Cyberatak to nie tylko problem technologiczny i finansowy, ale też wizerunkowy. Firma, która straciła dane klientów czy pracowników, będzie mierzyć się ze spadkiem zaufania i koniecznością uspokojenia nastrojów swoich interesariuszy. Pomoże jej w tym odpowiednia i szybko podjęta komunikacja. Jak ją prowadzić, by była skuteczna?
Kluczem do uspokojenia sytuacji jest otwartość i rzetelne informowanie o tym, co się stało i co firma robi, by zminimalizować skutki naruszenia. Kogo i jak informować? Warto pamiętać, że cyberatak dotyka wielu grup osób związanych z przedsiębiorstwem. Każda z nich ma inne potrzeby, każdą będzie interesował inny aspekt cyberataku. Dodatkowo – zazwyczaj grupy te mają też różne oczekiwania dotyczące sposobu kontaktu z nimi. Nie wystarczy zatem zamieścić informacji o ataku na stronie WWW. Więcej – nie wystarczy nawet notka wysłana do mediów. Komunikacja w tak kryzysowej sytuacji musi obejmować wszystkie dostępne firmie kanały przekazywania informacji, musi bowiem dotrzeć do wszystkich poszkodowanych osób.
W sytuacji idealnej firmy są przygotowane do komunikacji w czasie cyberataku, zanim on jeszcze nastąpi. W swoich strategiach PR mają zdefiniowane działania, które należy podjąć w takiej sytuacji. Wtedy pierwszym krokiem w czasie cyberataku jest wdrożenie takiego planu. Sprawa komplikuje się jednak, gdy go nie ma. Ale i wtedy przedsiębiorstwo może skutecznie zadbać o swój wizerunek. Jak to zrobić?
Przygotuj i wprowadź w życie plan działań komunikacyjnych
Powołaj zespół kryzysowy
W przypadku cyberataku najważniejsze jest współdziałanie wielu różnych działów firmy. Komunikacja nie jest tylko i wyłącznie sprawą PR-u, ale także specjalistów ds. IT i bezpieczeństwa, prawników, zarządu, działów HR. Planowanie wszelkich działań trzeba zacząć od zdefiniowania, kogo dotyka przeprowadzony atak, i wybrania do zespołu kryzysowego osób, które pomogą w komunikacji z tymi grupami. Oczywiście absolutnie konieczne jest wsparcie działu IT, bo przekazywane wiadomości muszą być konkretne i jasno wyjaśniać zaistniały problem.
Wyznacz osobę odpowiedzialną za kontakty z mediami
Media mogą być w czasie cyberataku sprzymierzeńcem firmy – pomagają bowiem docierać z informacjami do szerokiego grona odbiorców, prostować nieprawdziwe wiadomości. Oczywiście, aby tak było, kontakt z nimi musi być szybki, sprawny, a sama komunikacja szczera. Szczególną rolę w tym procesie odgrywa rzecznik prasowy lub inna osoba wyznaczona do współdziałania z dziennikarzami. Dlatego trzeba ją jak najszybciej wyznaczyć i umożliwić mediom sprawny kontakt z nią.
Zdefiniuj grupy osób, z którymi będziesz się komunikować
Komunikacja w czasie starcia z cyberprzestępcami nie ogranicza się do przekazywania informacji mediom. Cyberatak dotyka często bardzo wielu różnych grup. Zazwyczaj są to klienci, ale też pracownicy, inwestorzy, partnerzy biznesowi. Zespół kryzysowy musi więc określić, jakie to są grupy i w jaki sposób należy się z nimi skutecznie komunikować.
Wybierz kanały kontaktów
Firma ma zazwyczaj kilka różnych kanałów komunikacji z interesariuszami. Po cyberataku trzeba przede wszystkim ustalić, które z tych kanałów są w ogóle dostępne (na skutek działań cyberprzestępców może bowiem na przykład przestać działać służbowa poczta elektroniczna czy strona internetowa) i zadecydować, czy i w jaki sposób używać ich w komunikacji.
Przygotuj i roześlij odpowiednie informacje
Dzięki współpracy z ekspertami z różnych działów można szybko przygotować pierwsze informacje dla różnych zainteresowanych grup, które wyjaśnią, co się stało, kto i w jakim zakresie ucierpiał, co mogą zrobić osoby poszkodowane oraz jakie kroki naprawcze zostaną podjęte przez przedsiębiorstwo.
Dbaj o jakość przekazywanych treści. Współpracuj z działem IT i ze specjalistami do spraw bezpieczeństwa
Cyberbezpieczeństwo jest trudnym tematem, a naruszenie bezpieczeństwa poważną sytuacją, dlatego we wszystkich działaniach komunikacyjnych wyjątkową rolę odgrywa współpraca z działem IT, który najlepiej zna sytuację i może wyjaśnić techniczne aspekty problemu. Oczywiście dział PR powinien zadbać o to, by specjalistyczne komunikaty były jasne i w miarę możliwości prosto sformułowane. Dzięki temu firma będzie informować opinię publiczną w sposób rzetelny i zrozumiały.
Bądź szczery
Ukrywanie cyberataku to błąd, który może wiele kosztować. Tym bardziej że w dobie social mediów naprawdę trudno jest coś ukryć i o wycieku danych czy o niedziałającej usłudze prędzej czy później zaczną mówić w sieci klienci czy pracownicy firmy. Priorytetem powinno być więc jak najszybsze poinformowanie opinii publicznej o problemie. Jednak w tej komunikacji firma musi postawić na szczerość. Unikanie odpowiedzialności, zatajanie faktów, niedomówienia narażą ją na kryzys wizerunkowy i odpływ klientów.
Mów o tym, na co masz dowody
Komunikacja nie może wyprzedzać faktów. Jeśli firma nie ma pewności, czy problem z działaniem infrastruktury rzeczywiście wynika z cyberataku, i nie wie, czy jakiekolwiek dane ucierpiały – nie powinna sugerować tego w komunikatach przekazywanych opinii publicznej (usprawiedliwiając, na przykład, dużą awarię domniemaniami o możliwym cyberataku).
Pamiętaj o spójności komunikatów
O cyberataku należy mówić z odpowiednią powagą. Niezależnie od kanału komunikacji. Jeżeli firma korzysta z różnych mediów (strona www, Facebook, Instagram), jej przekazy w tych miejscach muszą mieć podobny ton oraz treści, nawet jeśli na co dzień któryś z tych kanałów jest wykorzystywany do przekazywania wiadomości o żartobliwym charakterze.
Bądź ostrożny w podejmowaniu działań. Współpracuj z działem prawnym i z IT
Mówiąc o cyberataku, firma musi być bardzo ostrożna. Atak wiąże się także z koniecznością zgłoszenia do UODO, zatem to, co firma przekazuje w dokumentach do urzędu, i komunikaty w mediach czy social mediach muszą być spójne.
Dodatkowo podając zbyt wiele danych na temat infrastruktury firmy, można ją narazić na kolejne ataki cyberprzestępców. Dlatego tak ważne jest konsultowanie przygotowanych treści z prawnikami i specjalistami ds. bezpieczeństwa.
Informuj i udzielaj pomocy poszkodowanym Przeproś i opowiedz o konsekwencjach
Cyberatak, w wyniku którego wyciekły dane, oznacza niepokój po stronie klientów czy pracowników. Zadaniem firmy jest więc nie tylko poinformowanie ich o naruszeniu, a także przeproszenie za zaistniałą sytuację, ale również wyjaśnienie, co ten wyciek oznacza, jakie może mieć konsekwencje dla zainteresowanych oraz jakie kroki mają teraz podjąć, by zminimalizować skutki naruszenia.
Przygotuj materiały informacyjne
Pomocne mogą być także dodatkowe materiały informacyjne – np. dostępna na www lista najczęściej zadawanych pytań i odpowiedzi na nie lub krótki poradnik wyjaśniający, co mogą zrobić osoby, których dane wyciekły.
Komunikuj regularnie, ale do czasu. Informuj o postępach działań naprawczych
Cyberatak oznacza spadek zaufania do firmy. Dlatego komunikacja nie może zakończyć się na poinformowaniu o problemie. Przedsiębiorstwo powinno też mówić o tym, jakie działania naprawcze podjęło, by nie dopuścić do podobnych zdarzeń w przyszłości. Wszystko po to, by pokazać, że traktuje sprawę poważnie i że robi wszystko, bo zwiększyć bezpieczeństwo danych firmy, jej pracowników i klientów.
Wyznacz moment, w którym zakończysz komunikację
Jednak ciągłe przypominanie o ataku również nie jest wskazane. Regularną komunikację należy zakończyć, gdy problem zostanie opanowany. Natomiast jeśli w późniejszym okresie firma podejmie ważne działania poprawiające jej bezpieczeństwo, może o tym, oczywiście, poinformować klientów i kontrahentów.
Czy w ogóle jest sens przejmować się na zapas cyberatakiem? Kilka minut przed napisaniem tego zdania otrzymałam wiadomość od jednej z firm kurierskich o możliwym wycieku danych (w tym moich danych) u jego dostawcy usług SMS-owych. Ile takich wiadomości dostajecie? A ich liczba będzie rosła. Każdy może paść ofiarą cyberataku. Nawet najlepiej zabezpieczona firma. Jednak dzięki dobrej współpracy różnych działów przedsiębiorstwa i szczerej, otwartej komunikacji z mediami, klientami, pracownikami i partnerami może zminimalizować negatywny wpływ ataku na swój wizerunek. Warto się zawczasu do tego przygotować.
