57 milionów, 92 miliony, 130 milionów, 500 milionów – to nie ostatnie wygrane w totalizatorze, tylko szacunkowe liczby dotyczące wielkości grup klientów, których dane wyciekły z systemów informatycznych największych korporacji na świecie w ostatnich kilkunastu miesiącach. W większości przypadków kradzież danych nastąpiła na wiele miesięcy wcześniej, zanim zaatakowane przedsiębiorstwa zarejestrowały taki fakt (według raportu z badania KPMG „Barometr cyberbezpieczeństwa”[1] średnio aż pół roku mija zanim firma odkryje, że jej infrastruktura informatyczna została zhakowana). W przypadku chyba najbardziej spektakularnego wycieku danych, ogłoszonego pod koniec listopada – klientów sieci Marriott – nieuprawiony dostęp do danych wykryto po… czterech latach! Czy to nowa codzienność działów PR? Tak. Badania i raporty rynkowe potwierdzają, że sytuacje, w których wizerunek i reputacja firm będą cyberzagrożone, stają się normą.
Większość polskich firm doświadczyło przynajmniej jednego cyberincydentu
Według raportu „The Global Risks Report 2018” przygotowanego przez World Economic Forum [2], cyberataki i przestępstwa związane z nieuprawnionym wykorzystaniem danych są dziś wśród ryzyk o największym potencjale wystąpienia (TOP 4), a same cyberataki zagrożeniami o największym wpływie na działalność organizacji (TOP 6). Warto podkreślić, że cyberprzestępstwa nie są bynajmniej problemem tylko organizacji międzynarodowych. Według PwC jedynie kraje Europy Środkowo-Wschodniej i Ameryki Łacińskiej jeszcze nie doszły do wniosku, że cyberbezpieczeństwo jest dziś priorytetem. Tymczasem szacuje się, że w 2017 roku straty spowodowane cyberatakami poniosło przynajmniej 44 proc. polskich przedsiębiorstw, a sześć na dziesięć firm odnotowało zakłócenia i przestoje w funkcjonowaniu (dane za raportem „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” [3]).
Według KPMG ten odsetek jest jeszcze wyższy i w 2017 roku aż 82 proc. działających w Polsce przedsiębiorstw odnotowało przynajmniej jeden cyberincydent (dane za raportem „Barometr cyberbezpieczeństwa. Cyberatak zjawiskiem powszechnym”). W takiej sytuacji trywialne jest stwierdzenie, że problem z wyciekiem danych niezależnie od rodzaju prowadzonej działalności i wielkości organizacji jest tylko kwestią czasu. Mimo to wiele przedsiębiorstw nie jest na to gotowych.
Komunikacja w sytuacji cyberprzestępstwa
W przypadku wycieku danych komunikację można porównać do komunikacji w czasie katastrofy, gdy większość danych jest niewiadoma (kto się włamał do naszego systemu, po co, co zrobił z danymi), a wiele osób, w tym media, zainteresowanych jest przebiegiem wydarzeń i możliwie szybkim uzyskaniem informacji. Ponadto w rzeczywistości RODO, jeśli wyciek dotyczy danych osobowych, administratorzy danych są zobowiązani m.in. w ciągu 72 godzin zgłosić ten incydent do Prezesa Urzędu Ochrony Danych Osobowych. W wielu przypadkach, gdy naruszenie bezpieczeństwa danych może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (np. klientów), należy także poinformować osoby, których dane zostały wykradzione. Oczywiście nie o wszystkich cyberatakach trzeba od razu informować na zewnątrz. Jednak w przypadku poważnych zdarzeń eksperci ds. cyberbezpieczeństwa podkreślają, że szybka, transparentna i rzetelna komunikacja ma ogromne znaczenie dla odbioru danego zdarzenia przez otoczenie zarówno zewnętrzne, jak i wewnętrzne.
Patrząc na treść oświadczeń, jakie wydają firmy w odpowiedzi na wykrycie wycieku danych, można przyjąć dość klasyczny model odpowiedzi, gdzie praktycznie zawsze można podać:
– co już wiemy? (np. nastąpił wyciek, jakich danych, kiedy, kogo może dotyczyć, co może w związku z tym grozić klientom)
– co już zrobiliśmy w związku z danym zdarzeniem? (np. zgłoszenie sprawy na policję, do stosownych urzędów, weryfikacja zabezpieczeń, audyt bezpieczeństwa)
– czego nie wiemy i chcemy się dowiedzieć? (np. kto dokonał włamania/kradzieży, czy dane zostały już wykorzystane do przestępstwa/sprzedane dalej)
– co chcemy zrobić? (np. zmienić/uszczelnić system bezpieczeństwa)
Powyższe punkty warto uzupełnić o:
– co powinni zrobić klienci, by się zabezpieczyć i zminimalizować ryzyko wykorzystania ich danych do np. włamania na prywatne konta? (np. zmienić hasła, uważać na potencjalny atak phishingowy, monitorować podejrzane zdarzenia/operacje na swoich urządzeniach elektronicznych/kontach)
Przypadek Grupy Marriott
Na podobny modelu oparła się Grupa Marriott, wydając swoje oświadczenie [4] i informując opinię publiczną o gigantycznym wycieku danych (dotyczących 500 mln klientów). Przy tej skali zagrożenia Marriott dołożył starań, by umożliwić jak największej grupie potencjalnie poszkodowanych uzyskanie informacji o całym zdarzeniu. W tym celu m.in. przy wsparciu firmy zajmującej się cyberbezpieczeństwem Martiott postawił serwis internetowy [5] w kilkunastu językach oraz uruchomił całodobową infolinię (ciekawostka – także w języku polskim). Klienci sieci hotelowej mogą także przez rok bezpłatnie korzystać z aplikacji do monitorowania aktywności w internecie, by jak najszybciej otrzymać informacje o możliwym nieuprawnionym wykorzystaniu ich danych.
Co istotne, Marriott aktualizuje na bieżąco informacje o stanie śledztwa. Ostanie doniesienia wskazują, że za atakami stoją chińscy hakerzy, a sprawa nabiera politycznego charakteru. Niezależnie jednak od tego, jak dalej potoczy się historia hotelarzy, każda firma może wyciągnąć z niej naukę dla siebie.
Największe zagrożenie płynie z wewnątrz organizacji
To, od czego warto zacząć przygotowania do uruchomienia potencjalnej komunikacji kryzysowej w przypadku cyberprzestępstwa, to komunikacja wewnętrzna. Ogromną rolę w kryzysach związanych z cyberbezpieczeństwem odgrywają bowiem… pracownicy. Według cytowanego wcześniej raportu PwC, powodem różnego rodzaju incydentów są aktualni (33 proc.) lub byli (13 proc.) pracownicy. Dlatego nie bez powodu we wdrażanym w tym roku rozporządzeniu o ochronie danych osobowych (RODO) tak duży nacisk kładziony był (i nadal jest) na szkolenia pracowników. Ponieważ nawet najlepszy system zabezpieczeń nie pomoże, jeśli jego użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa. Eksperci mówią tutaj o potrzebie budowania kultury cyberbezpieczeństwa, gdzie każdy pracownik jest świadomy swojej roli w systemie ochrony elektronicznych zasobów firmy – nie tylko unika podstawowych błędów, ale też wie, co robić, gdy dojdzie do incydentu.
Tomasz Kordowski, PR Manager w Sage, wykładowca London School of Public Relations
[1] KPMG Barometr cyberbezpieczeństwa
[2] „The Global Risks Report 2018” World Economic Forum
[3] „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście”