欢迎阅读最新一期聚焦。聚焦》是我们与战略合作伙伴--各行业的律师、保险公司、风险经理和危机公关专家--就有可能影响公司对市场内事件和危机管理的看法的问题分享见解和观点的一种方式。
在本期节目中,万博宣伟执行副总裁肖恩-伍德(Sean Wood)和客户总监凯瑟琳-古德伊(Katherine Goodyear)将与我们共同探讨网络安全传播的概况。我们将探讨企业应如何制定应对网络安全事件的计划,以及在网络安全事件发生时如何采取切实可行的措施最大限度地降低影响、保护和提升品牌声誉。
由 Sedgwick 公司客户服务高级副总裁 Chris Harvey 作序:
请继续阅读肖恩-伍德和凯瑟琳-古德伊尔的更多见解。
网络安全事件是公司面临的最严重的业务和声誉威胁之一,会迅速削弱从客户、员工到公众等关键利益相关者对公司的信任。此外,网络安全事件难以解决、成本高昂且增长迅速。
预计2021 年全球网络犯罪将造成约 6 万亿美元的损失,比 2015 年增长两倍,而 2021 年上半年的勒索软件攻击比 2020 年全年增长了 151%。这些事件的持续增加、其复杂程度以及对运营和财务的潜在影响,都凸显了各行各业的公司做好准备的重要性。
事实上,KRC Research和万博宣伟(Weber Shandwick)最近对 12 个国家的高管进行的一项全球调查显示,网络安全和数据隐私是高管在做出重要业务决策时最关心的两个问题。
未雨绸缪,抢占先机
虽然人们都知道网络安全事件时有发生,但他们往往根据公司和组织的应对方式来评判它们,并在信息暴露或被滥用时追究它们的责任。因此,公司的首要任务应该是制定事故前计划,使企业能够快速应对攻击。
这种规划不仅是保护敏感的个人和商业信息以及品牌声誉的正确做法,而且客户、保险公司和政府都在强调加强事件响应计划的重要性。最近,美国总统乔-拜登在一次会议上将网络安全描述为 "国家安全的核心挑战",并呼吁私营部门通过合作和单独行动加强国家网络安全,重点是解决网络安全技能短缺问题。在白宫国家安全委员会于 10 月举行的反勒索软件倡议会议之后,30 多个国家和欧盟发表了一份联合合作声明,以提高国家复原力、打击非法金融、瓦解勒索软件犯罪分子,并利用外交作为打击勒索软件的工具。
在这里,规划意味着
- 制定或更新事故响应计划。 这些计划应涵盖运行和通信响应,并应进行整合,概述需要参与的人员、角色和责任、风险等级和阈值,并说明与受影响的利益相关方进行快速沟通的流程。
- 为潜在风险和事件制定情景计划。情景计划应包括针对具体情况的考虑因素和指导,以及利益相关者的信息模板,一旦发生事故,可根据实际情况迅速更新。
- 测试计划。进行逼真的模拟演练是计划和准备过程的重要组成部分,以测试组织按照计划和协议运作的能力。它还能在真实事件发生前找出需要修补的流程漏洞。
- 提前投资。有些组织可能认为自己无力提前投资建立应急呼叫中心或其他解决方案,但这是避免措手不及的最佳方法。这种投资可能包括建立一个损失通知/故障响应呼叫中心。它还可能包括一个单独托管的二级信息中心或微型网站,一旦系统无法访问,可以迅速打开,通过备用渠道与利益相关者沟通。
现在,当事故发生时,您的公司或组织可以更好地管理情况、启动现有计划并集中精力降低任何风险。
实施计划
当事件发生时,公司应立即启动定期更新的事件响应计划。保持透明,但不要超越事实。数据取证通常需要时间,因此只传达已确认的事实,并承认情况是多变的,可能会发生变化,这一点非常重要。为了最大限度地减少影响、保护并可能提高品牌声誉,有几个注意事项需要牢记:
- 观念: 通常情况下,人们认为公司或组织即使不对泄露的数据负责,也要承担责任。利益相关者可以也会原谅你的安全漏洞、运气不佳,甚至两者兼而有之。但试图推卸责任可能会适得其反。受事故影响的人看问题很简单:他们将信息托付给您,而您却丢失了信息。
- 控制: 您(公司或组织)可能无法控制披露时间。有许多因素可能会加速您的反应。例如,各国和美国各州有不同的披露要求。媒体周期或社交媒体评论也可能会强制披露。黑客会将机密信息泄露到网络上,然后被网络安全记者和博客转载。员工也可能无意中泄露敏感信息,使问题更加严重。
- 义务: 公司和组织可能有披露事件的合同义务。与供应商和合作伙伴签订的合同中越来越多地包含要求公司披露违规事件的条款,无论监管要求如何。如果公司是上市公司,除了监管披露外,可能还需要考虑重大影响和相关因素。
- 沟通: 并非每一起事件都需要主动向所有受众通报整个情况。是主动还是被动以及与哪些受众沟通的决定是有细微差别的,并不是一个放之四海而皆准的模式。即使没有合同或监管要求,公司也可能有披露信息的道德要求--这通常是由违规的范围和公开的可能性决定的。(小贴士:对于利益相关者来说,从您这里了解情况总比在媒体上首次发现要好。这样做表明您非常重视保护他们的信息)。
- 价值观: 始终将企业价值观作为业务响应的基础。作为一家公司,您的立场是什么,您的利益相关者对您的期望是什么?从他们的角度看问题,并做出相应的反应。
过去一年中,网络安全事件以及广为人知的外泄事件数量急剧上升,这表明现在是做好准备的最重要时刻。随着越来越多的组织和公司采用混合工作模式,数据泄露的风险只会继续增加。威胁行为者将看到远程员工的机会--我们应该期待他们将继续发展并调整其业务以适应新常态。
现在就优先考虑网络安全规划,将有助于确保贵组织在事件发生时做好准备--因为网络攻击不是 "是否 "发生的问题,而是 "何时 "发生的问题。
点击此处下载本聚焦特写。
关于特邀作者肖恩-伍德(Sean Wood)和凯瑟琳-古德伊尔(Katherine Goodyear):
肖恩-伍德(Sean Wood)是万博宣伟全球危机与问题实践部门的执行副总裁,25 年来一直帮助客户在高风险情况下维护其声誉。肖恩将企业和品牌声誉视角带入危机和问题管理,帮助企业领导者以综合战略应对复杂局面,降低风险。
凯瑟琳-古德伊尔(Katherine Goodyear)是纽约市万博宣伟危机与问题业务部的总监。凯瑟琳为客户提供咨询,帮助他们解决最复杂、最敏感的问题,保护他们的声誉。她提供全方位的危机公关支持,帮助客户应对网络安全事件。