Как правильно говорить при ИБ-инциденте

Инцидент информационной безопасности — это не только закрытие уязвимостей, патчи и форензика. Это еще и испытание репутации, доверия клиентов, сотрудников и партнёров. Часто последствия неправильной реакции на утечку несут не только технические, но и репутационные, юридические и управленческие потери. Поэтому коммуникации при инциденте стоят наравне с SOC, ИБ-процессами и техподдержкой и требуют четкого заранее отработанного подхода.

И именно здесь большинство компаний совершают ошибки. Кто-то молчит слишком долго, кто-то пытается скрыть утечку, а кто-то дает противоречивые комментарии. В результате ситуация только ухудшается, растет паника внутри компании, рушится доверие у клиентов, а СМИ получают повод для неконтролируемой трактовки событий.

В этой статье мы разберём, как компаниям следует выстраивать коммуникации при инцидентах, кто за что отвечает, какой должна быть структура сообщений, как успокоить сотрудников и что можно говорить СМИ.

Почему компании проваливают коммуникации при инцидентах

В кейсах отечественных компаний прослеживаются одни и те же ошибки при инцидентах:

• Нет подготовленного сценария действий. Команда впервые обсуждает, «кто что скажет», когда атака уже идёт.
• Отсутствие единого «голоса компании». Сотрудники, маркетинг и руководители могут говорить совершенно разные вещи.
• Страх признать проблему. Пытаясь скрыть масштаб утечки, компании теряют доверие и усугубляют кризис.
• Отсутствие ответственных лиц. Нет понимания, кто должен коммуницировать с сотрудниками, а кто с клиентами или СМИ.
• Пробелы в нормативке. Локальные акты ИБ не содержат положений о коммуникациях при инцидентах.

В России это особенно важно, поскольку ряд требований регуляторов предполагает своевременное информирование об инцидентах, но не регламентируют, как именно общаться с людьми и СМИ. Всё это ложится на плечи компании.

Создание кризис-группы

Учитывая то, что компаниям необходимо самостоятельно принять критические меры по подготовке к потенциальному инциденту, начать стоит с так называемой кризис-группы. При серьезном ИБ-инциденте задействуются не только безопасники: в эту группу также должны входить:

1. ИБ-команда / SOC

Отвечают за:

• определение масштаба инцидента;
• сбор фактов, которые можно передать для коммуникаций;
• оценку последствий;
• формирование технической справки для руководства и PR.

2. Системные администраторы / IT-отдел

Отвечают за:

• восстановление инфраструктуры;
• временные меры для минимизации распространения атаки;
• техническое взаимодействие с бизнес-подразделениями.

3. Руководитель направления ИБ

Отвечает за принятие решений:

• что уже можно сообщать;
• что пока нельзя разглашать;
• согласование официальной позиции.

4. PR / маркетинг — «голос компании»

Задачи:

• подготовка официального заявления;
• ответы журналистам;
• публикации на сайте, в соцсетях;
• корректная формулировка, чтобы не сказать лишнего, но сохранить доверие.

5. HR — коммуникации с сотрудниками

Задачи:

• оперативная рассылка внутри компании;
• инструкции, как действовать, если их данные затронуты;
• ответы на вопросы сотрудников;
• объяснить, что говорить клиентам и партнёрам.

6. Юристы

Нужны, чтобы:

• согласовать формулировки;
• понимать юридические риски;
• корректно уведомить регуляторов (ФСТЭК, Роскомнадзор, ФСБ).

Что еще можно сделать заранее

Помимо организации группы людей, которая будет подготовлена к инцидентам, есть еще список действий, о которых необходимо подумать заранее:

Коммуникационный протокол (входит в ИБ-политику)

Должно быть прописано:

• кто входит в кризисную группу;
• кто принимает решения;
• кто отвечает за внешние и внутренние коммуникации;
• какие форматы сообщений используются;
• порядок эскалации.

Готовые шаблоны сообщений

Не универсальные фразы, а структурные заготовки:

• сообщение сотрудникам при подозрении на инцидент;
• сообщение сотрудникам при подтвержденной утечке;
• уведомление клиентов;
• уведомление партнеров;
• пресс-релиз;
• ответ журналистам на типовые запросы;
• шаблон уведомления в Роскомнадзор.

Единый реестр публичных каналов

Сайт, Telegram, VK, рассылки — заранее определено, через какие каналы компания делает публичные заявления.

Контакты «горячей линии» для клиентов

В идеале, это должен быть уже заранее настроенный список: почта, форма на сайте, бот.

Что делать, если инцидент уже произошел

К сожалению, мы часто недооцениваем важность подготовки и забываем заранее «подстелить солому», даже когда речь идёт о наших собственных интересах. Чтобы не оказаться застигнутыми врасплох, мы подготовили перечень эффективных шагов, которые помогут сориентироваться и действовать правильно в случае инцидента:

Сбор фактов

Техническим отделам необходимо собрать и четко сформулировать следующую информацию:

• что произошло;
• дата и время обнаружения;
• какие системы затронуты;
• что уже сделано;
• потенциальный риск для данных.

Важно отметить, что в случае инцидента запрещено предполагать, домысливать или публиковать непроверенную информацию.

Уведомление сотрудников

HR-отдел берет на себя донесение основных фактов инцидента до сотрудников:

• кратко описать, что произошло;
• рассказать, что уже делает ИБ-команда;
• какие действия требуются (сменить пароль, не включать компьютер, не открывать VPN и т.д.) и как поступить, если ситуация повторится;
• что компания предпримет на будущее, чтобы избежать подобных инцидентов;
• контакт для вопросов.

Время реакции не должно превышать 1–3 часов с момента подтверждения инцидента.

Внешнее уведомление клиентов и партнеров

Честно, но без паники необходимо уведомить клиентов и партнеров о том:

• что произошло;
• как это затрагивает клиентов/партнёров;
• какие меры приняты;
• как компания предотвращает повторение;
• контакт для связи.

Публичное заявление (маркетинг)

Маркетинговый отдел берет на себя необходимость разместить информацию в социальных сетях:

• пост в Telegram или ВК;
• пресс-релиз на сайте;

В этой ситуации важно не оправдываться и не скрывать проблему, если она уже стала публичной, и дублировать актуальную информацию по мере ее поступления.

Ответы СМИ

Инцидент в крупной компании наверняка заинтересует СМИ, как правило, журналисты задают типичные вопросы:

• что произошло?
• объем и тип данных?
• кто виноват?
• будут ли наказания?
• сколько людей пострадало?

В этом пункте вы можете заранее подготовить FAQ с фактами, которые можно раскрывать, фразами, которые нельзя использовать (например, «проблема несущественна», «у нас всё под контролем») и грамотным шаблоном ответа с безопасными формулировками.

Коммуникации после ликвидации инцидента

Чтобы восстановить доверие и успокоить клиентов и партнеров, компания должна сделать итоговое сообщение и подвести итоги:

• рассказать, что стало причиной инцидента;
• какие меры были приняты;
• какие выводы сделаны;
• что улучшено в ИБ-процессах.

Заключение

Порой хаос в коммуникациях при ИБ-инциденте может стать для компании вреднее самого инцидента. Неправильно сформулированная фраза способна причинить больше ущерба репутации, чем любые технические последствия. Только когда ИБ, PR, HR, IT и руководство действуют как единая команда, инцидент перестаёт быть разрушительным и превращается в управляемую ситуацию.

А если у вас остались вопросы — команда «Астрал. Безопасность» всегда готова вам помочь!

Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.

Оригинал публикации на сайте CISOCLUB: "Коммуникации при инциденте: кто и что говорит сотрудникам, партнёрам и СМИ".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.