Как общаться с внешним миром, если вас взломали

Когда компания подвергается кибератаке и этот факт становится достоянием общественности, одна из главных задач руководства — эффективно общаться с внешним миром. Неправильно выстроенная коммуникация после взлома может иметь серьезные последствия для репутации, и топ-менеджмент в этом случае играет решающую роль в защите интересов организации. Правильная стратегия общения станет основой для успешного преодоления кризиса и для сохранения у клиентов доверия к компании.

Руководству необходимо быть готовым к быстрому и точному реагированию. Коммуникативные усилия должны быть направлены:

на информирование о случившемся;
содействие расследованию инцидента;
предоставление информации о конкретных действиях и мерах по защите данных клиентов;
заявление о намерении повысить уровень защищенности, чтобы предотвратить подобные ситуации в будущем.

Основные принципы

1. Классифицировать инцидент

Если произошел инцидент, который не затронул партнеров и клиентов, и информация о нем не была обнародована, то не обязательно давать комментарий СМИ. Важно сообщить об этом руководству организации, а также отделам IT и ИБ. Они должны проявить внимание к обеспечению безопасности данных и информационных систем.

Если инцидент затронул партнеров и клиентов, то его необходимо правильно классифицировать по уровню воздействия на организацию:

Критически опасный инцидент, в результате которого реализовано недопустимое событие, нанесен серьезный ущерб организации и есть угроза ее деятельности.
Существенный инцидент, в результате которого не было реализовано недопустимое событие, нанесен значительный, но не критически опасный ущерб.
Минорный инцидент, который нанес ограниченный или незначительный ущерб и может быть легко обработан.

Если инцидент относится к первым двум классам, то следует связаться со СМИ и при надобности с регуляторами. Если же инцидент относится к последнему классу (например, были зашифрованы несколько рабочих устройств), то комментарий СМИ давать не нужно, но необходимо расследовать произошедшее и выяснить причины.

2. Быть честным

Сразу после обнаружения значимых последствий киберинцидента необходимо быть открытыми и прозрачными в своей коммуникации с внешним миром, сообщить о случившемся и определить серьезность ситуации. Но прежде чем давать комментарии, нужно разобраться в том, что произошло. Если расследование находится в активной фазе, но СМИ просят комментарий, то стоит ограничиться краткими формулировками без подробностей.

Пример комментария для СМИ Пример комментария для СМИ, если инцидент не закрыт и еще ведется расследование

Кроме того, рекомендуется разослать по корпоративной почте коллегам сведения о том, что инцидент действительно произошел. Необходимо указать, что сотрудники не должны оценивать или комментировать произошедшее в социальных сетях, а также отвечать на вопросы СМИ, чтобы избежать дезинформации и негативных последствий. Общение с представителями прессы и сообщества должно вестись только по официальным каналам связи. Это может быть сайт компании или же ее аккаунты в соцсетях.

Пример письма для сотрудников компании Пример письма для сотрудников компании на случай киберинцидента

3. Назначить ответственных

Назначение ответственных за общение с внешним миром способствует более структурированной, согласованной и профессиональной коммуникации, минимизирует риски для компании и помогает восстановить доверие и поддержать интересы клиентов и партнеров. Если в организации есть отдел по связям с общественностью, то необходимо собрать совет из лиц, которые будут отвечать за кризисные коммуникации в случае киберинцидента. В совет входят генеральный директор, директор по кибербезопасности, директор IT-отдела, директор отдела маркетинга, юристы и, конечно, PR-специалисты. В зависимости от ситуации состав может меняться. На этом этапе необходимо обсудить основные тезисы для СМИ, заявление, которое будет выложено в официальные каналы связи, а также выбрать спикеров, которые смогут ответить на вопросы прессы. Если же специализированного отдела по связям с общественностью нет, руководству все равно следует собрать совет, на котором должны присутствовать ключевые лица компании.

Кроме того, важно определить, нужно ли передавать информацию регулирующим органам. Если атака проведена на критическую информационную инфраструктуру, на финансовую организацию или связана с персональными данными, то необходимо сообщить от этом регулирующим органам в течение 72 часов с момента обнаружения инцидента.

Важно, чтобы информация для всех каналов связи, прессы и регуляторов была едина.

4. Подготовить официальное заявление

Подготовка официального заявления — это ответственный процесс, требующий сбора информации, определения ключевых тезисов и разработки четкого и содержательного сообщения, которое будет распространяться по каналам связи.

Прежде чем делать официальное заявление, компания должна установить все факты, связанные с произошедшим киберинцидентом, и получить полное понимание о нем. Масштаб и влияние инцидента на клиентов, на бизнес и операционные процессы должны быть точно определены для формулировки ключевых сообщений. Как было сказано выше, к этому процессу должны быть подключены генеральный директор, директор отдела ИБ, директор IT-отдела, специалисты по связям с общественностью, юристы.

5. Следовать рекомендациям экспертов

В зависимости от ситуации необходимо обращаться к внутренним экспертам по ИБ или же нанимать внешних. Внешние эксперты имеют широкий опыт работы со множеством компаний и ситуаций, в то время как внутренние эксперты лучше знакомы со спецификой организации.

Компания, которая нанимает внешних экспертов (если ее деятельность не связана с ИБ), может вызвать больше доверия у клиентов. Такие специалисты имеют глубокие знания и опыт в области предотвращения, обнаружения инцидентов и реагирования, следят за тенденциями и последними разработками в области ИБ и могут предоставить ценные рекомендации, предложить лучшие практики для минимизации рисков и ограничения ущерба от атаки.

6. Сотрудничать с правоохранительными органами

Правоохранительные органы имеют полномочия и ресурсы для расследования киберпреступлений. Сотрудничество с ними помогает организации раскрыть и идентифицировать виновных лиц, а также подтвердить доказательства и представить их в суде. Нередко кибератаки имеют международный характер, и сотрудничество с правоохранительными органами позволяет обмениваться информацией, синхронизировать расследования и координировать усилия для идентификации и пресечения деятельности международных преступных группировок. Однако в зависимости от произошедшего этот пункт может быть пропущен. Обязательно сообщать об инциденте органам-регуляторам необходимо только в трех случаях, о которых уже говорилось выше:

была атакована критическая информационная инфраструктура;
была атакована финансовая организация;
инцидент связан с персональными данными.

7. Обновлять информацию

Регулярное обновление информации позволяет иметь актуальное представление о текущей ситуации и предотвратить инцидент в будущем или смягчить последствия. Актуальная информация — ключевой ресурс для распространения среди заинтересованных сторон: сотрудников компании, партнеров, клиентов и других.

8. Принести публичные извинения

Публичные извинения могут быть целесообразны в определенных ситуациях. Таким образом вы показываете, что не уходите от ответственности перед клиентами, партнерами и другими заинтересованными сторонами.

9. Усилить защиту

После киберинцидента, нанесшего значительный ущерб, компания должна рассказать о мерах, которые она принимает для усиления своей кибербезопасности. Это важный шаг для восстановления доверия клиентов, партнеров и других заинтересованных сторон, поскольку:

показывает высокий уровень вашей ответственности и осознания важности защиты данных и информационных систем;
демонстрирует, что компания относится к инциденту серьезно и предпринимает активные шаги по предотвращению атак;
свидетельствует о прозрачности и готовности компании сделать кибербезопасность приоритетом.

Краткий чек-лист по построению правильной коммуникации

Классифицировать киберинцидент. Принять решение об информировании общественности.
Быть честными. Сообщить о случившемся и определить серьезность ситуации.
Назначить ответственных за общение с внешним миром и обеспечить их необходимой информацией.
Составить официальное заявление о ситуации, в котором будут указаны факты, подтвержденные данные и описание принимаемых мер защиты.
Выслушать мнения внутренних экспертов по ИБ и при необходимости привлечь внешних.
Связаться с правоохранительными органами и сотрудничать с ними в расследовании инцидента по необходимости.
Обеспечить регулярное обновление информации о текущей ситуации и принимаемых мерах, которые позволят минимизировать ущерб от киберинцидента.
Принести публичные извинения и взять на себя ответственность за произошедшее.
Рассказать о мерах, которые приняты для усиления защиты.

Правильная коммуникация с внешним миром

Правильная коммуникация с внешним миром, если вас взломали