Miniony rok upłynął w cieniu kolejnych ataków na systemy IT, wycieków i naruszeń danych. Incydenty tego typu są coraz bardziej szkodliwe i coraz bardziej powszechne, między innymi ze względu na przyspieszony przez pandemię wzrost uzależnienia od cyfrowych rozwiązań. „W 2021 cyberbezpieczeństwo stało się problemem wszystkich” – podsumował amerykański portal Axios – „kiedyś cyberzagrożenia stanowiły zmartwienie głównie szefów IT, obecnie stały się czołowym problemem CEO i światowych liderów.” Na potwierdzenie swojej tezy dziennikarze Axios przywołują fakt, że Międzynarodowa Rada J.P. Morgan uznała cyberataki za najpoważniejsze aktualne zagrożenie, a opiniotwórczy Foreign Affairs poświęcił temu zagadnieniu ostatnie wydanie magazynu.

W ciągu ostatniego roku media donosiły o spektakularnych incydentach, jak atak ransomware, który sparaliżował ropociąg Colonial Pipeline czy atak na firmę SolarWinds, który umożliwił włamania do systemów tysięcy jej klientów, w tym największych amerykańskich firm i instytucji. By podważyć zaufanie do szczepionek przeciw COVID-19, opublikowano dokumenty rzekomo pochodzące z cyberataku na Europejską Agencję Leków. Koniec 2021 przyniósł wykrycie poważnej podatności w Apache Log4j – powszechnie stosowanym na całym świecie oprogramowaniu – a 2022 rok zaczął się m.in. od fali cyberataków na Ukrainę.

W Polsce problem naruszeń danych znalazł się w samym centrum debaty publicznej w związku z systematycznie publikowanymi rzekomymi mailami ze skrzynki Michała Dworczyka oraz włamaniami przy użyciu systemu Pegasus. Także firmy borykały się z incydentami, żeby tylko wymienić zaszyfrowanie części danych Media Markt i żądanie okupu, atak na klientów Allegro czy przypadki platform OLX i Vinted, które mierzyły się z falami oszustw wymierzonych w ich użytkowników. Każdy z tych przypadków był inny, ale pokazują one wyraźnie, że cyberbezpieczeństwo naprawdę stało się problemem wszystkich.

Poważne konsekwencje incydentów

Naruszenia danych mają znaczący wpływ zarówno na reputację firmy, jak i wyniki finansowe, moga też potęgować inne wyzwania, z jakimi mierzą się zarządzający – nieudane inwestycje, słabe przywództwo czy przestarzała lub źle zaprojektowana infrastruktura.  

Według danych firmy Check Point cytowanych przez Rzeczpospolitą w 2021 globalna liczba cyberataków wzrosła o 50 proc., a w Polsce aż o 73 proc. Według badania Sophos ataków typu ransomware doświadczyło w ostatnim roku 13 proc. polskich firm, a średni koszt ataku wyniósł 1,49 mln zł (co trzecia firma poniosła koszt 2,5-5 mln zł). Wyniki badania The Changing Face of Cyber Claims 2021 pokazują, że liczba „szkód cybernetycznych” w Europie wzrosła w ostatnim roku o 8 proc. Rosnącą częstotliwość i dotkliwość ataków odzwierciedla prawie 40% wzrost stawek ubezpieczeń od cyberincydentów w pierwszym kwartale 2021.

Szczególne przypadki kryzysów wizerunkowych

Z punktu widzenia zarządzania komunikacją, incydenty cyberbezpieczeństwa to szczególne przypadki kryzysów. Zwykle bowiem charakteryzują się co najmniej jednym z poniższych elementów:

  • Prawnym obowiązkiem szybkiego zgłoszenia naruszenia danych osobowych odpowiedniemu urzędowi, a czasem także podmiotom danych osobowych, których dane zostały naruszone. Może to oznaczać np. obowiązek poinformowania w krótkim czasie kilkudziesięciu tysięcy konsumentów o zaistniałym incydencie.
  • Istnieniem wrogiej strony odpowiedzialnej za incydent, która aktywnie działa w celu pogłębienia i nagłośnienia kryzysu. Dodatkowo, opublikowanie informacji o incydencie jest obecnie łatwiejsze niż kiedykolwiek – grupy przestępcze prowadzą nawet własne serwisy, które temu służą.
  • Istnieniem wrogiej strony odpowiedzialnej za incydent, która wykorzystuje pozyskane informacje do szerzenia dezinformacji poprzez upublicznianie wyselekcjonowanych informacji lub wręcz informacji całkowicie spreparowanych. Cytując Foreign Affairs: „Cyberataki podważają zaufanie, jakie ludzie pokładają w rynkach i rządach.”
  • Koniecznością komunikacji i zarządzania kryzysem w sytuacji, gdy atakujący mogą wciąż posiadać dostęp do systemów IT organizacji. Dlatego tak ważne jest wcześniejsze utworzenie alternatywnych, bezpiecznych kanałów komunikacji i ich przetestowanie, aby w środku kryzysu nie okazało się, że bezpieczna praca nad oświadczeniem dla mediów jest niemożliwa.
  • W przypadku ataków połączonych z żądaniem okupu (ransomware) zarządzający muszą podjąć decyzję czy go zapłacić, rozpocząć negocjacje, czy może odrzucić jakąkolwiek współpracę z przestępcami. Z każdą z tych opcji wiążą się ryzyka, np. zdarzały się wycieki treści negocjacji. Z kolei odrzucenie żądania okupu może wymagać komunikacji, która uzasadni taką decyzję przed interesariuszami, jeśli jej skutkiem będzie istotne zaburzenie działalności firmy.
  • Ze swej natury incydenty dotyczą zwykle systemów, z których korzysta bardzo wiele osób mających niewielką świadomość nt. zaistniałego kryzysu i tego, jak powinny postępować.
  • Reputacja firmy może doznać uszczerbku mimo, że nie ponosi ona bezpośredniej winy. Może była klientem firmy, w której oprogramowaniu znaleziono lukę. Albo atak sparaliżował data center, w którym firma ma serwery. A może – co ostatnio częste – oszuści szukają ofiar na platformie należącej do firmy lub podszywają się pod nią, by oszukiwać ofiary.
  • Skomplikowany problem, o którym musimy mówić w sposób zarówno zrozumiały dla szerokiego grona odbiorców, jak i budzący zaufanie co do naszych zdolności poradzenia sobie z incydentem.
  • Komunikacja musi mieścić się w ramach narzuconych przez przepisy o ochronie danych osobowych i/lub prowadzoną równolegle pracę śledczą.

Jak poradziłeś sobie z kryzysem?

Niestety obecnie każda organizacja powinna liczyć się z ryzykiem cyberataku bądź wycieku danych. Jak usłyszałem od ekspertów z ekipy Niebezpiecznika, prowadzącej audyty bezpieczeństwa, nie zdarzyło się jeszcze by choć jeden pracownik audytowanej firmy nie uległ dobrze przygotowanemu atakowi phishingowemu. Warto więc przygotować się komunikacyjnie na wypadek kryzysu dotyczącego cyberbezpieczeństwa.

H+K Strategies pomaga klientom przygotować się na ataki, wycieki i naruszenia danych. W przypadku wystąpienia incydentu reagujemy proporcjonalnie poprzez doradztwo, wnikliwą analizę i strategiczne planowanie komunikacji. Nasze podejście wykracza poza komunikację – współpracujemy z zespołami operacyjnymi klientów, prawnikami i ekspertami IT. Wspieramy także klientów w opracowywaniu planów postępowania w przypadku incydentu.

Biorąc pod uwagę przepisy dotyczące ochrony danych osobowych i konieczność szybkiego reagowania, niezwykle ważne jest, aby organizacja posiadała jasny i łatwy w użyciu plan komunikacji. Powinien on szczegółowo określać role i obowiązki, zawierać schemat przepływu informacji i eskalacji oraz listę kluczowych działań. We współpracy z zespołem prawnym należy również wyznaczyć wiodący organ nadzorczy w przypadku naruszenia.

Warto pamiętać, że firmy są oceniane na podstawie tego, jak poradziły sobie z kryzysem, a nie tylko tego, że do niego doszło. Nasza reakcja kładzie nacisk na działania podjęte w celu ograniczenia ryzyka przed i po incydencie, w tym odbudowę reputacji.