Komunikacja firmy w sytuacji cyberataku

Cyberprzestępczość w natarciu

Z badań naukowych1 oraz danych przekazywanych przez służby2 wynika, że każdego dnia na świecie dochodzi do kilku tysięcy ataków. Uniwersytet w Maryland, analizując pod tym kątem rok 2019, stwierdził, że na całym świecie ataki miały miejsce wówczas średnio co 4 sekundy. A przecież kolejny rok to czas ogólnoświatowej pandemii, skutkującej istnym boomem zdalnej pracy, nauki czy usług. To czas, kiedy cały świat przesunął się w kierunku wykorzystania innowacji technologicznych i pracy opartej na narzędziach internetowych. Niestety – jak wynika z informacji przedstawionej podczas nieformalnego spotkania Rady Bezpieczeństwa ONZ – podczas pandemii wzrosła, i to aż o 600%, liczba złośliwych e-maili wykorzystywanych do ataków przez cyberprzestępców.
Choć wielkie korporacje nie są wolne od cyberataków, ofiarami najczęściej padają małe firmy. Pozbawione nowoczesnych zabezpieczeń, dysponujące „kulejącymi” działami IT i brakiem odpowiednio przeszkolonego personelu stanowią łatwiejszy łup. Celem przestępców zazwyczaj nie jest samo włamanie się na serwery i komputery firm czy konkretnej osoby. Sprawcy dążą do przejęcia zgromadzonych tam informacji, by następnie móc szantażować ofiary ich ujawnieniem (ryzyko strat finansowych i reputacyjnych) żądając w zamian okupu z reguły bardzo wysokiej wartości. Czasami przestępcy decydują się na to, by – uwiarygadniając swoje działanie – opublikować w internecie wycinek zdobytych materiałów.
Niektóre podmioty decydują się na wpłacenie okupu, uważając, że w ten sposób zażegnają szybko problem. W rzeczywistości jest to droga donikąd. Przestępcy internetowi – charakterologicznie bliscy tym działającym w sposób tradycyjny – płacącego traktują jak kurę znoszącą złote jajka. Skoro zapłacił raz, to uczyni to po raz kolejny. Atak w przyszłości zatem gwarantowany.

Najpierw zespół kryzysowy

Profesjonalnie działająca firma z pewnością na współpracę z przestępcami iść nie powinna. Powinna za to podjąć odpowiednie działania prawne, komunikacyjne i informatyczne. Dbając o wizerunek firmy i jej finanse oraz mając na względzie nałożone prawem wymogi o ochronie danych osobowych, do takiego zdarzenia trzeba podejść niezmiernie poważnie (w 2019 r. na świecie średni koszt poniesiony przez zaatakowaną firmę to 133 tys. dolarów, zaś łączne szkody szacowano na ponad 11,5 mld dolarów).
Wiedząc o możliwym cyberataku (możliwym, gdyż w początkowej fazie trwa weryfikacja informacji, czy do takowego rzeczywiście doszło i czy utracono dane będące w dyspozycji firmy) osoba odpowiadająca za komunikację firmy powinna rekomendować szefowi powołanie odpowiedniego zespołu (sztabu) kryzysowego.
Zespół kryzysowy ustala plan pracy i harmonogram spotkań, wymienia się najbardziej aktualnymi informacjami, podejmuje strategiczne decyzje, akceptuje podejmowane działania.
Oprócz prezesa, wybranych członków zarządu, prawników firmy, szafa działu IT, osoby odpowiedzialnej za ochronę danych osobowych niewątpliwie w skład zespołu kryzysowego powinien wejść rzecznik prasowy bądź osoba odpowiadająca za komunikację firmy. I tę zewnętrzną, i wewnętrzną. Dobry rzecznik prasowy musi mieć aktualną wiedzę na temat tego, co dzieje się w firmie, by móc adekwatnie do tego przygotować strategię komunikacyjną. Należy przy tym pamiętać, że nawet jeżeli w firmie rozdzielono zadania z zakresu komunikacji zewnętrznej, na te do kontaktów z mediami i te do kontaktów z klientami bądź kontrahentami, to należy przygotować wspólnie wypracowane wytyczne, komunikaty i oświadczenia. Ewentualne błędy popełnione w relacjach z klientami bądź kontrahentami bardzo szybko wrócą i to ze zdwojoną siłą. Zatem warto odpowiednio wcześniej o tym pomyśleć i dysponować już przygotowanym algorytmem postępowania w takiej sytuacji.

…czyli zgłaszać na policję?

Mając informację o możliwym cyberataku i być może także o żądaniu okupu, należy zebrać odpowiednie materiały i zawiadomić o tym fakcie policję bądź prokuraturę (czasami ABW). Tym z pewnością zajmą się prawnicy i eksperci z działu IT. Powinni o tym pamiętać, ale jeśli nie, to warto im przypomnieć. W treści przygotowywanych komunikatów i w wypowiedziach dla mediów ten wątek jest istotny. Przecież to firma stała się ofiarą ataku i przestępstwa, nie jest sprawcą odpowiedzialnym za wyciek danych i to trzeba podkreślać. Inną kwestią jest sposób zabezpieczenia teleinformatycznego firmy, ale to zapewne będzie dopiero przedmiotem wewnętrznych ustaleń.
Każdej odpowiedzialnej, działającej z poszanowaniem prawa firmie zależy także na tym, by przestępcy działający na szkodę firmy i szkodę klientów odpowiedzieli za to. Dlatego informowanie o zainteresowaniu wykryciem sprawców i pociągnięciem ich do odpowiedzialności, przy jednoczesnej deklaracji udzielenia śledczym pełnego wsparcia, jest tak istotne.
Jeśli jest taka możliwość – a czasami wręcz potrzeba wynikająca ze specyfiki działania firmy czy charakteru realizowanych usług – rzecznik prasowy powinien skontaktować się z rzecznikiem prasowym prowadzącej sprawę prokuratury lub rzecznikiem/oficerem prasowym właściwej jednostki policji. Dzięki takiemu odpowiednio wcześnie podjętemu działaniu minimalizujemy potencjalne straty firmy i jej klientów, wynikające z ewentualnego niekontrolowanego i być może zbyt szerokiego upublicznienia informacji na temat prowadzonego postępowania. Kierowanie się ochroną interesu ofiary przestępstwa – a nią jesteśmy – w działaniach komunikacyjnych powinno być wzięte pod uwagę przez organy prowadzące sprawę.

Komunikacja z UODO

Cyberatak skutkujący wyciekiem danych wiąże się z obowiązkiem zgłoszenia takiego zdarzenia organowi zajmującemu się ochronie danych, czyli Urzędowi Ochrony Danych Osobowych. Prawo wyraźnie wskazuje, że należy to uczynić w ciągu 72 godzin od stwierdzenia takiego incydentu. Prawdopodobnie zadanie to będą realizowali prawnicy bądź dział IT, jednak warto dopilnować, by tego dokonano. Jest to o tyle istotne, że przecież w swojej komunikacji będziemy uwzględniać informację o fakcie takiego zgłoszenia i współpracy z UODO. Musimy być wówczas pewni, że podajemy informacje oparte na prawdzie.

Komunikacja z mediami

Odpowiadając za komunikację zewnętrzną firmy w sytuacji cyberataku, koncentrujemy się na mediach, a tym samym szeroko pojętej opinii publicznej. Oczywiście musimy być świadomi, że wychodząc do mediów, trafiamy także do klientów i kontrahentów firmy. W przypadku komunikacji z tymi grupami docelowymi różnice będą pojawiały się praktycznie tylko w wykorzystywanych narzędziach komunikacji. W przypadku media relations to przede wszystkim oświadczenie prasowe, wywiady, udzielanie odpowiedzi na pytania dziennikarzy, komunikacja przez media społecznościowe i stronę internetową. W pierwszej fazie kryzysu, kiedy zazwyczaj następuje jeszcze weryfikacja tego, co tak naprawdę się wydarzyło i jaka jest skala utraty danych, komunikacja medialna będzie działaniem nastawionym na komunikowanie wobec wszystkich grup odbiorców.
W pierwszym stanowisku firmy należy wyraźnie zaakcentować, że staliśmy się ofiarą przestępczego działania. Odradzam zbyt szczegółowe opisywanie sposobu działania sprawców, tego, w jaki sposób mogli wejść w posiadanie informacji i jakie są ich żądania. Przecież nie jesteśmy rzecznikami przestępców – włamywaczy. Nie promujemy ich ani metod ich działania. Nie dajemy także wskazówek i porad dla ewentualnych naśladowców.
Na szczę ście w ostatnich latach daje się zauważyć pozytywny trend wśród wielu ogólnokrajowych mediów, by nie „robić reklamy” takim przestępcom, nie czynić z takich zdarzeń głównych tematów, a jeśli już – to raczej podawać informacje lakonicznie. Niestety, cały czas bardzo szczegółowy opis, uzupełniony zrzutami ekranu i nawet czasami adresami mailowymi, można odnaleźć w fachowych mediach podejmujących problematykę bezpieczeństwa w sieci. Z drugiej strony – przecież stworzono je, by o tym właśnie pisały. Należy jednak edukować dziennikarzy, że każda taka informacja (podobnie jak informacja o podłożeniu ładunku wybuchowego) skutkuje wzrostem aktywności naśladowców. Starajmy się przekonywać dziennikarzy do te...