Rośnie ryzyko kryzysów wizerunkowych związanych z cyberbezpieczeństwem
Autor:
Miniony rok upłynął w cieniu kolejnych ataków na systemy IT, wycieków i naruszeń danych. Incydenty tego typu są coraz bardziej szkodliwe i coraz bardziej powszechne, między innymi ze względu na przyspieszony przez pandemię wzrost uzależnienia od cyfrowych rozwiązań. „W 2021 cyberbezpieczeństwo stało się problemem wszystkich*” – podsumował amerykański portal Axios. „Kiedyś cyberzagrożenia stanowiły zmartwienie głównie szefów IT, obecnie stały się czołowym problemem CEO i światowych liderów” – napisał. Na potwierdzenie swojej tezy dziennikarze Axios przywołują fakt, że Międzynarodowa Rada J.P. Morgan uznała cyberataki za najpoważniejsze aktualne zagrożenie**, a opiniotwórczy „Foreign Affairs” poświęcił temu zagadnieniu ostatnie wydanie magazynu.
Czytaj także: Co może wywołać kryzysy w 2022 roku?
W ostatnim roku media donosiły o spektakularnych incydentach, jak atak ransomware, który sparaliżował ropociąg Colonial Pipeline, czy atak na firmę SolarWinds, który umożliwił włamania do systemów tysięcy jej klientów, w tym największych amerykańskich firm i instytucji. By podważyć zaufanie do szczepionek przeciw COVID-19, opublikowano dokumenty rzekomo pochodzące z cyberataku na Europejską Agencję Leków. Koniec 2021 roku przyniósł wykrycie poważnej podatności w Apache Log4j – powszechnie stosowanym na całym świecie oprogramowaniu – a 2022 rok zaczął się m.in. od fali cyberataków na Ukrainę.
W Polsce problem naruszeń danych znalazł się w samym centrum debaty publicznej w związku z systematycznie publikowanymi rzekomymi mailami ze skrzynki Michała Dworczyka oraz włamaniami przy użyciu systemu Pegasus. Także firmy borykały się z incydentami – wystarczy tylko wymienić zaszyfrowanie części danych Media Markt i żądanie okupu, atak na klientów Allegro czy przypadki platform OLX i Vinted, które mierzyły się z falami oszustw wymierzonych w ich użytkowników. Każdy z tych przypadków był inny, ale pokazują one wyraźnie, że cyberbezpieczeństwo naprawdę stało się problemem wszystkich.
Poważne konsekwencje incydentów
Naruszenia danych mają znaczący wpływ zarówno na reputację firmy, jak i wyniki finansowe, mogą też potęgować inne wyzwania, z jakimi mierzą się zarządzający – nieudane inwestycje, słabe przywództwo czy przestarzała lub źle zaprojektowana infrastruktura.
Według danych firmy Check Point cytowanych przez Rzeczpospolitą***, w 2021 globalna liczba cyberataków wzrosła o 50 proc., a w Polsce aż o 73 proc. Według badania Sophos ataków typu ransomware doświadczyło w ostatnim roku 13 proc. polskich firm, a średni koszt ataku wyniósł 1,49 mln zł (co trzecia firma poniosła koszt 2,5-5 mln zł). Wyniki badania The Changing Face of Cyber Claims 2021 pokazują, że liczba „szkód cybernetycznych” w Europie wzrosła w ostatnim roku o 8 proc. Rosnącą częstotliwość i dotkliwość ataków odzwierciedla prawie 40 proc. wzrost stawek ubezpieczeń od cyberincydentów w pierwszym kwartale 2021 roku.
Szczególne przypadki kryzysów wizerunkowych
Z punktu widzenia zarządzania komunikacją incydenty cyberbezpieczeństwa to szczególne przypadki kryzysów. Zwykle charakteryzują się bowiem co najmniej jednym z elementów opisanych poniżej.
Pierwszym z nich jest prawny obowiązek szybkiego zgłoszenia naruszenia danych osobowych odpowiedniemu urzędowi, a czasem także podmiotom danych osobowych, których dane zostały naruszone. Może to oznaczać np. obowiązek poinformowania w krótkim czasie kilkudziesięciu tysięcy konsumentów o zaistniałym incydencie. Ponadto, komunikacja musi mieścić się w ramach narzuconych przez przepisy o ochronie danych osobowych i/lub prowadzoną równolegle pracę śledczą.
W przypadku celowanych cyberataków na konkretne firmy istnieje wroga strona odpowiedzialna za incydent, która może aktywnie działać w celu pogłębienia i nagłośnienia kryzysu. Sytuację komplikuje dodatkowo fakt, że obecnie opublikowanie informacji o incydencie jest łatwiejsze niż kiedykolwiek – grupy przestępcze prowadzą nawet własne serwisy, które temu służą. Wroga strona może także wykorzystywać pozyskane informacje do szerzenia dezinformacji przez upublicznianie wyselekcjonowanych informacji lub wręcz informacji całkowicie spreparowanych. Cytując „Foreign Affairs”: „Cyberataki podważają zaufanie, jakie ludzie pokładają w rynkach i rządach”.
Kolejny charakterystyczny element to konieczność komunikacji i zarządzania kryzysem w sytuacji, gdy atakujący mogą wciąż mieć dostęp do systemów IT organizacji. Dlatego tak ważne jest wcześniejsze utworzenie alternatywnych, bezpiecznych kanałów komunikacji i ich przetestowanie, aby w środku kryzysu nie okazało się, że bezpieczna praca nad oświadczeniem dla mediów jest niemożliwa.
W przypadku ataków połączonych z żądaniem okupu (ransomware) zarządzający muszą podjąć decyzję, czy go zapłacić, rozpocząć negocjacje, czy może odrzucić jakąkolwiek współpracę z przestępcami. Z każdą z tych opcji wiążą się ryzyka, np. zdarzały się wycieki treści negocjacji. Z kolei odrzucenie żądania okupu może wymagać komunikacji, która uzasadni taką decyzję przed interesariuszami, jeśli jej skutkiem będzie istotne zaburzenie działalności firmy.
Zarządzanie kryzysem komplikuje to, że ze swej natury incydenty dotyczą zazwyczaj systemów, z których korzysta bardzo wiele osób mających niewielką świadomość na temat zaistniałego kryzysu i tego, jak powinny postępować. Wewnątrz i na zewnątrz organizacji musimy więc mówić o skomplikowanym problemie w sposób zarówno zrozumiały dla przeciętnego Kowalskiego, jak i budzący zaufanie co do naszych zdolności poradzenia sobie z incydentem.
Ostatnim elementem, z którym powinni liczyć się zarządzający, jest ryzyko, że reputacja firmy dozna uszczerbku, mimo że przedsiębiorstwo nie ponosi bezpośredniej winy. Może było klientem dostawcy oprogramowania, w którym znaleziono lukę. Albo atak sparaliżował data center, w którym firma ma serwery. A może – co ostatnio częste – oszuści szukają ofiar na platformie należącej do firmy lub podszywają się pod nią, by oszukiwać ofiary.
Jak poradziłeś sobie z kryzysem?
Niestety obecnie każda organizacja powinna liczyć się z ryzykiem cyberataku bądź wycieku danych. Jak usłyszałem od ekspertów z ekipy Niebezpiecznika, prowadzącej audyty bezpieczeństwa, nie zdarzyło się jeszcze, by choć jeden pracownik audytowanej firmy nie uległ dobrze przygotowanemu atakowi phishingowemu. Warto więc przygotować się komunikacyjnie na wypadek kryzysu dotyczącego cyberbezpieczeństwa.
Biorąc pod uwagę przepisy dotyczące ochrony danych osobowych i konieczność szybkiego reagowania, niezwykle ważne jest, aby organizacja posiadała jasny i łatwy w użyciu plan komunikacji. Powinien on szczegółowo określać role i obowiązki, zawierać schemat przepływu informacji i eskalacji oraz listę kluczowych działań. We współpracy z zespołem prawnym należy również wyznaczyć wiodący organ nadzorczy w przypadku naruszenia. W sytuacji, gdy już dojdzie do incydentu, istotne jest, by reakcja była proporcjonalna, a zespół odpowiedzialny za komunikację współpracował blisko z zespołami operacyjnymi, prawnikami i ekspertami IT. Warto pamiętać, że firmy są oceniane na podstawie tego, jak poradziły sobie z kryzysem, a nie tylko tego, że do niego doszło.
Szymon Szymczyk, Senior Advisor, Technology Practice, Hill+Knowlton Strategies
Z branżą komunikacji związany od ponad 14 lat. W Hill+Knowlton Strategies zapewnia wsparcie strategiczne dla kluczowych klientów, realizował projekty z obszarów m.in. walki z dezinformacją, issue management, komunikacji korporacyjnej oraz naruszeń cyberbezpieczeństwa. Interesuje się wykorzystaniem nauk behawioralnych w PR. Wcześniej związany m.in. z agencją Planet Partners, gdzie realizował projekty dla klientów z sektora kosmicznego, ochrony danych osobowych, autonomicznych pojazdów, fintech i big data. Prowadził zajęcia PR Online w SWPS.
_________
* https://www.axios.com/2021-cybersecurity-ransomware-cyber-attack-91ccc59...
** https://www.jpmorganchase.com/news-stories/jpmc-international-council-sa...
*** https://www.rp.pl/ekonomia/art19317131-drastyczny-wzrost-liczby-cyberata...