ИБ-эксперты, PR-менеджеры и журналисты в рамках SOC Tech — 2024 провели круглый стол «Антикризисные коммуникации после инцидента». Они обсудили, как должны реагировать PR-службы компаний на инциденты безопасности и/или сообщения СМИ и соцсетей о таких происшествиях.

Антон Жаболенко, независимый ИБ-эксперт, считает, что важен не тип атаки, а её последствия и то, как информация об инциденте попала в публичную сферу. Артём Калашников же полагает, что при утечке информации важны реакция самой компании и пострадавших, а также последствия раскрытия конфиденциальных данных. Оценка последствий должна идти по ущербу, финансовому и репутационному.

По мнению Татьяны Исаковой (издание «Коммерсант»), при правильной подаче информации в СМИ следует проанализировать последствия инцидента, а также дать комментарии представителей компании, свидетельства клиентов, оставшихся без услуг и сервисов, и мнения экспертов отрасли. С такой позицией не согласился Павел Дудкин, администратор Telegram-канала Sachok. Он уверен, что важно оперативно публиковать проверенную информацию об инциденте, не дожидаясь подробностей и значимых последствий. Но если последствий не было, проверить данные об атаке крайне сложно, заметили участники дискуссии.

Анна Пономарева, руководитель проекта TechPR Газпромбанка, обратила внимание на чувствительность информации об утечках для финансовых компаний. В таком случае ведётся активная работа с клиентской поддержкой, пресс-служба отрабатывает инцидент и согласует публикации со СМИ.

Как правильно должны компании реагировать на сообщения об инцидентах или сами инциденты? По словам присутствовавших на круглом столе, в идеальной ситуации план реагирования на киберинциденты, разработанный в организации, помимо технической составляющей для ИБ и ИТ-подразделений, должен содержать раздел для PR-служб. Он может включать шаблоны ответов пресс-службы на запросы СМИ — стандартные сообщения нейтрального содержания.

Все службы внешних коммуникаций должны быть в курсе событий, необходима согласованность работы всех каналов внешних связей организации — чтобы не было разночтений в подаче информации. Стоит заранее договориться о терминах «кибератака», «инцидент» и типовых формулировках об утечках, недоступности сервисов и прочем. Это повысит скорость реакции на запросы СМИ. Также необходимо проработать все формулировки с руководством, чтобы впоследствии не тратить драгоценное время на согласование ответов. Это особенно важно для крупных корпораций с большой ИТ-инфраструктурой, проверка которой в случае сообщений о кибератаке может занять продолжительное время.

Важным моментом является тесное взаимодействие служб ИБ и PR-подразделений, их согласованная реакция на сообщения о реальном или мнимом инциденте. При сплочённой работе всех структур силами ИБ-подразделений можно проводить мониторинг упоминаний организации в информационном поле, что важно для защиты бренда компании.

При этом нет ничего хуже для репутации организации, чем молчание или отказ от комментариев при запросах СМИ об инцидентах. Нужно минимизировать информационный вакуум, опередить оперативно работающие Telegram-каналы или хакерские ресурсы. Даже стандартный, но оперативный ответ или официальный комментарий, что компания в курсе сообщений об атаке и ведёт внутреннее расследование лучше, чем затягивание времени и постоянное изменение формулировок в ответе, считают журналисты.

Если информация не находит подтверждения, PR-службе компании необходимо переключить внимание аудитории на другую повестку, считают эксперты. И если клиентам компании порой без разницы, произошёл ли технический сбой в работе систем или кибератака, то регулятор всегда спросит с организации за инцидент любого характера. В этом компанию не спасут ни работа PR-служб, ни хвалебные публикации в СМИ, подытожили участники дискуссии.