Door gastauteurs: Sean Wood en Katherine Goodyear
Welkom bij de nieuwste editie van Spotlight. Spotlight is onze manier om inzichten en perspectieven te delen van onze strategische partners - advocaten, verzekeraars, risicomanagers en crisiscommunicatie-experts uit verschillende sectoren - over onderwerpen die de kijk van een bedrijf op incidenten en crisismanagement in de markt kunnen beïnvloeden.
In deze editie geven Sean Wood, executive vice president en Katherine Goodyear, account director bij Weber Shandwick, een overzicht van communicatie over cyberbeveiliging. We onderzoeken wat bedrijven moeten doen om zich voor te bereiden op een incident en welke praktische stappen ze moeten nemen om de impact te minimaliseren en de merkreputatie te beschermen en te verbeteren als er zich toch een incident voordoet.
Voorwoord door Chris Harvey, SVP client services bij Sedgwick:
Lees verder voor meer inzicht van Sean Wood en Katherine Goodyear.
Cyberbeveiligingsincidenten behoren tot de ernstigste zakelijke en reputatiebedreigingen voor bedrijven en kunnen het vertrouwen van de belangrijkste belanghebbenden - van klanten tot werknemers tot het grote publiek - snel ondermijnen. Bovendien zijn ze moeilijk op te lossen, kostbaar en snel groeiend.
Cybercriminaliteit zal naar verwachting in 2021 wereldwijd ongeveer 6 biljoen dollar aan schade kosten, een verdubbeling ten opzichte van 2015 - en ransomware-aanvallen zijn in de eerste helft van 2021 met 151% gestegen ten opzichte van het hele jaar 2020. De consistente toename van deze incidenten, hun geavanceerdheid en hun potentiële operationele en financiële impact onderstreept hoe belangrijk het is voor bedrijven in alle sectoren om voorbereid te zijn.
Uit een recent wereldwijd onderzoek van KRC Research en Weber Shandwick onder leidinggevenden in 12 landen blijkt dat cyberbeveiliging en gegevensprivacy de twee belangrijkste punten van zorg zijn voor leidinggevenden bij het nemen van belangrijke zakelijke beslissingen.
Vooruitkomen door vooruit te plannen
Hoewel mensen begrijpen dat cyberbeveiligingsincidenten gebeuren, beoordelen ze bedrijven en organisaties vaak op hoe ze reageren - en houden ze hen verantwoordelijk wanneer informatie wordt blootgelegd of misbruikt. Daarom moet de eerste prioriteit van een bedrijf bestaan uit het opstellen van een pre-incidentenplan, zodat het bedrijf snel kan reageren op een aanval.
Deze planning is niet alleen een goede zaak om gevoelige persoonlijke en commerciële informatie en de merkreputatie te beschermen, maar klanten, verzekeraars en de overheid onderstrepen het belang van het versterken van incidentresponsprocedures. Onlangs hield president Joe Biden van de Verenigde Staten een bijeenkomst waar hij cyberbeveiliging beschreef als een "belangrijke uitdaging voor de nationale veiligheid" en de private sector opriep om de cyberbeveiliging van het land te versterken, zowel in samenwerking als individueel, met de nadruk op het oplossen van het tekort aan vaardigheden op het gebied van cyberbeveiliging. Na bijeenkomsten van het Counter-Ransomware Initiative die in oktober werden gehouden door de National Security Council van het Witte Huis, gaven meer dan 30 landen en de Europese Unie een gezamenlijke verklaring van samenwerking uit om de nationale weerbaarheid te verbeteren, illegale financiering tegen te gaan, ransomware-criminelen te ontwrichten en diplomatie te gebruiken als middel om ransomware tegen te gaan.
In dit geval betekent planning:
- Het ontwikkelen of bijwerken van een incident response plan. Deze plannen, die zowel operationele als communicatiereacties omvatten, moeten geïntegreerd zijn en aangeven wie betrokken moet worden, rollen en verantwoordelijkheden, risiconiveaus en drempelwaarden en een proces voor snelle communicatie met de betrokken belanghebbenden.
- Het opstellen van scenarioplanning voor potentiële risico's en incidenten. Het scenarioplan moet situatiespecifieke overwegingen en richtlijnen bevatten, evenals sjabloonberichten voor belanghebbenden die snel kunnen worden bijgewerkt met de feiten van de werkelijke situatie als zich een incident voordoet.
- Het plan testen. Het uitvoeren van realistische simulatieoefeningen is een belangrijk onderdeel van het plannings- en voorbereidingsproces om te testen of de organisatie kan functioneren volgens het plan en de protocollen. Het zal ook hiaten in processen identificeren die moeten worden verholpen voordat een echte gebeurtenis plaatsvindt.
- Vooraf investeren. Sommige organisaties hebben misschien het gevoel dat ze niet van tevoren kunnen investeren in een callcenter voor onvoorziene omstandigheden of andere oplossingen, maar het is de beste manier om te voorkomen dat ze onvoorbereid zijn. Deze investering kan bestaan uit het opzetten van een callcenter voor het melden van schade of het reageren op inbreuken. Het kan ook gaan om een secundaire, afzonderlijk gehoste informatiehub of microsite, die snel kan worden ingeschakeld om via alternatieve kanalen met belanghebbenden te communiceren in het geval dat u de toegang tot uw systemen verliest.
Wanneer zich nu een incident voordoet, is je bedrijf of organisatie beter voorbereid om de situatie te beheersen, het bestaande plan te activeren en zich te richten op het beperken van risico's.
Het plan uitvoeren
Wanneer zich een incident voordoet, moet het bedrijf onmiddellijk overgaan tot het activeren van het regelmatig bijgewerkte incidentenbestrijdingsplan. Wees transparant, maar loop niet op de feiten vooruit. Forensisch onderzoek naar gegevens kost vaak tijd, dus het is belangrijk om alleen bevestigde feiten te communiceren en te erkennen dat de situatie veranderlijk is en kan veranderen. Om de impact te minimaliseren en de merkreputatie te beschermen en mogelijk te verbeteren, zijn er verschillende overwegingen om in gedachten te houden:
- Perceptie: Vaak is de perceptie dat een bedrijf of organisatie verantwoordelijk is, zelfs als ze niet verantwoordelijk zijn voor gegevensschendingen. Stakeholders kunnen en zullen u vergeven voor beveiligingsfouten, pech of zelfs beide. Maar proberen de schuld af te schuiven kan averechts werken. Degenen die getroffen zijn door het ongeluk zien het eenvoudigweg zo: Ze vertrouwden je hun informatie toe en die ben je kwijtgeraakt.
- Controle: U (het bedrijf of de organisatie) hebt mogelijk geen controle over de timing van de openbaarmaking. Er zijn veel factoren die uw reactie kunnen versnellen. Landen en Amerikaanse staten hebben bijvoorbeeld verschillende openbaarmakingsvereisten. De mediacyclus of commentaar in de sociale media kan het ook afdwingen. Hackers lekken vertrouwelijke informatie naar het web, die vervolgens wordt opgepikt door cyberverslaggevers en bloggers. Medewerkers kunnen ook onbedoeld gevoelige informatie lekken, waardoor het probleem nog groter wordt.
- Verplichting: Bedrijven en organisaties kunnen contractuele verplichtingen hebben om het incident openbaar te maken. Contracten met leveranciers en partners bevatten steeds vaker clausules die bedrijven verplichten een inbreuk te melden, ongeacht de wettelijke vereisten. Als het bedrijf een beursgenoteerd bedrijf is, kan er sprake zijn van materiële impact en aanverwante overwegingen waarmee rekening moet worden gehouden, bovenop de wettelijke openbaarmakingen.
- Communicatie: Niet elk incident vraagt om proactieve communicatie van de hele situatie naar alle doelgroepen. De beslissing om proactief of reactief te zijn en met welke doelgroepen, is genuanceerd en geen standaardmodel. Zelfs als er geen contractuele of wettelijke vereisten zijn, kunnen bedrijven een ethische vereiste hebben om bekend te maken - vaak gedreven door de omvang van de inbreuk en de kans dat deze openbaar wordt. (Pro tip: het is altijd beter voor je stakeholders om van jou te horen dan dat ze het voor het eerst via de media vernemen. Door dit te doen laat je zien dat je de bescherming van hun informatie serieus neemt).
- Waarden: Baseer zakelijke reacties altijd op zakelijke waarden. Voor wie sta je als bedrijf en wat verwachten je stakeholders van je? Bekijk de situatie door hun ogen en reageer dienovereenkomstig.
De alarmerende stijging van het aantal cyberbeveiligingsincidenten in het afgelopen jaar en het aantal inbreuken dat in de publiciteit is gekomen, onderstreept dat er nog nooit zo'n belangrijk moment is geweest om je voor te bereiden. Nu steeds meer organisaties en bedrijven een hybride werkmodel hanteren, neemt het risico op een datalek alleen maar toe. Bedreigers zien een kans in werknemers op afstand - en we kunnen verwachten dat ze zich zullen blijven ontwikkelen en hun activiteiten zullen blijven aanpassen aan de nieuwe situatie.
Door nu prioriteit te geven aan cyberbeveiligingsplanning bent u er zeker van dat uw organisatie voorbereid is als er zich een incident voordoet - want het is niet een kwestie van "of" maar een kwestie van "wanneer" een cyberaanval zal plaatsvinden.
Download hier een kopie van deze spotlight.
Over onze gastauteurs, Sean Wood en Katherine Goodyear:
Sean Wood is een executive vice president in Weber Shandwick's wereldwijde crisis en issues praktijk. Al meer dan 25 jaar helpt hij klanten hun reputatie te beschermen in situaties waar veel op het spel staat. Sean brengt een corporate en merkreputatie lens naar crisis en issues management om business leaders te helpen complexe situaties aan te pakken met geïntegreerde strategieën om risico's te beperken.
Katherine Goodyear is directeur in de crisis- en issues praktijk van Weber Shandwick in New York City. Katherine adviseert klanten bij hun meest complexe en gevoelige kwesties om hun reputatie te beschermen. Ze biedt een volledig scala aan crisiscommunicatieondersteuning en helpt klanten bij het omgaan met cyberbeveiligingsincidenten.
Tags: Brand protectionCompliance, Crisis, Cyber, Cyberrisico, Aansprakelijkheid, Terugroepen, Regelgeving, Verandering in regelgeving + naleving, Risico, Veiligheid