吉宁博士观点
杰克不应辞职。如果杰克辞职,意味着SimplePay向公众承认,在系统安全、公司决策和危机应对上有着巨大错误,势必在公众舆论上继续发酵此次危机,为公司的管理和技术能力投否决票。
从整件事情的发展进程来看,SimplePay公司虽然号称在前前后后做了诸多堪称“追求完美”的安全技术工作,但这家公司上至董事会、CEO,下至技术主管,都犯了一个致命错误——将这次事件视为一个事故,而非危机。
事实上,对于一个时刻与用户的资金打交道的互联网公司而言,如果不能完善处理好一起黑客攻击事件,这家公司将面临巨大危机。在事件发生一个月后,SimplePay的交易额低于黑客事件之前的水平,新用户增长也陷入停滞。这意味着危机开始放大——人们开始不信任这家公司。
尽管如此,杰克依然不应辞职。无论是杰克还是其他人,高管辞职并不能让外界对SimplePay恢复信心。
如果时间可以倒退,SimplePay对这次危机的正确处理方式应是:尽快修复漏洞,恢复系统运行,保证系统安全;此外,效仿成熟的大型互联网公司的正确做法:及时向公众公布事故发生的原因、造成了哪些影响、在此次事故中的应对策略,以及未来的改进措施。这些做法的目的在于,给与公众、用户对这家公司足够的信心。
危机发生后,重塑消费者信心成为最大的挑战。此时,一个成熟、明智的公司决策层,应及时补充技术实力、重新梳理技术架构、完善系统安全,甚至主动加入与安全有关的权威组织。并且,这一切不能悄悄背地里进行,而应通过各种渠道和方式让用户知道,我在努力,未来我会做得更好。
从技术层面来看,出现故障是必然的。根据摩尔定律,技术每隔一年半就会被淘汰和取代。漏洞无处不在,不可避免,重要的是企业需要随时发现漏洞,规避风险。
近期,包括支付宝、阿里云、携程在内的中国多家互联网公司也发生了不同类型的安全问题,它们在危机的应对方式上与SimplePay有诸多类似——危机发生后,它们忙于解决系统技术问题本身,没有及时给公众一个详细透明的风险公告。
事发后,支付宝技术团队细化了应急制度及流程、完善容灾切换应急预案与支撑系统的建设,制定了月度演练规则。
但这一切也仅在支付宝内部进行。无论是支付宝还是携程,对于此次安全危机的处理方式均选择了低调,尽可能冷处理。
幸运的是,中国用户对网络安全的敏感度较欧美国家更低,宽容度更高,大多数普通用户在没有出现大规模实质性资金损失时,不会有太多过激反应。但这并不意味着互联网公司可以高枕无忧。随着这个行业越来越渗透进人们的生活和工作,竞争越来越激烈,公众意识越来越觉醒,冷处理的危机管理方式将不再适用于中国用户。当危机发生时,互联网公司须采用更加成熟、透明的方式,及时披露事故发生的原因以及所采取的应对措施。
谢丽容是《财经》杂志产业组记者,长期关注互联网行业。
