Av gästförfattare: Sean Wood och Katherine Goodyear
Välkommen till den senaste upplagan av Spotlight. Spotlight är vårt sätt att dela med oss av insikter och perspektiv från våra strategiska partners - jurister, försäkringsbolag, riskhanterare och kriskommunikationsexperter från olika branscher - i frågor som har potential att påverka ett företags syn på incidenter på marknaden och krishantering.
I den här upplagan har vi med oss Sean Wood, Executive Vice President, och Katherine Goodyear, Account Director på Weber Shandwick, för en översikt av kommunikation om cybersäkerhet. Vi utforskar vad företag bör göra för att planera för en incident och vilka praktiska steg de bör ta för att på bästa sätt minimera effekterna, skydda och förbättra varumärkets rykte om en incident skulle inträffa.
Förord av Chris Harvey, SVP Client Services på Sedgwick:
Läs vidare för mer information från Sean Wood och Katherine Goodyear.
Cybersäkerhetsincidenter är bland de allvarligaste affärs- och rykteshot som företag står inför och kan snabbt undergräva förtroendet hos viktiga intressenter - från kunder till anställda och allmänheten. Dessutom är de svåra att lösa, kostsamma och snabbväxande.
Cyberbrottslighet förväntas kosta cirka 6 biljoner USD i skador globalt under 2021, en fördubbling jämfört med 2015 - och ransomware-attacker ökade med 151% under första halvåret 2021 jämfört med helåret 2020. Den konsekventa ökningen av dessa incidenter, deras sofistikerade karaktär och deras potentiella operativa och finansiella påverkan understryker hur viktigt det är för företag i alla branscher att vara förberedda.
En global undersökning som KRC Research och Weber Shandwick nyligen genomförde bland chefer i 12 länder visade att cybersäkerhet och datasekretess är de två största frågorna för chefer när de fattar viktiga affärsbeslut.
Planera i förväg för att komma framåt
Även om människor förstår att cybersäkerhetsincidenter inträffar, bedömer de ofta företag och organisationer utifrån hur de reagerar - och håller dem ansvariga när information exponeras eller missbrukas. Av den anledningen bör företagets främsta prioritet vara att få en plan för att förebygga incidenter på plats så att företaget kan reagera snabbt på en attack.
Denna planering är inte bara rätt sak att göra för att skydda känslig personlig och kommersiell information och varumärkets rykte, utan kunder, försäkringsbolag och myndigheter understryker också vikten av att stärka incidenthanteringsplanerna. Nyligen höll USA:s president Joe Biden ett möte där han beskrev cybersäkerhet som en "central nationell säkerhetsutmaning" och uppmanade den privata sektorn att stärka landets cybersäkerhet i partnerskap och individuellt, med tonvikt på att lösa bristen på kompetens inom cybersäkerhet. Efter de möten inom Counter-Ransomware Initiative som hölls i oktober av Vita husets nationella säkerhetsråd utfärdade över 30 länder och EU ett gemensamt uttalande om samarbete för att förbättra den nationella motståndskraften, motverka olaglig finansiering, störa ransomware-kriminella och använda diplomati som ett verktyg för att motverka ransomware.
I det här fallet innebär planering:
- Utarbeta eller uppdatera en incidenthanteringsplan. Dessa planer, som omfattar både operativa åtgärder och kommunikationsåtgärder, bör vara integrerade och beskriva vilka som behöver involveras, roller och ansvarsområden, risknivåer och tröskelvärden samt ange en process för snabb kommunikation till berörda intressenter.
- Upprätta scenarioplanering för potentiella risker och incidenter. Scenarioplanen bör innehålla situationsspecifika överväganden och riktlinjer samt en mall för meddelanden till intressenter som snabbt kan uppdateras med fakta om den faktiska situationen om en incident skulle inträffa.
- Testa planen. Att genomföra realistiska simuleringsövningar är en viktig del av planerings- och förberedelseprocessen för att testa organisationens förmåga att fungera i enlighet med planen och protokollen. Det kommer också att identifiera luckor i processerna som måste åtgärdas innan en verklig händelse inträffar.
- Investera i förväg. Vissa organisationer kanske känner att de inte har möjlighet att investera i förväg för att ha ett callcenter eller andra lösningar på plats, men det är det bästa sättet att undvika att bli oförberedd. Investeringen kan omfatta inrättandet av ett callcenter för förlustanmälan/intrång. Det kan också handla om ett sekundärt, separat informationsnav eller en mikrowebbplats som snabbt kan aktiveras för att kommunicera med intressenter via alternativa kanaler om du skulle förlora åtkomsten till dina system.
När en incident inträffar är ditt företag eller din organisation bättre förberedd på att hantera situationen, aktivera den befintliga planen och fokusera på att minska eventuella risker.
Genomförande av planen
När en incident inträffar bör företaget omedelbart aktivera sin regelbundet uppdaterade incidenthanteringsplan. Var transparent, men gå inte händelserna i förväg. Forensiska undersökningar av data tar ofta tid, så det är viktigt att endast kommunicera bekräftade fakta och erkänna att situationen är flytande och kan förändras. För att minimera påverkan, skydda och eventuellt förbättra varumärkets rykte finns det flera saker att tänka på:
- Uppfattningen: Ofta är uppfattningen att ett företag eller en organisation är ansvarigt även om de inte är ansvariga för dataintrång. Intressenter kan och kommer att förlåta dig för säkerhetsförluster, otur eller till och med båda. Men att försöka avleda skulden kan slå tillbaka. De som drabbats av olyckan ser det enkelt: De litade på dig med sin information och du förlorade den.
- Kontroll: Det är inte säkert att du (företaget eller organisationen) har kontroll över tidpunkten för offentliggörandet. Det finns många faktorer som kan påskynda ditt svar. Till exempel har olika länder och delstater i USA olika krav på offentliggörande. Mediecykeln eller kommentarer i sociala medier kan också tvinga fram det. Hackare läcker konfidentiell information till webben, som sedan plockas upp av cybersäkerhetsreportrar och bloggare. Personal kan också oavsiktligt läcka känslig information, vilket förvärrar problemet.
- Skyldighet: Företag och organisationer kan ha avtalsenliga skyldigheter att offentliggöra incidenten. I allt större utsträckning innehåller avtal med leverantörer och partners klausuler som kräver att företagen offentliggör ett intrång, oavsett myndighetskrav. Om företaget är publikt kan det finnas en materiell påverkan och relaterade överväganden som måste tas med i beräkningen, utöver lagstadgade upplysningar.
- Kommunikation: Inte varje incident kräver proaktiv kommunikation av hela situationen till alla målgrupper. Beslutet att vara proaktiv eller reaktiv och med vilka målgrupper är nyanserat och inte en modell som passar alla. Även om det inte finns några avtalsenliga eller lagstadgade krav kan företag ha ett etiskt krav på sig att informera - ofta beroende på hur omfattande överträdelsen är och hur sannolikt det är att den blir offentlig. (Proffstips: det är alltid bättre för dina intressenter att höra från dig än att få reda på det för första gången i media. Om du gör det visar du att du tar skyddet av deras information på allvar).
- Värderingar: Grunda alltid företagets agerande i företagets värderingar. Vad står du för som företag och vad förväntar sig dina intressenter av dig? Se situationen genom deras ögon och reagera därefter.
Den alarmerande ökningen av cybersäkerhetsincidenter under det senaste året, liksom antalet uppmärksammade intrång, understryker att det aldrig har varit viktigare att förbereda sig. I takt med att allt fler organisationer och företag använder sig av en hybrid arbetsmodell fortsätter risken för dataintrång att öka. Hotaktörer kommer att se en möjlighet med en distansarbetande personal - och vi bör förvänta oss att de kommer att fortsätta att utvecklas och anpassa sin verksamhet till det nya normala.
Genom att prioritera cybersäkerhetsplanering nu kan du säkerställa att din organisation är förberedd om en incident skulle inträffa - eftersom det inte är en fråga om "om" utan om "när" en cyberattack kommer att inträffa.
Ladda ner en kopia av denna artikel här.
Om våra gästförfattare Sean Wood och Katherine Goodyear:
Sean Wood är Executive Vice President på Weber Shandwicks globala kris- och problemavdelning och har i mer än 25 år hjälpt kunder att skydda sitt rykte i situationer med höga insatser. Sean Wood ser på kris- och problemhantering utifrån ett företags- och varumärkesperspektiv och hjälper företagsledare att hantera komplexa situationer med integrerade strategier för att minska riskerna.
Katherine Goodyear är chef för Weber Shandwicks kris- och problemavdelning i New York City. Katherine ger råd till kunder i deras mest komplexa och känsliga frågor för att skydda deras rykte. Hon tillhandahåller ett komplett utbud av kriskommunikationsstöd - och hjälper kunder att navigera i cybersäkerhetsincidenter.
Etiketter: Varumärkesskydd, Efterlevnad, Kris, cyber, Cyberrisk, Ansvar, återkallelse, reglering, Regelverksförändring + efterlevnad, Risk, Säkerhet