Her yıl milyonlarca kişinin parolaları, kredi kartı bilgileri veya sağlık bilgileri gibi kişisel verileri, bilgisayar korsanlığı veya şirketlerin veri işleme hataları nedeniyle yetkisiz kişilerin eline geçiyor.
Bu durumun mağdurlar için mali kayıplardan kimlik hırsızlığına kadar birçok yıkıcı sonucu olabiliyor. Birçok ülkede şirketler, müşterilerini korumak için yasa gereği bu olayları yetkili kurumlara bildirmek ve müşterilerini haberdar etmekle yükümlü oldukları için bu sızıntılar genellikle kamuya açıklanıyor.
Böyle durumlarda yayılmayı azaltmak ve çalınan verilerin kötüye kullanılmasını engellemek için aslında hızlı bir müdahale yapılması gerekiyor. Bununla birlikte yasaların öngördüğü son tarihler, açıklamaların zamanlaması konusunda şirketlere esneklik tanıyor. Avrupa Birliği’nde, ilgili kişiler için risk doğurabilecek her türlü veri sızıntısının 72 saat içinde bildirilmesi gerekiyor. Amerika Birleşik Devletleri'nde ise bildirim süreleri eyaletten eyalete 30 ila 90 gün arasında değişiklik gösterebiliyor.
Münih Teknik Üniversitesi (TUM) yenilik ve dijitalleşme profesörü Jens Foerderer ve Florida Uluslararası Üniversitesi bilgi sistemleri ve iş analizleri profesörü Sebastian Schuetz benzer olayları incelediklerinde şaşırtıcı bir sonuca ulaşarak, hisse fiyatları ve şirket değerlerinin veri ihlali duyurularından çok da etkilenmediği sonucuna varmışlar.
Jens Foerderer konuyla ilgili olarak "Bu bizi şaşırttı, çünkü sızıntılar şirketin imajına zarar verir ve müşteriler arasında güven kaybına yol açar. Bu da aslında borsa değerlemesinde keskin bir düşüşe neden olmalıdır" derken, "Bizim hipotezimize göre başka haberler yatırımcıların dikkatini dağıtıyor" görüşünü paylaşıyor.
Araştırmacılar, kâr amacı gütmeyen bir kuruluş olan Identity Theft Resource Center'dan (ITRC) elde edilen bilgileri kullanarak 2008 ile 2018 yılları arasında halka açık ABD şirketleri üzerinde çalışmalar yapmış, 8.000'den fazla veri ihlalinin ne zaman açıklandığına dair veriler elde etmişler. Daha sonra bu verileri çoğu şirketin üç aylık rakamlarını açıkladığı tarihlerle, yani piyasa ile ilgili büyük miktarda bilginin yayınlanacağının önceden belli olduğu tarihlerle, karşılaştırmışlar.
Bu çalışma, araştırmacıların varsayımını doğrular şekilde günlük ve sektörel haberlerin manşetlere hakim olduğu günlerde veri ihlali basın açıklamalarının görülme sıklığının önemli ölçüde fazla olduğu görüşmüş ve şirket içi ihmal veya hatalardan kaynaklanan ciddi veri ihlalleri ile sağlık bilgilerinin ya da kişisel kimlik bilgilerinin sızması durumunda bu sızıntıların basına açıklanma zamanıyla diğer önemli haberlerin duyulması, yani gündemin yoğunluğu arasında güçlü bir bağlantı olduğu anlaşılmış.
Foerderer konuyla ilgili olarak "Haberlerin yoğun olduğu günlerde hem haber merkezleri hem de analistler topladıkları bilgilere öncelik vermek zorundadır. Bizim ulaştığımız sonuçlara göre şirketler veri sızıntısına ilişkin açıklama zamanını stratejik olarak belirliyor ve bilerek açıklamanın daha az dikkat çekeceği zamanları hedefliyorlar." diyor.
Çalışmanın ikinci adımda araştırmacılar bu taktiğin şirketler için başarılı olup olmadığını öğrenmek isteyip, bunun için veri kayıplarının açıklanmasından sonra şirket hisselerinin performansını değerlendirmişler. Hisse fiyatları ortalama olarak düşse de yoğun haber günlerinde düşüşün çok daha az yaşandığı sonucuna varmışlar.
Sebastian Schuetz'un buna dair açıklaması ise şu yönde: "Veri işleme hatalarını başka haberlerle gizleyen şirketler, böylece kendilerinin ve diğer şirketlerin veri ihlallerine karşı daha güçlü önlemler alması için kamuoyundan gelen baskıyı önlüyorlar."
Araştırmacılar, veri sızıntılarını duyurmak için şirketlere tanınan sürenin mümkün olduğunca kısıtlayıcı olmasını tavsiye ediyor. Öyle ki Jens Foerderer konuyla ilgili yaptığı yorumda "Açıklamaya ilişkin verilen süre ne kadar uzun olursa şirketler de duyurularını o kadar stratejik olarak planlıyor ve açıklamanın gerçek amacından sapıyorlar" diyor.
Kaynak: Help Net Security