Автор: Ника Комарова, эксперт по стратегическим коммуникациям, PR-консультант, автор телеграм-канала PR Machine, экс-директор по коммуникациям Group-IB
Отметим несколько важных и часто упускаемых моментов, связанных с антикризисными коммуникациями, если (или когда) вашу компанию атаковали киберпреступники. Частный случай, когда утечку допустили вы сами, но смысла это не меняет: у нас с вами киберинцидент.
В PR отработка рисков для репутации, как и в информационной безопасности, начинается задолго до самого кризиса. Киберинцидент – не исключение: PR и команда информационной безопасности должны знать друг друга и регулярно общаться до и вне инцидента. Почему это важно? Потому что знакомиться во время кризиса, когда каждая минута на счету, – не лучшая идея. Нужно представлять себе хотя бы в общем виде состав команд, кто за что отвечает, какие процессы приняты, кто пишет блоги, кто способен говорить в прямом эфире. На репетиции и распределение ролей времени уже не будет. Общайтесь, обменивайтесь новостями, выстраивайте взаимодействие до кризиса, а не во время. Если у команды ИБ возникнут подозрения на атаку, пиарщики смогут рассчитывать, что их поставят в известность не последними. Для этого ИБ-команда должна знать, когда к ним идти и с чем.
Враг хаоса – порядок. На этом можно было бы закончить. Если в компании хотя бы в каком-то виде существует план реагирования на киберинцидент (лучше, если не только в голове у CISO), пиарщики должны настоять на том, чтобы появиться в этом плане. Роль PR – участник кризисного штаба, а так же "спокойный голос", который способен аккумулировать доступную информацию, совместно с ИБ-специалистами определить степень риска, после чего договориться о последовательности коммуникаций на разные аудитории. Спойлер – их может быть много.
Атака на Национальную службу здравоохранения Великобритании (NHS) в мае 2017 г. во время глобальной кампании WannaCry – один из наиболее ярких примеров, как создавался и работал антикризисный штаб, объединяющий ИТ, PR, юристов, медиков и государственных чиновников. Этот кейс особенно ценен с точки зрения коммуникационного кризис-менеджмента в критически важной инфраструктуре. Штаб базировался в Лондоне и координировал действия по всей стране.
Для оценки рисков киберинцидента ИБ-специалиста и пиарщика будет мало. Если дело серьезное (инциденты, как мы понимаем, бывают разные, как и их потенциальный ущерб для репутации), риски должны оценить юрист, финансист, а также глава коммерческой дирекции (тот, кто отвечает за клиентов). Эти специалисты должны понять, кого и как нужно уведомить о произошедшем. В свою очередь, PR-менеджеры увяжут каждую коммуникацию в последовательный общий план-график. В моей практике такие планы насчитывали не один десяток строк в электронной таблице, но иначе работать в едином информационном поле, контролировать распространение информации об инциденте и не допускать разных толкований будет крайне сложно. Кажется, всё? Нет, не всё.
Об этом забывают почти всегда, но мы-то с вами не такие: инцидент затрагивает сотрудников компании. Это еще одна самостоятельная и очень чувствительная аудитория при такого рода кризисах. Сотрудники не должны узнавать о проблемах компании из СМИ или телеграм-каналов. Более того, возможно, вы думаете об этом в последнюю очередь, но они тоже переживают, а для кого-то это – потеря лояльности. Значит в ваш "круг старейшин" войдет еще и специалист по внутренним коммуникациям или HR, который продумает работу с внутренней аудиторией во время инцидента.
Осторожно! Важно не допустить утечку информации, предназначенной для сотрудников, во внешнее поле. Как правило, это достигается разумным выбором времени коммуникации – то есть лагом между внешней и внутренней коммуникациями. Надо много раз повторить сотрудникам, что все это – TLP Red (крайне конфиденциальная информация, предназначенная только для глаз и ушей конкретных получателей). Перекоммуникация лучше, чем недокоммуникация.
Не забудьте, что внутренний посыл также подконтролен PR-специалистам. Почему? Да все по той же причине: никаких разночтений и толкований инцидента ни внутри, ни снаружи быть не должно. Иначе вы многократно усилите кризисную ситуацию.
Нет точных рекомендаций, когда вам пора запускать свой антикризис. Пиарщики, которые не сталкивались с киберинцидентами, вряд ли смогут с чистого листа отреагировать грамотно. Поэтому в мировой практике часто нанимают кризисных консультантов. Например, компания SolarWinds после нашумевшей атаки на себя привлекла [1] профессора Стэнфордского университета Алекса Стамоса, бывшего руководителя службы безопасности онлайн-гигантов, и Криса Кребса, бывшего директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA), ныне впавшего в немилость к президенту Трампу. Их работа в качестве независимых консультантов по восстановлению SolarWinds повысила уверенность в будущей кибербезопасности организации. Компания также внесла значительные изменения в свои уровни ИБ [2], чтобы снизить риски в будущем, о чем они отрапортовали общественности.
Чем оперативнее вы выйдете в публичное поле, тем меньше будет слухов и домыслов. Как только вы получили основную информацию об атаке, оценили риски и последствия, пишите пресс-релиз. Позаботьтесь в том, чтобы он звучал убедительно и уверенно. Объясните, что произошло, возникли ли какие-либо изменения в бизнес-процессах вашей компании, кого затронула атака.
Если инцидент произошел из-за внутренних проблем (ошибки сотрудника, например), возьмите на себя ответственность. Объясните, как компания будет сообщать обновления, например через социальные сети, блог или специальную веб-страницу. Первое сообщение может быть кратким, но оно должно включать в себя информацию об уже принятых компанией мерах, шагах, которые должны предпринять потенциально пострадавшие пользователи (например, смена паролей, мониторинг своих учетных записей), а также то, что вы будете делать в дальнейшем, чтобы минимизировать последствия инцидента. И не забудьте извиниться! Не вина ваших пользователей, что им приходится волноваться за свои данные и читать все это в СМИ.
Вспомним случившуюся в начале 2025 г. масштабную кибератаку, которой подверглась британская розничная сеть Co-op: утекли персональные данные клиентов и детали покупок. Компания отреагировала оперативно: уже в течение первых суток после инцидента PR-команда Co-op подготовила и опубликовала официальное заявление, в котором признала факт взлома, извинилась перед клиентами и сообщила о первых принятых мерах – от блокировки уязвимостей до уведомления правоохранительных органов. Заявление сопровождалось инструкциями для клиентов по проверке своих учетных записей и смене паролей. Особое внимание Co-op уделила тональности сообщения: оно было спокойным, уверенным и избегало технических деталей, чтобы быть понятным широкой аудитории.
При киберинциденте одного заявления никогда не бывает достаточно. Природа кибератаки такова, что она может развиваться. Но даже если специалистам по ИБ удалось ее купировать, работа PR на этом не заканчивается. Обновляйте информацию о том, что восстановлено, что сделано, что планируется сделать. В особенно тяжелых случаях – открывайте горячую линию или хотя бы
QA-страницу для пострадавших пользователей. Помните, все ваши инструкции должны быть максимально просты и понятны. Для экспертов лучше задействовать другие каналы коммуникаций.
СМИ уже не пишут о вас? Пик кризиса позади? Вы – молодцы, можно пока выдохнуть, но для PR еще ничего не закончено. В инциденте надо ставить точку, это важно прежде всего для вашей репутации, а также для ваших клиентов и партнеров. Еще раз проанализируйте все, что обещали в пылу сражения. Удостоверьтесь, что дали ответы на все вопросы (используйте мониторинг соцсетей). Выпустите новый стейтмент или инициируйте рекап инцидента в медиа с одной лишь целью – не еще раз пройтись по больному, а поставить точку. Это нужно прежде всего вам.
В июле 2024 г. компания CrowdStrike, известная своими решениями в области кибербезопасности, оказалась в центре внимания после того, как обновление их антивирусного движка Falcon Sensor вызвало массовый сбой Windows-систем по всему миру. Во время пика кризиса Crowdstrike допустила ряд коммуникационных ошибок: она не извинилась за простой, нехотя признала инцидент – фактически под давлением критики, а затем несколько раз "промахнулась" с компенсирующими мерами и даже угодила в суд, так как не смогла уладить отношения с одним из крупнейших клиентов вне публичного поля. Однако после стабилизации ситуации компания выпустила финальный стейтмент, в котором подвела итоги инцидента: объяснила причины сбоя, представила принятые меры, включая улучшения процессов тестирования и контроля качества, и выразила благодарность клиентам за терпение.
Киберинцидент – это не только техническая проблема, но и серьезное испытание для репутации вашей компании. Пока специалисты по информационной безопасности локализуют угрозу, именно PR-команда берет на себя ключевую роль в управлении восприятием происходящего. И от того, насколько грамотно и слаженно будут выстроены коммуникации, зависит не только общественное мнение, но и уровень доверия клиентов, партнеров и сотрудников.
Эффективная антикризисная PR-работа требует подготовки задолго до инцидента, четкой координации с ИБ-командой, участия в принятии решений, глубокого понимания аудитории и способности действовать быстро, прозрачно и ответственно. Надеюсь, эта статья поможет выстроить структуру действий в одном из самых стрессовых и чувствительных сценариев для любой организации.
Помните: в киберугрозах больше нет вопроса "если", есть только "когда". И чем раньше компания начнет работать над антикризисной готовностью вместе с PR-командой, тем выше шанс не просто выстоять в кризисе, но выйти из него сильнее.