Kibernetski napad je tehnični incident samo v prvih minutah. Zelo hitro postane poslovna, pravna, operativna in komunikacijska kriza. Tehnična ekipa rešuje sisteme, zaposleni, stranke, lastniki, regulatorji in javnost pa si v istem trenutku že ustvarjajo sliko, ali podjetje položaj obvladuje ali ne.
Povedali smo že neštetokrat, pa dajmo še enkrat: skoraj gotovo se bo nekoč tudi vam pripetil kibernetski napad. Naš nacionalni odzivni center SI-CERT je za lani izračunal kar 35-odstotno povečanje števila incidentov, skupaj so jih v tem času obravnavali več kot šest tisoč, in kot predvidevajo, se bo ta peklenski tempo nadaljeval še nekaj časa.
Podjetja pogosto verjamejo, da se bodo v kriznem trenutku že znala ustrezno odzvati, vendar se prav pri varnostnem incidentu pokaže, kako nevarno je takšno razmišljanje. »Pri varnostnem incidentu je improvizacija najslabša in žal tudi najdražja možna strategija,« opozarja Andreja Proj, projektna vodja za komunikacije v NIL, del skupine Conscia. Projeva poudarja, da prav zato komunikacija v takem trenutku ni več podporna funkcija, temveč del kriznega upravljanja: »Varnostni incident ni le test naše infrastrukture. Je test našega voditeljstva.«
Komunikacija pride na vrsto pozneje? Seveda ne
Prva napaka je, da ni jasno določeno, kdo komunicira in prek katerih kanalov. Druga je tišina. Organizacija pogosto čaka na trenutek, ko bo imela popolne informacije, medtem pa nastane komunikacijski vakuum. Tretja napaka je ton: podjetja pogosto izhajajo iz lastne potrebe po obveščanju, ne iz potrebe tistih, ki so od incidenta neposredno ali posredno odvisni. Projeva zato opozarja na pomemben miselni obrat. Podjetja se ne smejo vprašati samo: »Kaj moramo sporočiti?« Glavno vprašanje je: »Kaj morajo ljudje vedeti, da ostanejo mirni in funkcionalni?« Po njenem je prav tu razlika med informiranjem in vodenjem. Večina organizacij še vedno razmišlja linearno: najprej tehnika, potem pravna služba, potem komunikacija. V resnici morajo vse tri funkcije teči komplementarno, obenem.
Odločilna je … prva ura
Prva ura po incidentu je ena najpomembnejših faz kriznega odziva. V tem času organizacija pogosto še ne more rešiti celotnega napada, lahko pa postavi okvir: kdo je aktiviran, kje se ekipa sestane, kdo zbira dejstva, kdo odobrava sporočila, kdo komunicira s strankami in kdo skrbi za dokazni material.
»V prvi uri ne iščimo popolnosti. Kar osebe na drugi strani potrebujejo, je jasen, miren in organiziran odziv,« pravi Projeva.
Zato mora imeti krizna ekipa vnaprej določene vloge: vodjo ekipe, koordinatorja, predstavnika informacijske varnosti, pravno podporo, predstavnika za stranke, logistično podporo in moderatorja komunikacij. Pomembna je tudi redundanca. Krizni načrt mora predvideti namestnike, varne lokacije, ažurne kontaktne sezname in jasna navodila. Incidenti se pogosto zgodijo ponoči, med vikendom ali ravno takrat, ko ključnega človeka ni mogoče dobiti.
Komunicirati dovolj, a ne preveč
Ena najtežjih odločitev v prvih urah incidenta je, kaj povedati takoj in česa zaradi varnosti, forenzike ali pravnih razlogov še ni pametno razkriti. Projeva to povzame kot načelo ravnotežja: »Komunicirati dovolj, da ohranimo zaupanje, vendar ne toliko, da bi ogrozili preiskavo ali varnostne ukrepe.«
Organizacija mora čim prej povedati, kaj in kdaj se je zgodilo, kakšen je vpliv na uporabnike ali poslovanje, katere ukrepe izvaja za zajezitev razmer ter kje in kdaj bodo na voljo dodatne informacije. Ne sme pa razkrivati tehničnih podrobnosti, ki bi lahko pomagale napadalcu, razkrile ranljivosti, vplivale na forenzično preiskavo ali povzročile dodatno varnostno tveganje. To pa ni izgovor za molk. Če podjetje čaka na popolno sliko, pogosto izgubi nadzor nad razlago dogodka. »Kadar organizacija čaka na trenutek, ko bo imela popolne informacije, nastane vakuum, ki ga hitro zapolnijo govorice in napačne interpretacije,« opozarja Projeva.
Komunikacijski načrt ni seznam telefonskih številk
Dober komunikacijski načrt ni dokument, ki ga organizacija odloži v predal. Je operativni mehanizem za odločanje pod pritiskom. Odgovoriti mora na vprašanja, koga obveščamo, katere kanale uporabljamo, kdo komunicira, kakšen je ton komunikacije, kaj ostaja zaupno in kakšna je sekvenca obveščanja. Torej, koga obvestimo najprej, po katerem kanalu, kdo mora sporočilo predhodno potrditi, kako pogosto sledijo posodobitve in kdaj komunikacijo razširimo na širšo javnost. Posebej pomembno je načelo, da navzven govori ena oseba, medtem ko vsebino v ozadju pripravlja in preverja več strokovnjakov krizne ekipe. Razlog ni formalizem, temveč zaupanje. »V krizi ljudje ne presojajo samo informacij, temveč tudi stabilnost organizacije,« pravi Projeva. Zato mora biti za komuniciranje navzven odgovorna ena oseba, ki uskladi ton in stoji za izrečenimi besedami. »Ne iz pozicije moči, temveč odgovornosti.«
Najboljša sporočila niso napisana med krizo
Eden najbolj praktičnih poudarkov Andreje Proj izhaja iz vaj kriznega komuniciranja. Na prvi večji vaji je kot moderatorka komunikacij doživela prav tisto, kar se v resnični krizi zgodi zelo hitro: podatkov je preveč, časa premalo, stanje pa se nenehno spreminja. Rešitev so vnaprej pripravljene predloge po fazah incidenta in ciljnih skupinah. Predloge niso namenjene temu, da bi organizacija vnaprej napisala končno sporočilo za vsako možno situacijo. »Te predloge delujejo kot lego kocke, ki nas rešijo pred kaosom; omogočajo nam hitro prilagajanje ter zagotavljajo jasnost in doslednost,« pojasnjuje sogovornica. Za zaposlene je potreben drugačen poudarek kot za stranke. Za regulatorja drugačen ton kot za medije. Prvo obvestilo ima drugačno funkcijo kot obvestilo med prekinitvijo ali sporočilo ob vrnitvi v normalno poslovanje.
Andreja Proj, NIL, del skupine Conscia: »V krizi ljudje ne presojajo samo informacij, temveč tudi stabilnost organizacije. Zato mora biti za komuniciranje navzven odgovorna ena oseba, ki uskladi ton in stoji za izrečenimi besedami. Ne iz pozicije moči, temveč odgovornosti.«
Predloga kot okvir
Dobra predloga vsebuje osnovno strukturo, glavne elemente sporočanja, vnaprej usklajen ton in jasno logiko posodabljanja informacij. Vedno mora odgovoriti na osnovna vprašanja: kaj se je zgodilo, kakšen je vpliv na uporabnike oziroma poslovanje, katere ukrepe organizacija izvaja za zajezitev razmer, kaj mora storiti prejemnik sporočila ter kje in kdaj bodo na voljo dodatne informacije. To je pomembna razlika. Dobra komunikacija med kibernetskim napadom ni zgolj časovnica dogodkov. Je prevod incidenta v vprašanja uporabnika: kaj to pomeni zame, ali moji podatki uhajajo, ali storitev deluje, kaj moram storiti zdaj, kdaj boste znova sporočili več?
Prav zato mora biti prvi odziv kratek, jedrnat in pripravljen s stališča prejemnika informacij. Tehnični izrazi so lahko nujni za strokovnjake, vendar v prvem sporočilu pogosto ustvarijo več zmede kot jasnosti. V krizi preveč tehničnega jezika ne deluje kot strokovnost, temveč kot dimna zavesa.
Komunikacija postane regulativna disciplina
V reguliranih okoljih komunikacija ni več samo vprašanje ugleda. Ko incident vključuje osebne podatke, regulatorje in obvezna poročanja, se komunikacijska strategija precej spremeni. »Takrat komunikacija postane precej bolj regulirana in časovno občutljiva, vezana na zakonske obveznosti, regulatorne roke in pravne odgovornosti,« pravi Projeva.
V slovenskem prostoru to vprašanje ureja zakon o informacijski varnosti (ZInfV- 1). Ta od bistvenih in pomembnih subjektov zahteva, da nacionalnemu odzivnemu centru SI-CERT priglasijo pomembne incidente, torej tiste, ki povzročijo ali bi lahko povzročili resne operativne motnje, finančne izgube ali precejšnjo škodo drugim fizičnim ali pravnim osebam. Časovnica je stroga: zavezanec mora najpozneje v 24 urah po zaznavi pomembnega incidenta poslati zgodnje sporočilo, v 72 urah priglasitev incidenta z začetno oceno resnosti in vpliva, končno poročilo pa praviloma v enem mesecu po priglasitvi. Če incident verjetno negativno vpliva na zagotavljanje storitev, morajo biti nemudoma obveščeni tudi uporabniki teh storitev. To pomeni, da komunikacija ni več PR-dodatek po tehnični sanaciji, ampak del regulativne discipline.
Ko sistemi padejo, ostane zaupanje
To je najpomembnejša lekcija za podjetja, ki kibernetski incident še vedno razumejo predvsem kot stvar IT. Tehnika, pravo in komunikacija morajo teči usklajeno. Nekdo mora ves čas skrbeti, da organizacija ne govori prehitro, a tudi ne prepozno; da ne razkriva škodljivih tehničnih podrobnosti, a hkrati ne zmanjšuje resnosti incidenta; in da med pravnim, tehničnim in poslovnim jezikom ne nastane protislovje. »Ko sistemi padejo, ostane le zaupanje. Zaupanje pa je rezultat jasne, pravočasne in dosledne komunikacije,« pravi Projeva. Glavno vprašanje zato ni, ali bo organizacija kibernetski napad doživela, ampak ali bo takrat zvenela pripravljeno. Zaupanje se v takih trenutkih ne gradi z velikimi obljubami, temveč z disciplino jasne, pravočasne in odgovorne komunikacije.
Intervju je bil izvorno objavljen v časniku Finance.