Z danych CERT Polska wynika, że w 2019 r. blisko 10% z 40 tys. zdarzeń stanowiących zagrożenie dla bezpieczeństwa informacji w Polsce to incydenty, które naruszyły bezpieczeństwo funkcjonowania organizacji. Natomiast badania firmy Gallangher pokazują, że niemal dwie trzecie badanych firm nie mogło w wyniku cyberzdarzenia prowadzić działalności biznesowej przez okres od trzech do pięciu dni. Dla małych organizacji może to oznaczać kłopoty nie do udźwignięcia, w tym całkowity chaos komunikacyjny.
Cyberataki nie tylko powodują bezpośrednie straty finansowe, ale również nadwyrężają reputację. W konsekwencji jeszcze bardziej pogarszają sytuację biznesową.
Kiedy dzwoni dziennikarz
Kiedy dzwoni dziennikarz, a my, wiedząc o cyberzdarzeniu dotyczącym firmy, zastanawiamy się, jak zareagować i co powiedzieć, możemy być pewni, że nasze problemy właśnie nabierają dynamiki.
Nie mając planu, mamy gwarantowany efekt kuli śniegowej, będący rezultatem braku kontroli nad przekazem. Teraz będziemy mierzyć się nie tylko z zabezpieczeniem ciągłości operacyjnej, ale również zostaniemy poddani ostrej ocenie opinii publicznej.
Warto pamiętać, że media najczęściej mają informacje od rozżalonych klientów lub partnerów biznesowych. Na szczęście nie jest to jedyny z możliwych scenariuszy zdarzeń.
Złudne poczucie bezpieczeństwa
Truizmem jest stwierdzenie, że gdy dochodzi do jakiegokolwiek kryzysu, w tym wynikającego z naruszenia cyberbezpieczeństwa, firma powinna być przygotowana. Jeśli z różnych względów nie może przygotować się sama, warto, aby zabezpieczyła się i skorzystała z pomocy ekspertów, którzy mają doświadczenie w podobnych sytuacjach.
Ochronę reputacji, obok wsparcia prawnego i pomocy informatyków śledczych, zapewnia ubezpieczenie od ryzyk cybernetycznych.
Na ryzyko narażeni są wszyscy. Tymczasem z badań Grant Thornton wynika, że polscy przedsiębiorcy czują się bezpiecznie i są zadowoleni z przygotowania na ryzyko cyfrowe (70%), choć odpowiedzi na szczegółowe pytania pokazują, jak złudne to poczucie.
Według badania, tylko 29% firm w Polsce jest zadowolonych ze swoich możliwości wykrywania przypadków naruszenia prywatności danych, a tylko 41% dobrze ocenia swoje zdolności do reagowania na ataki. Zaledwie 30% firm twierdzi, że po wykryciu incydentu są w stanie odpowiednio ocenić sytuację i zaistniałe szkody.
Biorąc pod uwagę, jak mało firm w Polsce posiada również plany zarządzania kryzysowego, kłopoty gotowe.
Dynamika kryzysu
Każdy kryzys, niezależnie od tego, czego dotyczy, ma swoją dynamikę. Możemy mieć na nią wpływ, prowadząc przemyślaną i otwartą komunikację.
Oczywiście otwartość również wiąże się z wystąpieniem pewnego ryzyka reputacyjnego, szczególnie przy braku przygotowania i doświadczenia w zakresie zarządzania kryzysowego. Otwartość połączona z brakiem spójności potęguje wrażenie chaosu, choć warto pamiętać, że chaos początkowo towarzyszy każdemu nagłemu oraz niespodziewanemu zdarzeniu i nie powinien nas deprymować.
Zawsze chwilę trwa, zanim uda nam się ustalić fakty i zweryfikować napływające informacje. Ważne jednak, aby to, co przekazujemy interesariuszom wewnętrznym i zewnętrznym, było zgodne z prawdą i aktualnie posiadaną wiedzą.
Nie bez znaczenia pozostaje ścisła współpraca z organem nadzorczym, jeśli w wyniku incydentu zagrażającego bezpieczeństwu naruszona została poufność, dostępność lub integralność danych. Dodatkowo, gdy powoduje to wysokie ryzyko dla osób poszkodowanych, one także muszą zostać powiadomione.
Doświadczenie uczy, że samo zdarzenie o charakterze kryzysowym nie zawsze musi skończyć się kryzysem reputacyjnym i spadkiem zaufania, a w konsekwencji utratą klientów. Znacznie częściej krytycznej ocenie podlega nie to, co się zdarzyło, ale nasze postępowanie w związku z zaistniałą sytuacją i sposób, w jaki poprowadziliśmy komunikację.
Z życia wzięte
Od czasu wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) nagłaśnianych jest coraz więcej przypadków wycieku danych osobowych, a co za tym idzie, firmy coraz częściej muszą tłumaczyć się z zaistniałych zdarzeń również w mediach.
Wystarczy przejrzeć strony bezprawnik.pl, zaufanatrzeciastrona.pl czy niebezpiecznik.pl. Temat natychmiast trafia do partnerów biznesowych, zadających pytania o bezpieczeństwo, oraz do klientów oczekujących informacji. Firmy reagują różnie, większość czeka, aż sprawa przycichnie, i dopiero kiedy orientują się, że tracą zamówienia, dochodzą do wniosku, że „trzeba coś z tym zrobić”.
Tymczasem pierwszym wyzwaniem okazuje się poinformowanie własnych pracowników, aby wiedzieli, jak rozmawiać z klientami. Warto pamiętać, że prawidłowo prowadzona komunikacja może wzmocnić zaufanie, czego przykładem są działania firmy McDonald’s Polska w związku z wyciekiem danych tysięcy pracowników. Firma nie tylko poinformowała w obszernym dokumencie swoich pracowników, ale również opublikowała informację prasową oraz płatne ogłoszenia, co zostało docenione zarówno przez pracowników, jak i ekspertów od komunikacji.
Podjęte działania są kluczowe dla ochrony reputacji, tym bardziej że – jak wynika z sondażu przeprowadzonego na zlecenie Krajowego Rejestru Długów – Biura Informacji Gospodarczej, Polacy bardziej niż hakerów mogących się włamać do prywatnego komputera obawiają się tego, że ich dane wpadną w niepowołane ręce, po tym jak wyciekną z urzędów i firm.
Prawie jedna trzecia badanych nie jest przekonana, czy firmy i urzędy przy pracy zdalnej, kiedy znaczna liczba pracowników przeniosła się z pracą do domu, są w stanie zapewnić bezpieczeństwo ich danym osobowym. Coraz częściej mamy świadomość, że nie mamy wpływu na to, jak informacje na nasz temat są chronione przez tych, którym je powierzyliśmy, a to sprawia, że reputacja naprawdę ma znaczenie.
Oblężona twierdza
Warto pamiętać, że zajmując w firmie określone stanowisko, automatycznie mamy przypisaną określoną rolę i wynikające z niej zadania. Jednak w czasie kryzysu zapominamy o tym i w ferworze walki wszystko odbieramy bardzo osobiście, a to tylko pogarsza sytuację.
Często postrzegamy się jako ofiara, która stała się celem ataków mediów, klientów czy opinii publicznej. Zaczynamy się bronić, doprowadzamy do konfrontacji. Równie często oskarżamy. Konflikt narasta. Popełniamy coraz więcej błędów i tylko na tym tracimy, bo gubimy perspektywę.
W takich sytuacjach pomoc partnerów, którym ufamy – prawników, agencji PR – ma nieocenione znaczenie. Podchodzą do tematu mniej emocjonalnie, biorą pod uwagę na chłodno różne perspektywy i współpracując, są w stanie zaproponować najbardziej efektywne rozwiązanie, które pomoże zmitygować ryzyka, odbudować dialog, a co za tym idzie i zaufanie. W biznesie jest ono podstawą, bo utrzymanie i ochrona reputacji stała się niewiarygodnie krucha w erze cyfrowej.
Zmienił się krajobraz zagrożeń. Technologia odgrywa kluczową rolę w wachlarzu globalnych ryzyk, zarówno w odniesieniu do osób fizycznych, rządów, jak i przedsiębiorstw. Czynniki takie jak cyberprzestępczość i naruszenia bezpieczeństwa danych przyspieszyły i zwiększyły ryzyko wystąpienia zagrożeń dla reputacji, co sprawia, że również przygotowanie pod kątem komunikacji powinno być jednym z priorytetów.
Marta Nowicka
Head of Corporate and PA Teams, FleishmanHillard
O autorce. Ma 20 lat doświadczenia w komunikacji. Współpracuje z największymi globalnymi markami. Należy do międzynarodowych zespołów komunikacji kryzysowej. Jest autorką i współautorką procedur kryzysowych dla wielu firm z różnych branż.
