。”简说,相反,该段将怪物描述为受害者,“恶意活动的目标涉及非法下载信息,例如……”。此外,该段的第二部分从被动变为主动,并试图使Monster以“已响应...已通知...并关闭”等动词出现在控件中。但是,仔细阅读后发现,主动动词只是在修饰模糊的陈述。响应是对程序的“全面审查”,即在大火中审核火灾响应程序。另外,Monster说“关闭流氓服务器”,但是除非服务器是内部服务器(我们不告诉),否则这不是Monster独自完成的。 Monster更有可能与ISP和执法机构合作以实现目标。琼(Joan)清楚地表达了她对这一段的感受:“他们在对冲。他们正在努力获得信誉,同时变得迟钝。”双方都说清楚而直接。

5)...而不仅仅是我们。

Monster的信件不断地,几乎以病态地提醒读者,其他公司也经历过类似的失败。在我们甚至没有发现违规行为之前,我们就了解到“机会主义罪犯”正在“越来越多地使用互联网”从事犯罪活动。然后,当描述这种违法行为存在网络钓鱼方案的可能性时,加上一句话,并指出:“其他网站遭到类似攻击时就是这种情况。”后来,我们学习了如何保护自己免受那些攻击“怪物”以及其他数据库的人的攻击。简和琼没有留下深刻的印象。简说:“他们正在竭尽所能,使问题变得比他们大。”这表明问题的发生是他们无法控制的。简说,她了解将攻击置于更大问题的背景下的冲动,但这可能无济于事,并使公司显得防御。琼担心这种战术很快就会变薄。例如,在另一起案件中,TJX公司在其系统遭到破坏后辩称,其安全性类似于其他公司的数据泄露和标准行业惯例。随着时间的流逝,消费者将越来越厌倦“每个人都在做”和“它不受我们控制”的防御措施。

6)细节还是好的细节。

美国AJOBS对事实的阐述更为明确。例如,美国AJOBS明确指出,没有任何社会安全号码因组织的保障措施而受到影响。 Monster的信中没有提及SSN,而是在问:社会安全号码是否受到影响? Monster是否没有相同的防护措施?甚至更强大的是,美国AJOBS在其解释性段落中以巧妙,易于理解的细节开头:一家私人公司的合法帐户被盗用以获取访问权限。怪物从来没有提到这一点。细节越明确,细节越好。关于“涉及非法下载的恶意活动”的模糊细节只会混淆并造成混淆。

7)很多指纹。

有多少人最终在整个公开信上审查,添加,更改或以其他方式获取指纹?简说,尝试几十个。她试图回想所有审查过她写过的信的利益相关者:“通信,市场营销,IT,信息安全主题专家,法律,CIO,客户服务负责人,首席执行官(当然),然后是他的个人作家,有时甚至是董事会。”

8)真诚的,公司。

简反对在怪兽信中使用“公司”,尤其是与其他元素结合使用。结合顶部的“亲爱的问候”,“您是有价值的客户”的语言和底部的CEO的签名,她说:“我们在这里收到的信息不一。”换句话说,它试图同时成为首席执行官的一封信,一封大众邮寄的备忘录和一份法律文件。该公司尤其成问题,因为这会让人感觉该公司已经将此事定为律师。可能是这种情况,但对消费者而言,它破坏了有关评估客户价值的个人信息,并产生了公司最关心的是掩盖其屁股的观念。

9)大胆的陈述。

两个字母均包含粗体字。美国AJOBS的粗体字看起来很聪明:它包含特定而有力的语言,该公司将“ NEVE R”从未经请求的电子邮件中请求个人信息。但是,粗体字的位置可能会吸引人们忽略其上方的所有出色事实信息。令人费解的圆括号试图返回到未经请求的电子邮件的定义,这进一步使它变得混乱。另一方面,Monster的结尾是一个大胆的声明,它只是邀请读者学习更多信息,并链接到网络钓鱼和其他在线欺诈的全面说明。在这封信中,Monster还指出,绝不会通过不请自来的电子邮件来要求您提供个人信息。两种策略都有优势。美国AJOBS信函中内容清晰但简短,这可能导致人们忽略其他未加注释的信息。 Monster非常清楚,但具有随附的文档,可能会因为过多的信息而被忽略。

10)转移风险。

公开信的另一个常见主题是提醒用户,这也是他们的错。因为,争论是,如果他们更负责任地上网冲浪,并且不喜欢使用方案,那么问题就不大了。这就是风险转移。也让客户保护数据,这样一来,未这样做的客户也将承担丢失的责任。 Monster并未说明,除了进行全面审核以外,它还以什么方式提高了安全性。该公司含糊地提到它“发起了一系列举措”,但从未提及其中一项。 Jane和Joan不喜欢这样,但了解这些信息可能过于技术性或过于敏感而无法发布。为客户提供了一个网站,以“教育您有关在线欺诈的知识”,为公司提供“邀请您继续阅读以了解有关如何安全使用Internet的更多信息”的网站。美国的AJOBS比较麻烦,但目的相似。 “我们要求您保持对仿冒网络钓鱼的警觉……”和“也请提高对欺诈性电子邮件的警惕……”一方面,提高对这些问题的认识从未有过任何伤害。教育是好的。另一方面,数据库被黑客入侵,这几乎与最终用户的行为无关,而与脆弱的公司网络无关。精明的消费者将看到这种红鲱鱼的转移。如果犯罪分子首先没有获得访问网络钓鱼的电子邮件地址,那么网络钓鱼就不会成为问题。尽管如此,公司仍继续告诉消费者他们需要采取什么措施来保护自己,因为正如琼所说,消费者并不会在这一点上退缩。 “我们似乎在社会上某个时刻,人们希望这种风险能够继续传递。他们可能会摆脱这种情况。”但是,随着消费者获得更多的公开信,该策略可能会变得很薄弱。

11)无处不在的威胁。

公开信中最艰巨的挑战之一是缺乏关于违规行为含义的背景信息。自然而然地发出一封信引起了消费者的关注。另一方面,如果公司丢了我的地址我应该怎么担心?我的电话号码?我的社会安全号码?这种失误的可能结果是什么?它们发生的可能性有多大?如果确实发生了,那该怎么办?由于答案很复杂且不确定,因此很少在公开信中解决这些问题。在整个行业范围内,关于滥用和欺诈的经过验证的度量标准可以大大缓解一些不确定性,但是只要不必这样做,公司为何会披露其失误可能导致信用评级低下或财务困境的可能性?如果监管不强迫他们就无法获得融资?

这个难题已经成为披露业务的祸根。公开信可以回答所有问题,甚至更多。这就是随着法律暴露出更多违法行为而发生的事情。截至去年11月,隐私权信息交换所已记录了近1亿7千万条受到泄露的个人记录。预计该数字将快速增长。即将有成千上万的公开信。

遗憾的是。

版权© 2008 IDG通讯,Inc.