13. december 2021

Af gæsteforfattere: Sean Wood og Katherine Goodyear

Velkommen til den seneste udgave af Spotlight. Spotlight er vores måde at dele indsigt og perspektiver fra vores strategiske partnere - advokater, forsikringsselskaber, risikomanagere og eksperter i krisekommunikation på tværs af brancher - om emner, der har potentiale til at påvirke en virksomheds syn på hændelser på markedet og krisestyring.

I denne udgave har vi besøg af Sean Wood, executive vice president, og Katherine Goodyear, account director hos Weber Shandwick, for at få et overblik over cybersikkerhedskommunikation. Vi undersøger, hvad virksomheder bør gøre for at planlægge en hændelse, og hvilke praktiske skridt de bør tage for bedst muligt at minimere virkningen, beskytte og forbedre brandets omdømme, hvis en hændelse indtræffer.

Forord af Chris Harvey, SVP client services hos Sedgwick:

Læs videre for at få mere indsigt fra Sean Wood og Katherine Goodyear.

Cybersikkerhedshændelser er blandt de mest alvorlige forretnings- og omdømmetrusler, som virksomheder står over for, og de kan hurtigt underminere tilliden hos de vigtigste interessenter - fra kunder til medarbejdere og den brede offentlighed. Derudover er de vanskelige at løse, dyre og hurtigt voksende.

Cyberkriminalitet forventes at koste ca. 6 billioner USD i skader på verdensplan i 2021, en fordobling i forhold til 2015 - og ransomware-angreb steg med 151 % i første halvdel af 2021 sammenlignet med hele 2020. Den konstante stigning i disse hændelser, deres raffinement og deres potentielle driftsmæssige og økonomiske konsekvenser understreger, hvor vigtigt det er for virksomheder i alle brancher at være forberedt.

Faktisk viste en nylig global undersøgelse foretaget af KRC Research og Weber Shandwick blandt ledere i 12 lande, at cybersikkerhed og databeskyttelse er de to største bekymringer for ledere, når de skal træffe vigtige forretningsbeslutninger.

Kom foran ved at planlægge forud

Selv om folk forstår, at cybersikkerhedshændelser sker, bedømmer de ofte virksomheder og organisationer på, hvordan de reagerer - og holder dem ansvarlige, når oplysninger bliver afsløret eller misbrugt. Derfor bør virksomhedens førsteprioritet være at få en plan på plads forud for en hændelse, så virksomheden kan reagere hurtigt på et angreb.

Ikke alene er denne planlægning den rigtige ting at gøre for at beskytte følsomme personlige og kommercielle oplysninger og brandets omdømme, men kunder, forsikringsselskaber og regeringen understreger vigtigheden af at styrke beredskabsplanerne. For nylig holdt USA's præsident Joe Biden et møde, hvor han beskrev cybersikkerhed som en "central national sikkerhedsudfordring" og opfordrede den private sektor til at styrke landets cybersikkerhed i partnerskab og individuelt med vægt på at løse manglen på cybersikkerhedskompetencer. Efter møderne i Counter-Ransomware Initiative, der blev afholdt i oktober af Det Hvide Hus' nationale sikkerhedsråd, udsendte over 30 lande og EU en fælles samarbejd serklæring for at forbedre den nationale modstandskraft, modvirke ulovlig finansiering, forstyrre ransomware-kriminelle og bruge diplomati som et værktøj til at modvirke ransomware.

I dette tilfælde betyder planlægning:

  • Udvikle eller opdatere en beredskabsplan for hændelser. Disse planer, der dækker både drift og kommunikation, skal være integrerede og skitsere, hvem der skal involveres, roller og ansvar, risikoniveauer og tærskler og angive en proces for hurtig kommunikation til berørte interessenter.
  • Etablering af scenarieplanlægning for potentielle risici og hændelser. Scenarieplanen bør indeholde situationsspecifikke overvejelser og vejledning samt en skabelon for meddelelser til interessenter, der hurtigt kan opdateres med fakta om den faktiske situation, hvis der opstår en hændelse.
  • Test af planen. At gennemføre realistiske simulationsøvelser er en vigtig del af planlægnings- og forberedelsesprocessen for at teste organisationens evne til at fungere i henhold til planen og protokollerne. Det vil også identificere huller i processerne, som skal lappes, før en virkelig begivenhed indtræffer.
  • Invester på forhånd. Nogle organisationer føler måske, at de ikke er i stand til at investere på forhånd for at få et beredskabscallcenter eller andre løsninger på plads, men det er den bedste måde at undgå at være uforberedt på. Denne investering kan omfatte etablering af et callcenter til varsling af tab/nedbrud. Den kan også omfatte et sekundært, separat hostet informationscenter eller mikrosite, som hurtigt kan tændes for at kommunikere til interessenter via alternative kanaler i tilfælde af, at du mister adgang til dine systemer.

Når der opstår en hændelse, er din virksomhed eller organisation bedre forberedt på at håndtere situationen, aktivere den eksisterende plan og fokusere på at mindske enhver risiko.

Implementering af planen

Når der sker en hændelse, bør virksomheden straks gå i gang med at aktivere sin regelmæssigt opdaterede beredskabsplan. Vær transparent, men kom ikke fakta i forkøbet. Retsmedicinske undersøgelser af data tager ofte tid, så det er vigtigt kun at kommunikere bekræftede fakta og anerkende, at situationen er flydende og kan ændre sig. For at minimere indvirkningen, beskytte og potentielt forbedre brandets omdømme er der flere overvejelser, man skal gøre sig:

  • Opfattelse: Ofte er opfattelsen, at en virksomhed eller organisation er ansvarlig, selv om de ikke er ansvarlige for databrud. Interessenter kan og vil tilgive dig for sikkerhedsbrister, uheld eller endda begge dele. Men det kan give bagslag at forsøge at skyde skylden fra sig. De, der er berørt af uheldet, ser helt enkelt på det: De betroede dig deres oplysninger, og du mistede dem.
  • Kontrol: Du (virksomheden eller organisationen) har måske ikke kontrol over tidspunktet for offentliggørelse. Der er mange faktorer, der kan fremskynde din reaktion. For eksempel har lande og amerikanske stater forskellige oplysningskrav. Mediernes cyklus eller kommentarer på de sociale medier kan også fremtvinge det. Hackere lækker fortrolige oplysninger på nettet, som derefter samles op af cybersikkerhedsjournalister og bloggere. Medarbejdere kan også utilsigtet lække følsomme oplysninger, hvilket gør problemet endnu større.
  • Forpligtelse: Virksomheder og organisationer kan have kontraktlige forpligtelser til at offentliggøre hændelsen. Kontrakter med leverandører og partnere indeholder i stigende grad klausuler, der kræver, at virksomheder oplyser om et brud, uanset lovkrav. Hvis virksomheden er offentlig, kan der være væsentlige konsekvenser og relaterede overvejelser, der skal tages med i betragtning, ud over de lovpligtige oplysninger.
  • Kommunikation: Ikke alle hændelser kræver proaktiv kommunikation af hele situationen til alle målgrupper. Beslutningen om at være proaktiv eller reaktiv og med hvilke målgrupper er nuanceret og ikke en one-size-fits-all-model. Selv om der ikke er kontraktlige eller lovgivningsmæssige krav, kan virksomheder have et etisk krav om at offentliggøre - ofte drevet af omfanget af bruddet og sandsynligheden for, at det bliver offentligt. (Pro tip: Det er altid bedre for dine interessenter at høre fra dig end at finde ud af det for første gang i medierne. Det viser, at du tager beskyttelsen af deres oplysninger alvorligt).
  • Værdier: Grundlæg altid virksomhedens svar i virksomhedens værdier. Hvem står du for som virksomhed, og hvad forventer dine interessenter af dig? Se situationen gennem deres øjne, og reager derefter.

Den alarmerende stigning i cybersikkerhedshændelser i løbet af det seneste år samt antallet af velomtalte brud understreger, at det aldrig har været vigtigere at forberede sig. Med flere organisationer og virksomheder, der forfølger en hybrid arbejdsmodel, fortsætter risikoen for databrud kun med at stige. Trusselsaktører vil se en mulighed med en ekstern arbejdsstyrke - og vi bør forvente, at de vil fortsætte med at udvikle sig og tilpasse deres aktiviteter til den nye normal.

Hvis du prioriterer cybersikkerhedsplanlægning nu, vil det være med til at sikre, at din organisation er forberedt, hvis der opstår en hændelse - for det er ikke et spørgsmål om "hvis", men om "hvornår" et cyberangreb vil finde sted.

Download en kopi af dette spotlight-indslag her.

Om vores gæsteforfattere, Sean Wood og Katherine Goodyear:

Sean Wood er executive vice president i Weber Shandwicks globale krise- og issues-praksis - og har i mere end 25 år hjulpet kunder med at beskytte deres omdømme i situationer, hvor der står meget på spil. Sean ser på krise- og problemhåndtering ud fra et virksomheds- og brandomdømmeperspektiv for at hjælpe virksomhedsledere med at håndtere komplekse situationer med integrerede strategier, der mindsker risikoen.

Katherine Goodyear er direktør i Weber Shandwicks afdeling for kriser og problemer i New York City. Katherine rådgiver kunder gennem deres mest komplekse og følsomme problemer for at beskytte deres omdømme. Hun yder en bred vifte af støtte til krisekommunikation - og hjælper kunder med at navigere i cybersikkerhedshændelser.

Tags: Beskyttelse af varemærker Overensstemmelse Krise Cyber Cyber-risiko Ansvarlighed tilbagekaldelse Forordning Regulatoriske ændringer + overholdelse Risiko Sikkerhed

Flere artikler som denne

Creating a green thread of sustainability within the claims process – Part 1 – Mitigation Indsigt

Creating a green thread of sustainability within the claims process – Part 1 – Mitigation

Expertly managing large property loss claims Indsigt

Expertly managing large property loss claims

The tariff test: purpose, resilience and our path forward in property and casualty Indsigt

The tariff test: purpose, resilience and our path forward in property and casualty