Współpraca PR — cybersecurity
Dziś już głośno mówi się o potrzebie bliskiej współpracy Bezpieczników (speców od cyberbezpieczeństwa) i PR-owców (speców od gry „w komunikację”). W uproszczeniu: jedni bez drugich nie będą mogli skutecznie wdrożyć zabezpieczeń w firmie bez dokładnego wyjaśnienia tego procesu, a drudzy nie będą potrafili skutecznie i sensownie komunikować.
Tak czy inaczej, spowoduje to, że organizacja znajdzie się (tak – nie może, ale na pewno) w olbrzymich tarapatach, że o pełnokrwistym kryzysie nie wspomnę. Bez tego porozumienia i współpracy dziś już chyba niemożliwe jest dobre zarządzanie – choćby dlatego, że kwestie bezpieczeństwa danych i systemów IT są obecnie jednymi z ważniejszych w biznesie i to dla wielu stron: od kontrahentów, przez klientów, na pracownikach kończąc.
Szczególnie teraz – kiedy wojna w Ukrainie pokazała, jak dużo mogą zdziałać hakerzy, a od czasu pandemii następuje lawinowy wzrost cyberprzestępczości. Polska jest przy tym szóstym najchętniej atakowanym krajem w Europie.
Kluczowymi elementami w obszarze komunikacji kryzysowej jest przygotowanie do sytuacji kryzysowych, działania stricte kryzysowe (te w oku cyklonu) oraz działania po kryzysie – bardzo często niewystarczająco realizowane, niedoceniane i ignorowane. Brak racjonalnych działań po kryzysie powoduje utratę cennych dla organizacji informacji i doświadczeń, co często oznacza, że pot i krew z placu boju idą w… piach, nie w żyzną glebę. A szkoda. Bo ciężar doświadczeń zasadniczo marnuje się i z powiedzenia „co nas nie zabije, to nas wzmocni” zostaje tylko kilka nic nieznaczących liter.
W Polsce, podobnie jak na całym świecie, lawinowo rośnie liczba cyberprzestępstw. Coraz częściej słyszymy o kolejnych atakach, okupach, przerażających statystykach. Warto zatem przyjrzeć się działaniom POST MORTEM. Dlaczego? Bo coraz więcej firm i organizacji jest lub zaraz będzie w tej sytuacji, a zdecydowanie mniej mówi się (i, niestety, robi) o działaniach pokryzysowych, o tym, co można
i warto zrobić, jak już kurz bitewny opadnie, a straty zostaną policzone. A jest to cenna wiedza i doświadczenie, z których wiele można wyciągnąć. By jaśniej przedstawić i pokazać obie, tj. techniczną i komunikacyjną stronę medalu, pozwolę sobie obrazować tekst eksperckimi wypowiedziami z moich rozważań prowadzonych z Chief Security Officer (CSO) Błażejem Szymczakiem, przy okazji rozmów o koniecznej współpracy obu obszarów.
POST MORTEM – ale o co chodzi?
Sformułowanie Post mortem pięknie określa i jednocześnie definiuje obszar działania oraz trudności.
Oddając głos Błażejowi Szymczakowi, to „działania po kryzysie. To nie tylko określenie, co zawiodło. Ważne jest ustalenie przebiegu kryzysu, reakcji właściwych i tych złych. Określenie słabych ogniw. Oraz, co krytyczne, wprowadzenie mechanizmów zmieniających słabe punkty.
Nie można zostawić kryzysu bez działań naprawczych.” Co ciekawe, ca-y cytat dotyczy zarówno obszaru technicznego bezpieczeństwa, jak i komunikacji! Wszystkie wymienione elementy stanowią część audytu pokryzysowego w warstwie komunikacyjnej. Kryzysy wizerunkowe, często towarzyszące problemom wewnętrznym i incydentom, które niekontrolowanie rozlewają się w przestrzeni publicznej,
ZAWSZE są spowodowane licznymi patologiami w komunikacji – zarówno wewnętrznej, jak i wewnętrznej – które nierzadko mogą zagrozić funkcjonowaniu firmy.
Zawsze jest dwóch winnych. Co najmniej
Błażej Szymczak podsumował: „W każdym, dosłownie w każdym incydencie zawodzą: komunikacja oraz monitoring. I każdy można tak podsumować, ale Post mortemy to wierzchołek góry lodowej, ponieważ zwykle dotyczą incydentów krytycznych. Natomiast całą resztę już należy postrzegać jako problem management — spojrzenie na incydenty niższego rzędu z lotu ptaka, znalezienie wspólnych mianowników i przyczyn, żeby to zrobić trzeba mieć spójną klasyfikację incydentów oraz ich odpowiednie oznaczanie, którego obszaru dotyczyły.
Finalnie sprowadza się to do ustalenia, DLACZEGO tak się stało i jak możemy temu zapobiec w przyszłości. Chodzi o holistyczne spojrzenie na całą organizację, nie tylko wąski wycinek głównej akcji. Mechanizmy naprawcze również należy analizować i wdrożyć w holistycznym ujęciu.” Jak poprzednio, to niemal lustrzane odbicie obszaru komunikacji. Dokładnie to samo można przeczytać w kontekście kryzysu wizerunkowego.
Dwa wyżej przytoczone cytaty, idealnie pasujące zarówno do przestrzeni cyberbezpieczeństwa, jak i komunikacji w organizacji, skłaniają do refleksji. Skoro cyberataki tak często zagrażają firmom i coraz częściej wiążą się z zagrażający kryzysami wizerunkowymi, to warto połączyć te dwa obszary i potraktować je podobnie. Choćby po to, żeby w przyszłości łatwiej było podnieść się po kryzysie i wyciągnąć więcej wniosków. Również po to, by doświadczania kryzysu przyczyniły się do minimalizacji błędów w przyszłości. A, jak mawiamy, kryzys to festiwal błędów.
Disaster Recovery Plan – wzór do naśladowania
Standardy cyberbezpieczeństwa (choćby określone przez NIST, amerykańską agencją federalną wyznaczającej normy) zakładają, że jednym z elementów zapewnienia ciągłości działania jest Disaster Recovery Plan (dalej: DRP), a więc ustrukturyzowane podejście, które umożliwia organizacjom sprawne wznowienie pracy po incydencie IT.
Każda organizacja, oczywiście, musi dopasować działania i procedury do swoich warunków, jednak w pewnym uproszczeniu można określić parę obszarów wymagających uwzględnienia: od wskazania zespołu pracowników odpowiedzialnych za DRP, przez identyfikację krytycznych zasobów biznesowych, ocenę ryzyka i przygotowanie procedur, tworzenie kopii zapasowych krytycznych danych, po monitorowanie.
Pewnym benchmarkiem przyjętym na potrzeby mojego planu jest katalog zaproponowany przez Stefana Kaczmarka:
zespół ds. odtwarzania awaryjnego,
ocena ryzyka,
spis wykorzystywanych urządzeń i programów: narzędzia zewnętrznych dostawców,
sprzęt fizyczny, zasoby wirtualne, kluczowe dokumenty cyfrowe, elementy aplikacji czy bazy danych ze wskazaniem ich lokalizacji,
identyfikacja krytycznych zasobów biznesowych,
ustalenie celów planu odtwarzania po awarii,
kopie zapasowe,
testowanie i optymalizacja.
Crisis Recovery Plan
Odnosząc się do standardu DRP, można stworzyć analogiczną procedurę – Crisis Recovery Plan, która pomoże przeprowadzić bliźniacze działania
w komunikacji (co również jest obszarem zalecanym do uwzględnienia przez NIST). Ułatwi ona synergię działania IT i PR w procesie Post mortem. Z tego powodu warto, by takie działania przebiegały w pewnej harmonii. Doświadczenia w komunikacji kryzysowej, obserwacje przebiegu wydarzeń oraz audyty pokryzysowe pozwoliły mi stworzyć schemat, który warto rozważyć w tego typu incydentach i kryzysach.
Działania prowadzone jednocześnie – synchronicznie – ułatwią całościowe wyciągnięcie wniosków, poprawienie procedur i unikanie błędów. Poniżej w tabeli proponowany przeze mnie schemat Crisis Recovery Plan z odniesieniem do DRP.
Przed POST MORTEM – przewrotność czynności
Co wydaje się kluczowe, stworzenie ram Crisis Recovery Plan dobrze jest wykonać… przed kryzysem.
Dlaczego? Każdy, kto przeszedł kryzys (w zakresie bezpieczeństwa IT, jak i wizerunkowym) wie, że są to przejścia, o których najszybciej chcemy zapomnieć, zamknąć za sobą i zaliczyć do „przeszłości”. Mniej lub bardziej poranieni chcemy iść dalej i nie grzebać w jeszcze gojących się ranach. Niestety, zdecydowanie warto to robić. Ustalenie działań RDC jest istotną częścią przygotowania bezpieczeństwa systemów – Bezpieczniki mają to w dużej mierze uwzględnione i poukładane. Podobnie warto zrobić z Crisis Recovery Plan. Ustalić zasady, które w odpowiednim momencie zostaną rozpoczęte niemal automatycznie. Bez tego elementu ujęcia proceduralnego może się to nie udać.
Wiele moich doświadczeń wskazuje, że w sytuacjach, kiedy nie jest to zaplanowane, tylko niewielki odsetek organizacji decyduje się na takie działania. Powoduje to, że często powtarzają te same błędy, te same wadliwe reakcje, te same obszary tworzą te same problemy. Można oczywiście uderzać się co chwila w nadmiernie wystający róg stołu stojący w przejściu, tylko po co?
