Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Komunikacja w czasie cyberataku

04 październik 2022

Komunikacja w czasie cyberataku
Magdalena Grochala

Magdalena Grochala
Mariusz Prociewicz

Mariusz Prociewicz

Cyberatak to dla firmy sytuacja kryzysowa – problem technologiczny, finansowy i wizerunkowy, bo utrata danych – czy to klientów, czy pracowników lub partnerów biznesowych – oznacza także utratę ich zaufania. Zatem czy w ogóle informować opinię publiczną o ataku cyberprzestępców? I jak to robić?

Zacznijmy od tego, że cyberatak może zdarzyć się każdej firmie – nawet tej najlepiej przygotowanej i posiadającej najnowocześniejsze zabezpieczenia. Tylko we wrześniu 2022 roku media poinformowały o cyberatakach na Ubera i Revoluta. W 2021 roku łupem cyberprzestępców padły takie marki jak LinkedIn, Android, Panasonic, T-Mobile czy Microsoft. W poprzednich latach ze skutkami działań hakerów mierzyły się Twitter czy Yahoo. W sumie co roku wyciekają dane setek milionów użytkowników.

Statystyki nie pozostawiają złudzeń – według Accenture liczba ataków wzrosła od 2014 roku o 67%. Badania Varonis pokazują, że jedynie 5% firm jest odpowiednio chronionych. Z danych Sophos wynika, że aż 54% przedsiębiorstw twierdzi, iż nie poradzi sobie z zaawansowanymi cyberatakami. IBM wyliczył, że średni koszt naruszenia danych w 2021 roku wyniósł 4,24 miliona dolarów.

Wniosek? Jest źle, a będzie jeszcze gorzej albo przynajmniej tak samo. Pytanie nie brzmi więc „czy”, a „kiedy” firma czy organizacja zostanie zaatakowana bądź zmierzy się z poważnym incydentem bezpieczeństwa, którym może być, na przykład, wyciek danych spowodowany ludzkim błędem.

Finansowe i wizerunkowe skutki cyberataku

Incydenty bezpieczeństwa – zwłaszcza te, w wyniku których wyciekają dane klientów, pracowników czy kontrahentów firmy – przekładają się na spadek zaufania do niej. To jeden z najpoważniejszych skutków cyberataku. Ale niejedyny. Jeśli organizacja jest źle przygotowana do takiej sytuacji kryzysowej i reaguje nieodpowiednio, rezultatem są także zmiany personalne, często na wysokich stanowiskach.

To kolejny krok do wzbudzenia niepokoju wśród klientów czy inwestorów. Narastający brak zaufania odbija się na cenach akcji. W 2021 roku na portalu Comparitech została opublikowana ciekawa analiza obejmująca 34 spółki notowane na nowojorskiej giełdzie papierów wartościowych i 40 dużych incydentów bezpieczeństwa, które wydarzyły się w tych firmach. Dane jasno pokazały, że ujawnione naruszenia bezpieczeństwa miały bezpośredni, niekorzystny wpływ na cenę akcji i był on odczuwalny nawet długo po ataku, chociaż, oczywiście, z biegiem czasu malał.

W wyniku działań cyberprzestępców cierpi więc budżet firmy, i tak przeciążony koniecznością walki z technologicznymi skutkami ataku. Do tego mogą dojść kary za niepoinformowanie o zdarzeniu lub za nieodpowiednią ochronę danych osobowych. A to wszystko – zwłaszcza w atmosferze złej komunikacji, niedomówień, czasem nawet kłamstw i mijania się z prawdą, a także przy wzmożonym zainteresowaniu klientów i mediów oznacza tylko jedno – kryzys wizerunkowy. W łagodzeniu jego skutków pomaga odpowiednia komunikacja. To, w jaki sposób firma zareaguje na wiadomość o ataku lub incydencie i w jaki sposób poinformuje o tym opinię publiczną, jest kluczowe i może pomóc w minimalizowaniu negatywnego wpływu ataku na poziom zaufania do przedsiębiorstwa. 

Mówić, czy nie mówić. Co na to prawo?

Gdy dochodzi do cyberataku, firmy często zastanawiają się, czy powinny o tym poinformować media oraz klientów. A może lepiej zachować atak w tajemnicy? Wskazówki w tym zakresie daje polskie prawo, w którym są zapisy mówiące o obowiązku informowania odpowiednich organów o incydentach bezpieczeństwa. Przykładem jest Rozporządzenie o Ochronie Danych Osobowych (RODO), które nakłada na administratora danych obowiązek zgłoszenia naruszenia ochrony danych organowi nie później niż w terminie 72 godzin po stwierdzeniu takiego naruszenia (art. 33). Dodatkowo administrator ma również obowiązek zawiadomienia o naruszeniu osoby, której dane dotyczą, w przypadku, gdy istnieje ryzyko naruszenia praw i wolności tej osoby (art. 34).

Ustawa o krajowym systemie cyberbezpieczeństwa (dyrektywa NIS) nakazuje operatorom usług kluczowych (energetyka, banki, finanse, transport, ochrona zdrowia itd.) zgłoszenie incydentu bezpieczeństwa do 24 h od momentu wykrycia. Dostawcy usług płatniczych są natomiast w świetle dyrektywy PSD2 zobowiązani do niezwłocznego zgłoszenia incydentu. To oznacza tylko jedno – w niektórych przypadkach firma nie może samodzielnie decydować, czy informować o incydencie, czy nie. Musi za to zawiadomić odpowiednie organy oraz poszkodowane osoby. A co jeśli tego nie zrobi? Zanie-chanie tego obowiązku może się okazać bardzo kosztowne.

W Polsce przekonało się o tym choćby Towarzystwo Ubezpieczeń Warta, które zapłaciło 85 588 zł kary za świadomie nieinformowanie Urzędu Ochrony Danych Osobowych o incydencie naruszenia danych klienta oraz za niepoinformowanie rzeczonego klienta o wycieku jego danych

Przygotować się do cyberataku

Dobra wiadomość jest taka, że do cyberataku – jak do każdej sytuacji kryzysowej – można się przygotować. Przede wszystkim warto pamiętać o tym, że w czasie takiego kryzysu znaczącą rolę odgrywa komunikacja, czyli dział PR. I to ten dział, czy osoby odpowiedzialne za komunikację wewnętrzną i zewnętrzną, muszą być wraz z działem bezpieczeństwa współodpowiedzialne za przygotowanie strategii działania w czasie cyberataku.

To PR pomaga w budowaniu świadomości – począwszy od ustalenia wytycznych, reguł, na podstawie których można stwierdzić, kiedy zaczyna się kryzys wizerunkowy, a kiedy to tylko incydent rangi ‘business as usual’. To PR pomaga także w przygotowaniu komunikatów dla pracowników, przekazujących wytyczne działów bezpieczeństwa i IT, wyjaśniających, jak działają hakerzy i na co zwracać uwagę w codziennej pracy, by unikać pułapek zastawianych przez cyberprzestępców. PR monitoruje także otoczenie, prasę, informacje w Internecie i ma wiedzę oraz doświadczenie, którymi sygnałami należy się zająć.

A nade wszystko koordynuje działania komunikacyjne wewnątrz i na zewnątrz organizacji. Wraz z działami bezpieczeństwa, IT, HR-em oraz działem prawnym może też przygotować firmę na cyberatak. Strategia działania na wypadek wystąpienia takiego kryzysu musi zawierać między innymi skład sztabu kryzysowego z aktualnymi danymi teleadresowymi do wszystkich osób znajdujących się w tym sztabie (także danych alternatywnych, z których można skorzystać, gdy nie działa służbowa poczta oraz telefony), wyznaczone role i odpowiedzialności, kategorie incydentów, plan eskalacji w przypadku wystąpienia tych incydentów, gotowe wzorce odpowiedzi dopasowane do kategorii incydentu i do grup interesariuszy. Dzięki temu firma będzie w stanie szybko zidentyfikować potencjalny problem oraz natychmiast wdrożyć odpowiednią strategię komunikacji, która pozwoli jej zareagować na incydent, zanim zrobią to jej klienci oraz media.

Skuteczna komunikacja w 7 krokach

W przypadku cyberataku niezwykle ważna jest komunikacja z wieloma grupami interesariuszy – z pracownikami, inwestorami, klientami, partnerami biznesowymi. I w końcu z mediami. Jak robić to skutecznie?

  • Ścisła współpraca na linii PR – dział ITPR 

W czasie cyberataku podstawą jest bardzo dobra współpraca i ciągły kontakt działu PR z działami bezpieczeństwa i IT odpowiedzialnymi za analizę i usuwanie skutków ataku. Cyberbezpieczeństwo jest trudnym tematem, a naruszenie bezpieczeństwa poważną sytuacją, stąd PR i IT muszą współdziałać, by przekazać zainteresowanym rzetelne i zrozumiałe informacje.

  • Pewność i powody 

Komunikacja nie może wyprzedzać faktów. Jeśli firma nie ma pewności, czy problem z działaniem infrastruktury rzeczywiście wynika z cyberataku, i nie wie, czy jakiekolwiek dane ucierpiały – nie powinna sugerować tego w komunikatach przekazywanych opinii publicznej (usprawiedliwiając na przykład dużą awarię domniemaniami o możliwym ataku hakerskim).

  • Ostrożność w podejmowaniu działań 

Mówiąc o cyberataku, firma musi być bardzo ostrożna. Atak wiąże się także z konieczności zgłoszenia do UODO, zatem to, co firma przekazuje w dokumentach do urzędu, i komunikaty w mediach czy social mediach muszą być spójne.

  • Dobre wyczucie czasu 

Komunikację należy zacząć, gdy firma ma pewność, że nastąpił cyberatak. A kiedy ją skończyć? Najlepiej w momencie, gdy problem jest już opanowany. Nie ma potrzeby przypominania o ataku długo po nim, choć oczywiście jeśli przedsiębiorstwo podejmie ważne działania poprawiające jego bezpieczeństwo, może o tym także poinformować klientów i kontrahentów.

  • Wyprzedzanie reakcji klientów/użytkowników 

Najważniejsze jest jednak to, aby zacząć komunikację, zanim zrobią to klienci czy użytkownicy usługi. A zaczną ją z całą pewnością, bo informacja o tym, że ich dane wyciekły lub że usługa nie działa, w końcu do nich trafi. W dobie social mediów taka wiadomość rozejdzie się aż za szybko. Jeśli to zaatakowana firma zainicjuje komunikację, łatwiej będzie jej nadać ton całemu przekazowi. 

  • Informowanie i wyjaśnianie 

Wyciek danych oznacza niepokój po stronie klientów czy pracowników. Zadaniem firmy jest więc nie tylko poinformowanie ich o naruszeniu, ale również wyjaśnienie, jakie kroki mają teraz podjąć.

  • Spójność w komunikacji 

Cyberatak to poważna sytuacja i należy z odpowiednią powagą o nim mówić. Niezależnie od kanału komunikacji. Jeśli firma korzysta z różnych mediów (www, Facebook, Instagram), jej przekazy w tych miejscach muszą mieć podobny ton i treści.

Im więcej firmy mówią o cyberatakach – rzetelnie i transparentnie – im częściej pokazują, jak funkcjonują w czasie ataku, tym lepiej do takich sytuacji mogą przygotować się także inni. Odpowiednia komunikacja, opierająca się na planie kryzysowym i współpracy działów IT oraz PR, nie tylko pozwoli zminimalizować skutki ataku, ale też pomoże edukować rynek i w ostatecznym rozrachunku – skuteczniej walczyć z cyberprzestępcami.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności