Jak ochronić wizerunek firmy podczas cyberataku

Nie ma sensu zadawać sobie pytania czy wasza firma padnie ofiarą cyberataku. Pytanie powinno brzmieć, jak szybko się to stanie oraz jak będziecie do tej sytuacji przygotowani.

Wiele firm może prowadzić swój biznes latami, nie doświadczając tradycyjnego kryzysu komunikacyjnego. Oczywistym jest, że im firma większa oraz im szerszy jej zakres oferty – tym ryzyko pojawienia się kryzysu większe. Jednak wszyscy znamy dziesiątki takich firm, które prawdopodobnie przetrwają kolejną dekadę – bez żadnego kryzysu wizerunkowego. Kiedy jednak przeniesiemy tę dyskusję na obszar cyberbezpieczeństwa – pytanie nie powinno brzmieć, czy jesteśmy narażeni na atak hakerów? Pytajmy, kiedy to się stanie i co wówczas zrobimy.

Według danych z Cisco 2017 Annual Cybersecurity Report aż 22 proc. firm, które doświadczyły cyberataku straciło swoich klientów. Przy czym aż 40 proc. z nich straciło ponad 20 proc. swoich klientów. Dlatego każdy zarząd powinien sobie zadać pytanie, kiedy to się stanie i jakie dane oraz jakie procesy w firmie mogą w wyniku takiej sytuacji zostać zablokowane – lub nawet ukradzione.

Co zatem robić, aby z cyberataku wyjść z możliwie najmniejszymi stratami wizerunkowymi?

1.   Przygotuj plan…

Kiedy dochodzi do kryzysu – zazwyczaj nie ma czasu na przygotowanie oświadczeń do klientów, pracowników czy mediów. Informacja rozlewa się w social mediach w sposób błyskawiczny. Użytkownicy portali społecznościowych udostępniają informacje na swoich profilach. Dziennikarze – zazwyczaj nie weryfikując źródła danych – publikują informacje na kolejnych portalach. Po godzinie informacja stanie się już faktem. Dlatego posiadanie planu działań, gotowych wzorów oświadczeń, konkretnego podziału zadań to podstawy. W sztabie kryzysowym powinni się znaleźć -  zależnie od sytuacji - nie tylko pracownicy działu PR oraz CSO, ale także prawnicy oraz szefowie kluczowych dla firmy działów. Odbudowanie strat wizerunkowych, które powstają w wyniku błędów na pierwszym etapie komunikacji trwa znacznie dłużej.

2.   … i ćwicz go regularnie

Dobra analiza sytuacji i plan działań to jedno – jednak wyjście z cyberataku obronną ręką zapewnią tylko stałe ćwiczenia. Najlepiej warsztaty połączone z ćwiczeniem faktycznych działań. Tylko taka forma zapewnia bowiem znalezienie słabych punktów w komunikacji i ich wyeliminowane. Jeżeli jeszcze macie cień nadziei, że może jednak w waszej firmie nie są potrzebne plany na komunikację podczas cyberataku polecam odświeżenie wiedzy o oprogramowaniu WannaCry, które w maju 2017 roku w pięć dni zablokowało setki tysięcy komputerów w ponad 150 krajach na całym świecie. Malwarebytes przygotowało krótką wizualizację tej globalnej epidemii.

3.   Zabezpiecz dodatkowe zasoby

Co zrobicie jeżeli w wyniku cyberataku przestaną działać wasze maile, intranet i firmowa strona www? Jak przygotuje komunikację z partnerami, jeżeli nie będziecie mieć dostępu do żadnych swoich plików i danych? Pierwszym podstawowym błędem jest posiadanie planów komunikacyjnych oraz kontaktów do członków sztabu kryzysowego wyłącznie na firmowym serwerze, który może zostać zablokowany w wyniku cyberataku. Jeżeli w waszej komórce wszystkie kontakty są zsynchronizowane z firmowym serwerem – to prawdopodobieństwo, że pewnego dnia nie będziecie mogli do nikogo zadzwonić jest bardzo duże. Dlatego w ramach przygotowania procedur komunikacji w sytuacji cyberataku warto pomyśleć o tym wcześniej i przygotować procedury i kontakty w wersji drukowanej. Dodatkowo wszystkie gotowe wzory oświadczeń czy Q&A trzeba mieć zarchiwizowane w miejscach nienarażonych na bezpośredni cyberatak. Kilka laptopów działających tylko z lokalną drukarką, z niezależnym dostępem do internetu pozwoli wam działać w sytuacji, kiedy cała firma zostanie sparaliżowana.

4.   Przygotuj się na oblężenie

Nie da się zarządzać kryzysem w cyberprzestrzeni wyłącznie za pomocą takich samych strategii i sposobów działań, jak w tradycyjnej komunikacji PR. Sytuacja, w której dochodzi do wycieku wrażliwych danych klientów banku ma jednak inny charakter niż zarzuty o molestowanie czy mobbing wobec prezesa zarządu lub nawet wybuchający telefon czy szkodliwy produkt. O ile zazwyczaj w tradycyjnej sytuacji kryzysowej będziemy chcieli jak najszybciej przekazać komplet informacji i przejść do etapu wychodzenia z kryzysu, o tyle w sytuacji cyberataku mamy zagwarantowane co najmniej kilka tygodni pojawiania się nowych faktów, opinii czy danych, z których każda może być przyczynkiem do kolejnej sytuacji kryzysowej. Pamiętajmy, że według danych IBM od ataku i spenetrowania naszego systemu przez cyberprzestępców do jego ujawnienia i rozlania się niekorzystnych dla nas informacji po sieci mija średnio 200 dni. Dlatego liczenie na to, że to my mamy przewagę nad atakującym jest niewybaczalnym błędem. Jeżeli doszło do ataku cybernetycznego musimy być przygotowani na to, że atakujący miał pełen dostęp do naszego systemu i pozyskał wszelkie interesujące go informacje. Dlatego konieczne jest powiedzenie sobie, że zanim zaczniemy proces odbudowywania zaufania – musimy wyeliminować z firmy wszystkie wewnętrzne przyczyny cyberataku oraz wyjaśnić sytuację otoczeniu.

5.   Znajdź ambasadorów

Przygotowany wcześniej plan działań powinien uwzględniać również nawiązanie relacji i kontaktów z ambasadorami, którzy mogą was wesprzeć w komunikacji w trakcie cyberataku. Jeżeli nie działa wasza strona www, firmowe konta na Twitterze i innych mediach społecznościowych – to przekazanie informacji za pośrednictwem mediów lub też ambasadorów czy liderów opinii dla ważnych dla was grup – może być jedyną sensowną formą kontaktu z otoczeniem. Tym bardziej jeżeli jesteście właśnie celem ataku o charakterze „fake-news”, w którym cyberprzestępcy właśnie zaczęli rozpowszechniać nieprawdziwe informacje na temat waszej firmy lub jej produktów. Nawet tylko kilka tweetów, ale opublikowanych przez kluczowe dla was osoby może zmienić obieg informacji. Nie pozwólmy, aby informacje o nas były pełne spekulacji i nieprawdziwych danych.

6.   Odzyskaj zaufanie

Klienci poszkodowani w wyniku cyberataku nie potrzebują szczegółowych wyjaśnień, w jaki sposób ich dane trafiły do hakerów. A już na pewno nie zrozumieją branżowego języka wyjaśniającego powody ich problemów. Komunikacja musi być prosta i czytelna: „Znamy sytuację i zajmujemy się nią”, „Współpracujemy z policją i prokuraturą w celu wyjaśnienia źródeł wycieku danych”, „Każdy klient, który obawia się, że jego dane znalazły się niewłaściwych rękach może skorzystać z poradnika na naszej stronie www lub skontaktować się z infolinią w celu uzyskania wskazówek”.

Działania PR muszą bazować przede wszystkim na zrozumieniu potrzeb poszkodowanych osób. Wszystkie działania komunikacyjne powinny być realizowane z właściwym poziomem empatii. Nie pozwólmy, aby oświadczenia pisał wyłącznie dział prawny, dla którego główną wytyczną będzie bezpieczne sformułowania zabezpieczające interes firmy przed ewentualnymi pozwami w przyszłości. Nawet jeżeli to człowiek i nasz klient jest sam przyczyną sytuacji kryzysowej – wielokrotne przypominanie mu tego raczej nie spowoduje odbudowania zaufania.

Anna Hahn-Leśniewska, wiceprezes agencji Partner of Promotion.