Говорить нельзя молчать: план коммуникаций при киберинциденте
Как киберинцидент превращается в репутационный пожар, кто должен его тушить и почему важно заранее согласовать антикризисную стратегию на любое недопустимое событие.
Почему тишина во время кибератаки работает против компании
Киберинцидент, который привел к сбою в работе компании или утечке данных, — это такой же корпоративный кризис, как авария на производстве или судебные разбирательства. Большинство компаний в такие моменты предпочитает молчать — «лучше ничего не говорить, чем сказать не то». В это время клиенты, партнеры, журналисты теряются в догадках. И часто их воображение рисует сценарии похлеще реальности. Домыслы, появившиеся в публичном пространстве, превращают жизнь компании в ад, надолго отравляя информационное поле вокруг нее.
Молчание может стать бомбой замедленного действия: в момент кризиса удается избежать шумихи, но последствия могут обнаружиться позднее — и это сильно ударит по репутации (а иногда и по бюджету). Так, в 2016 хакеры украли данные 57 млн пользователей Uber, но компания заплатила им $100 тыс. за молчание. Через год об утечке все же стало известно, и последствия оказались масштабными: штрафы на $148 млн, отставки топов и потеря доверия партнеров.
Основная ошибка компаний в момент киберинцидента — отсутствие продуманного заранее плана действий, что приводит к спонтанным решениям и невозможности быстро наладить процессы. В феврале 2024 года хакеры взломали Change Healthcare — страховую компанию, которая обрабатывает платежи и рецепты для миллионов американских врачей и аптек. ИБ‑специалисты обнаружили неладное только через девять дней и полностью отключили компьютеры, чтобы остановить злоумышленников. Но альтернативы для пользователей не было: аптеки не могли выписывать лекарства, больницы — принимать оплату, а людям пришлось платить за таблетки наличными на месте. Компания заплатила выкуп, но данные все равно утекли в сеть. Пациентов и партнеров уведомили спустя месяцы, не предложив компенсации. В итоге ущерб от киберинцидента превысил 3 млрд долларов, репутация рухнула.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Антикризисный план
У авиакомпаний на случай падения самолёта есть «черная папка». Это четкий план реагирования: кто и в какие сроки делает заявления, как «перекрасить» сайт в траурные цвета и запустить специальный раздел с оперативной информацией. Когда кризис случился, времени думать нет.
В отношении киберинцедентов тоже нужна «черная папка» — антикризисная стратегия. В контексте ИБ у каждой компании есть свой список недопустимых событий: сбой в работе сервисов, утечка клиентских данных, недоступность основных систем, обеспечивающих работу бизнеса, кража денег со счетов и т.д. Для каждого недопустимого события разрабатывается своя стратегия коммуникаций.
Это короткий документ, в котором расписан алгоритм действий и распределены роли. Второе важнее — в компании должен быть единый антикризисный центр, который выдает проверенную и взвешенную информацию в публичное поле. Если разные департаменты и их руководители начинают перетягивать одеяло на себя, получается хаос, который усугубляет ситуацию. Приведу пример.
На практике при киберинциденте, как правило, активизируются три функции — ИБ, юридическая служба и маркетинг/PR. Первая устраняет последствия сбоя, вторая — просчитывает риски. Оба департамента крайне осторожны и предпочитают замалчивать проблемы — даже внутри компании. Маркетинг и PR не могут понять, что в действительности происходит и вовремя среагировать. Молчание расценивается внешними наблюдателями как подтверждение катастрофы. Либо во вне просачивается ложная информация от сотрудников, которые тоже остаются в неведении.
Ролевая модель при любом киберинциденте должна быть другой. Пресс‑служба или пиар‑департамент — это главный антикризисный штаб. ИБ и юридическая служба, продолжая заниматься своими прямыми задачами, помогают с интерпретацией информации и оценкой рисков. Так, ИБ‑департамент берет на себя разъясняющую роль. Для точной коммуникации необходимы факты: что реально произошло, на кого повлияло, насколько критична ситуация и сколько времени нужно для устранения сбоя и его последствий. ИБ‑директор должен уметь выдать честный и быстрый ответ. Что и кому можно транслировать — решает PR.
Юристы в этой схеме — опциональны. Их работа — подсказать, можно ли формулировку «утечка» заменить на «инцидент». Но не определять тон коммуникации. Если юристы требуют молчать, вопрос эскалируется наверх — на генерального директора, который и должен в самом начале согласовать антикризисную стратегию.
Таким образом, первое правило коммуникаций во время киберинцидента — говорит только пресс‑служба. Остальные — молчат.
Нет универсальной формулы «безопасного минимума» информации. Всё зависит от контекста. Если инцидент небольшой и некритичный, о нем никто не знает — привлекать к нему внимание самим нецелесообразно. Но чаще бывает наоборот: не обозначить позицию — значит позволить всем остальным написать ее за вас. Если сказать пока нечего (не ясны последствия или масштаб проблемы), нужно выйти с коротким, ясным, уверенным сообщением: «мы знаем, разбираемся».
В течение трех дней важно объяснить, что произошло, как компания устраняет последствия и что делает, чтобы предотвратить повторение ситуации. О профилактике и мерах по усилению безопасности стоит регулярно рассказывать в течение ближайшего полугода.
Внутренние коммуникации
Еще одна ошибка, способная добавить масла в огонь, — отсутствие внутренней коммуникации. Сотрудник прочел новость, переслал в корпоративный чат, добавил «там все плохо», — и вуаля, у вас новая волна паники. Антикризисная инструкция должна включать пункт «внутреннее обращение». Например, в разгар инцидента стоит рассказать о ситуации коротко, дружелюбно, человеческим языком: «Коллеги, у нас произошел технический инцидент. Сейчас разбирается команда ИБ, всю информацию собирает пиар‑служба. Просьба не комментировать вовне и все запросы перенаправлять нам».
Иногда имеет смысл сделать вторую коммуникацию — когда факты уже прояснились, и можно спокойно объяснить людям, что произошло. Это не избыточный жест, а элемент удержания лояльности — ведь тревожатся не только клиенты, но и команда.
Высшая лига: проактивный киберпиар
Идеальный пиар в ИБ — тот, который последовательно реализуется до инцидента. Например, когда компания участвует в программах баг‑баунти или открытых кибериспытаниях. Так, российская ИТ‑компания Innostage больше года находится под прицелом белых хакеров, которые за вознаграждение пытаются реализовать недопустимое событие.
Да, страшно выходить в паблик с вызовом хакерам, но так строится доверие — и внутри компании, и в деловой среде. А заодно — снимается часть напряжения, потому что кризис уже заранее проговорен и встроен в корпоративную культуру.
Киберинцидент — не конец света. Это стресс‑тест на зрелость компании. Когда заранее описаны недопустимые события, есть «черная папка» и распределены роли, кризис не становится катастрофой — его превращают в управляемый рабочий сценарий с минимальными репутационными потерями.
