Навесні цього року друга за розміром телекомунікаційна компанія США — AT&T — двічі стала жертвою кібератак. Зловмисники отримали доступ до записів дзвінків і повідомлень близько 100 мільйонів абонентів. Компанія приховувала інформацію про витік даних. Після розголосу акції компанії впали, потенційні збитки оцінили в $43–90 млн, а AT&T зазнала масової критики в ЗМІ та в соціальних мережах.
Це показало, що вразливими до кібератак є навіть найбільші та найзахищеніші корпорації. Замовчування проблеми не лише свідчить про неготовність компанії до криз, а й завдає шкоди репутації та призводить до значних фінансових збитків у довготривалій перспективі. Натомість послідовна та чітка комунікація здатна зменшити збитки, зберегти репутацію та лояльність користувачів.
Про те, чому до антикризових комунікацій варто додати сценарії на випадок кібератак, у колонці для AIN розповіла СЕО та співзасновниця агенції Calibrated Юлія Петрик.
Цьогоріч через витік даних компанії втрачають у середньому рекордні $4,88 млн — йдеться в дослідженні IBM. При цьому кількість кібератак із 2021 до 2023 року зросла на 72%. Коли криза в розпалі, а під загрозою опиняються персональні дані користувачів, компаніям важливо не витрачати час на обмірковування подальших дій. До реагування на кіберінциденти варто готуватись завчасно, а робота комунікаційної команди має бути обовʼязковою частиною антикризового плану.
Що обовʼязково має включати антикризовий план комунікацій під час кібератак і кіберінцидентів
Чіткі алгоритми сповіщення
Заздалегідь потрібно:
- Сформувати кросфункціональну команду з комунікацій. Зазвичай до неї входить керівництво компанії, юристів, PR відділ, фахівців із кібербезпеки та ІТ.
- Визначити перелік спікерів, які публічно представлятимуть компанію під час кризи, даватимуть коментарі ЗМІ та інформуватимуть про перебіг подій.
Прикладом вдалої комунікації представників компанії під час кризи є нещодавній кейс компанії Crowdstrike. За іронією, компанія, яка розробляє системи кібербезпеки, у ніч на 19 липня 2024 випустила системне оновлення для Windows з багом. Через це по всьому світу перестали працювати 8,5 мільйонів компʼютерів, зокрема в лікарнях, аеропортах і на вокзалах. У США довелося тимчасово призупинити всі авіарейси.
CEO компанії, Джордж Курц, регулярно комунікував із користувачами на платформі X у день кризи, а наступного дня опублікував детальний розбір інциденту. Із 47 тисячами підписників його пости набирали від 1 до понад 10 мільйонів охоплень.
CrowdStrike crisis communication: Source https://x.com/George_Kurtz
Щоправда, потім компанію підняли на сміх, коли як вибачення запропонували постраждалим користувачам подарункові картки Uber eats на суму $10. Висновок: наскільки б масштабною не була криза, компенсація має бути пропорційною заподіяній шкоді.
- Зрозуміти, кого саме варто інформувати на кожному з етапів інциденту та встановити часові рамки. Інформаційний вакуум швидко заповнюється плітками та спекуляціями. Якщо компанія не оприлюднює свою позицію першою, вона витрачатиме час на боротьбу зі здогадками та обвинуваченнями, а це — заздалегідь програшна позиція.
- Сформувати повідомлення для внутрішніх і зовнішніх стейкхолдерів, включаючи оновлення для керівництва компанії та публічні заяви у випадку ескалації ситуації.
Для цього раджу використовувати фреймворк Krebs:
- говорити про те, що відомо (не обмежувати інформацію, щоб запобігти паніці);
- говорити про те, що ще не відомо — комунікуйте регулярно та послідовно, оперативно надавайте новини про перебіг ситуації;
- розкажіть стейкхолдерам, які дії їм треба виконати, щоб убезпечити себе та що для цього робить компанія;
- окресліть рамки, коли зʼявиться подальша інформація. При цьому не варто завищувати очікування: якщо ви не впевнені, що за пів години матимете оновлення — не обіцяйте цього.
Source: UK Government Commumication Service
Визначені інструменти та канали комунікації
Під час кібератаки звичні канали комунікації можуть бути скомпрометовані або ж перейти під контроль хакерів. Отримавши доступ до корпоративної пошти чи Slack, зловмисники можуть відстежувати ваші дії, вебсайт та інші платформи компанії можуть не вийти з ладу.
Потрібно визначити, які інструменти та канали використовуватимуться за різних сценаріїв кризи: захищені месенджери, гарячі лінії тощо. Це дозволить впевнитися в безпеці звʼязку, що надважливо, коли йдеться про роботу з персональними даними та іншою чутливою інформацією.
Так, наприклад, американський телекомунікаційний провайдер T-Mobile після масштабного витоку даних використовував електронну пошту, мобільний застосунок, вебсайт і коментарі в медіа про перебіг кризи та алгоритм дій. Фахівці одразу ж скинули паролі та PIN-коди для постраждалих клієнтів, надали екстрені контакти гарячих ліній і кредитних бюро для заявок про шахрайство, а також запропонували 2 роки безкоштовного сервісу для захисту особистих даних. Це не вберегло T-Mobile від розслідувань і штрафів, але дозволило захистити клієнтів, зберегти їхню лояльність і показати, що компанія активно вживає заходів для їхньої безпеки.
Регулярні навчання з антикризових комунікацій
Виявляти слабкі місця в антикризовому плані під час гострої фази кібератаки — ідея не з найкращих. Навчання із симуляціями різних сценаріїв криз — найкращий спосіб зʼясувати, чи кожен учасник антикризового штабу розуміє свої ролі та відповідальності, чи скоординовані дії команд, чи вдасться донести інформацію стейкхолдерам через альтернативні канали звʼязку тощо.
Посткомунікація
Коли криза минула, природне бажання — узяти перепочинок і не робити посткомунікацію. Цієї помилки часто припускаються компанії, які завершують антикризові комунікації повідомленням «наші сервіси відновили роботу, користуйтесь». Якщо криза незначна, цього може вистачити, однак краще проінформувати стейкхолдерів про результати та зроблені висновки. Наприклад, підготувати детальний звіт для ради директорів, внутрішній звіт для команди, публічні заяви для заспокоєння клієнтів і партнерів.
Комунікація під час кібератак — складний виклик навіть для досвідчених фахівців. Під час таких криз звичні канали звʼязку можуть не працювати, а наслідки відчувають абсолютно всі стейкхолдери: від співробітників до користувачів та інвесторів.
У ЄС уже усвідомлюють важливість підготовленості до кіберінцидентів: у січні 2025 вступає в силу DORA (Digital operational resilience act), який зобовʼязує фінансові установи й постачальників ІТ-послуг для них мати готовий план антикризових комунікацій. В Україні наразі це залишається на розсуд компаній, однак досвід показує: кібератаки неминучі, проте якісна комунікаційна підготовка до них допомагає компаніям зменшити фінансові та репутаційні втрати, а подекуди й підвищити лояльність клієнтів.
Авторка: Юлія Петрик, СЕО та співзасновниця Calibrated
