Вы не найдете термина «киберкризис» в Wiki, а если спросите знакомого PR-специалиста, что это и как с этим справляться, ответы могут удивить. Приставкой «кибер» этот тип кризиса обязан кибератаке. Теперь несложно догадаться, что речь идет об антикризисных коммуникациях, если компания столкнулась с киберинцидентом. Ответить на вторую часть вопроса — как с этим быть пиарщику — значительно сложнее. Экспертиза антикризисного реагирования до, во время и после киберинцидента на российском рынке только зарождается. Как подготовиться к кризису, связанному с киберинцидентом, какие коммуникации нужны и какова роль антикризисного штаба?
Редакция «Московских новостей» задала эти вопросы Нике Комаровой, PR-консультанту, эксперту по стратегическим коммуникациям в ИТ и кибербезопасности. В этой статье разбираемся в механиках повышения кризисной готовности компании и в управлении репутацией, если вы столкнулись с киберкризисом.
Эксперт по стратегическим коммуникациям и антикризису с 20-летним опытом работы на рынках информационных технологий и кибербезопасности в России и Юго-Восточной Азии, Европе и Ближнем Востоке.
Основатель первого в России консалтингового проекта PR machine, системно развивающего экспертизу антикризисных коммуникаций до, во время и после кибератаки. Ведет одноименный блог.
Первый PR-специалист, ставший спикером международной конференции по кибербезопасности Positive Hack Days с докладом о коммуникациях при киберинциденте. Постоянный спикер мероприятий в сферах ИТ, телеком и кибербезопасности: CyberCamp, SOC forum, Территория безопасности, Пиринговый форум и другие. Судья профессиональных конкурсов для PR-специалистов: PR Asia Awards. Singapore, Пресс-служба года, Медиалидер.
ТОП-20 ведущих директоров по корпоративным коммуникациям и корпоративным отношениям в России (2019), ТОП-20 департаментов по коммуникациям (2020), ТОП-10 руководителей по внутренним коммуникациям (2015).
Нам всем привычно ассоциировать кибербезопасность с защитой данных и инфраструктуры. Но для бизнеса в высокорисковой среде киберинцидент проверяет на прочность не только системы кибербезопасности компании, но и ее репутацию.
Если инцидент становится публичным в неконтролируемом режиме, без внятной позиции компании и управляемой коммуникации, ущерб может многократно усиливаться за счет негативного фона. В результате технически компания может вернуться в строй относительно быстро, хотя это зависит от многих факторов, начиная от кризисной готовности компании и заканчивая профессионализмом ИТ и ИБ команд. А восстановление утраченного доверия зачастую превращается в долгий, дорогой и далеко не всегда успешный процесс.
Киберкризис — это критическая ситуация, вызванная масштабным киберинцидентом (например, DDos, атака вируса-вымогателя или утечка персональных данных пользователей), который нарушает или останавливает операционную работу организации и не может быть устранен силами только ИТ-специалистов или команды по информационной безопасности.
Антикризисная PR-аналитика: как развивается кризис в публичном поле
Любой киберинцидент и, соответственно, кризис с ним связанный, развивается по этапам. В рамках этой статьи мы не будем рассматривать, как DFIR-команды (Digital Forensics & Incident Response. — Прим. ред.) выявляют и локализуют инцидент. Сфокусируемся на антикризисных коммуникациях для реагирования на кризис в публичном поле, причиной которого стала кибератака. Внутри компании такой кризис иногда выглядит как форс-мажор, но в медиасреде и соцсетях это почти никогда не «внезапно».
Важно понимать, что у любого кризиса есть подготовительный период, иногда довольно короткий. Как злоумышленники заранее «поднимают» инфраструктуру для атаки, регистрируют домены, готовят инструменты, так и кризис в информационном поле имеет признаки начала. Компания об этом может не знать, но материал для будущего кризиса уже накапливается — где-то появился скриншот, якобы подтверждающий утечку данных, кто-то успел сделать пост в своем телеграм-канале, возможно, СМИ уже начали готовить заметки.
Это — латентная фаза. Широкой аудитории зарождающийся кризис пока незаметен. На этом этапе — важно «засечь» первые всплески и отследить с помощью антикризисной PR-аналитики (мониторинг упоминаний в СМИ и Social Media Listening), в какой момент латентная фаза перерастет в эскалацию. И действовать.
На этапе эскалации кризис выходит из нишевых площадок в медиа с большим охватом: это уже крупные деловые издания, федеральные онлайн-СМИ, телеграм-каналы с сотнями тысяч подписчиков. Если пропустить фазу эскалации и молчать до следующей фазы, пиковой, вы рискуете потерять роль первоисточника в инфополе. А значит — нарратив вокруг вашего киберинцидента будет сформирован кем-то еще. Вы окажетесь в позиции обороняющихся — придется отбиваться от множества версий, слухов и комментариев «диванных экспертов», вместо того чтобы вовремя создать нужный вам сюжет и отсечь домыслы.
Как управлять инфополем на пиковой фазе кризиса
Пик кризиса — самая опасная фаза, когда риск потери контроля над полыхающим инфополем максимален. Это максимум медийного охвата, вся повестка ваша, но вряд ли вы хотели быть ньюсмейкером №1 таким образом.
Любая неточность, попытка увиливания или сокрытия фактов интерпретируется резко негативно: заявления компании рассматриваются буквально под лупой и сопоставляются с другими источниками или ранее сделанными антикризисными заявлениями. Не забываем, что это еще и возможность хайпа на вашем инциденте. Против вас выдвигаются самые нелепые версии, каждое слово пресс-службы или вашего спикера нужно взвешивать предельно тщательно. Если управление повесткой упущено — вернуть его себе на пике крайне сложно. Оставайтесь доступными, не избегайте вопросов, в том числе неудобных. Ваша задача сделать так, чтобы публикации о вашей ситуации выходили с вашей позицией. Это справедливо по отношению к любому кризису.
Но важно помнить: мы с вами говорим про киберинцидент. Ключевой принцип антикризиса в этом случае — сделать коммуникацию максимально полезной для целевой аудитории и максимально бесполезной для злоумышленника.
Следите за тем, что вы раскрываете в публичном поле. Чтобы не сделать хуже, в компании должен быть внедрен процесс верификации данных, а PR-служба должна знать, что ни в коем случае нельзя раскрывать, если киберинцидент еще не локализован и воздействие на пользователей или инфраструктуру не устранено.
Кризисы-сателлиты — чем они опасны и всегда ли стоит на них реагировать
Если вы все сделали правильно, кризис пойдет на спад. Но любая неосторожная коммуникация, нарушенный режим тишины (его стоит вводить только опираясь на данные PR-аналитики) или новый вброс способны разжечь «пожар» заново. Тогда прежние публикации подтянутся к новому инфоповоду и компания рискует вернуться к эскалации, а там и до нового пика недалеко.
Отдельная опасность почти на любой стадии антикризисных коммуникаций — кризисы-сателлиты. Это параллельные нарративы, которые возникают рядом с основным кризисом. Природа кибератаки такова, что ваш инцидент может исследовать сторонний ресерчер и выдвинуть свою версию событий. Ваши антикризисные заявления могут быть поставлены под сомнение. Даже ваш сотрудник, неосторожно поделившись информацией с кем-то из знакомых, может вызвать новую волну кризиса.
Иногда запуск кризисов-сателлитов осуществляется в чьих-то интересах, иногда они спонтанны, а бывает и так, что компания сама становится источником нового кризиса. В любом случае приходится бороться сразу на два фронта и более. Но будьте внимательны — отслеживайте активность вокруг нового негативного инфоповода: если она невелика и не развивается, возможно, он не стоит вашей реакции.
Восстановление инфополя после кризиса
Маркер выхода на этап восстановления информационного поля — рост доли нейтральных публикаций при значительном снижении доли негативных и постепенное переключение внимания аудитории. На этом этапе важно не просто выдохнуть всей PR-командой, но провести ретроспективный анализ, обменяться обратной связью, обновить антикризисный план, проговорить слабые места в коммуникациях и признать допущенные ошибки.
Так вы сможете не только актуализировать кризисную экспертизу внутри компании, но и усилить готовность к следующим инцидентам. Ведь кризисы в PR, равно как и киберинцидент для компании — это вопрос не «если», а «когда».
Если кризис был тяжелым, продумайте долгосрочный план восстановления репутации. Хорошей практикой является рекап киберинцидента, выпуск технического блога, аналитики, использования различных форматов обучения, обмен опытом с индустрией, как в закрытых рабочих группах, так и в рамках публичных выступлений.
Антикризисный план: как готовиться к коммуникациям при киберинциденте
Управление репутацией в кризисный момент зависит от ряда факторов — управленческой зрелости компании, ее культуры, наличия антикризисного плана, понимания ролей, прогнозирования вероятных сценариев кризиса, карты рисков.
Кризис, связанный с киберинцидентом, это лакмусовая бумажка для ряда процессов, ранее принятых решений и наличия компетенций. Все это будет влиять на оперативность действий, запуск каналов коммуникаций и правильную оценку ситуации.
Самая плохая стратегия реагирования на киберкризис — надеяться «разобраться по факту».
Кибератака сложнее, чем кризисы, с которыми сталкивались большинство PR-служб: неудачная импровизация здесь может стоить дорого. Именно поэтому в компании должен быть антикризисный план, где киберинцидент как высокорисковая ситуация, способная «положить компанию на бок», является обязательным сценарием. Как минимум такой план описывает процессы принятия решений, кросс-функциональную оценку критичности ситуации, условия активации кризисного режима реагирования и роли участников антикризисного штаба.
Антикризисный штаб — кто туда входит и зачем он нужен
Главная роль в таком плане отводится антикризисному штабу. Это заранее определенная группа кризисного реагирования для оперативного управления высокорисковой ситуацией. Работая с разными компаниями, я видела штаб всего из трех человек — генерального директора, юриста и ИТ-специалиста. В другом случае только от коммуникационного блока в штаб входили пятеро руководителей — PR, GR (Government Relations), руководитель по связям с инвесторами (Investor Relations), руководитель по управлению репутацией в соцмедиа (Online Reputation Management) и руководитель по внутренним коммуникациям (Internal Communications).
Главой штаба, как правило, является генеральный директор. В зависимости от масштаба компании в штаб могут входить: руководители ИТ, SOC, служба поддержки, коммерческий блок, PR, маркетинг, специалисты по внутренним коммуникациям или HR. Наконец, в штабе должны быть финансисты и юристы.
Ключевое отличие такого штаба от «сбора в переговорке за кофе» в том, что у каждой функции есть закрепленная в антикризисном плане модель оценки критичности кризиса, понятные роли и план действий.
Финансовый блок заранее понимает, какой порядок убытков может дать простой разных частей инфраструктуры, из-за чего компания не сможет выполнить SLA. Юристы точно знают, какие формулировки опасны в антикризисных заявлениях. HR и внутренние коммуникации понимают, когда и как информировать сотрудников, чтобы избежать утечки или неконтролируемых выходов в инфополе.
Как проверить антикризисный план на работоспособность?
Про это можно написать отдельную статью. Но смысл в том, что если вы просто назначили людей участниками штаба — уровень вашей подготовки не сильно выше нулевого. Для того чтобы понять работает ли ваш план, отработайте хотя бы один кризисный сценарий, проведите внутренние киберучения, куда интегрированы и техническое реагирование, и кризисные коммуникации. В таких имитационных сценариях всплывает огромное количество вопросов, которые лучше снять до реального инцидента, а не в момент, когда все уже началось.
