Кибератаката е сериозен бизнес риск-Българите вярват, че фирмите пазят личните им данни

Компаниите трябва да са подготвени за подобна заплаха, казва Диана Дамянова 

Киберсигурността беше основен акцент във форума "Be aware", който се състоя миналата седмица в София Тех Парк. Сред организаторите бе и D&D Агенция. Пред "Стандарт" нейният основател Диана Дамянова коментира новите киберзаплахи. 
D&D Агенция е първата и една от най-големите PR агенции в България. Самата Диана Дамянова има многогодишен опит в сферата на публичните и корпоративни комуникации. Професионалната й PR кариера започва от позицията на вицепрезидент и официален говорител на КНСБ. През 1993 г. създава D&D Агенция, която постепенно се очертава като най-добра в сферата на кризисните комуникации.
Диана Дамянова е доктор на историческите науки от Софийски университет "Св. Климент Охридски". Говори руски, френски, английски и италиански.

– Г-жо Дамянова, колко големи могат да са последствията за бизнеса от една кибератака?
– Важно е да гледаме на кибератаката не като IT проблем, а като на сериозен бизнес риск, който може да засегне цялостното функциониране на даден бизнес – от възможно затрудняване или прекъсване на оперативната дейност, финансови загуби, кражба на интелектуална собственост до посегателство върху лични данни и информация, които правят служители, клиенти, доставчици и партньори на компанията уязвими. Резултатите от такава криза са трудно предвидими, но е сигурно, че те носят огромен репутационен риск, а репутацията на една компания е нейната най-голяма ценност. 
Кибератаките са един много особен тип "криза", който по никакъв начин не може да бъде поставян под общ знаменател с други кризи – природни бедствия или други форсмажори. Голямата особеност е възможността от посегателство над отделния индивид чрез кражба на лични данни и информация. Възможността да бъдат разкрити данни за финансовото положение, застрахователни  сделки или дори онлайн пазаруване правят отделния човек особено чувствителен към разкриване на личната му информация.
– Как хората приемат възможността техни лични данни да бъдат "хакнати"?
– Според проучване на D&D агенция за възприятията и нагласите на хората 85% от респондентите смятат, че има превенция срещу кражбата на лични данни. Това означава, че хората в България имат високи очаквания, че компаниите съхраняват добре техните лични данни и информация. 
Но тук има специфика, показват нашите данни – когато става дума за пробив в информационната система на една компания, хората го приемат като форсмажор, като нещо, което може да се случи. Когато обаче става дума за тяхна лична информация – търпимостта им спада драматично. И тук идва ключовата роля на ПР експертите да подготвим компанията за максимално адекватна и навременна реакция в условията на криза, така че репутацията й да не бъде засегната. 
– Какво бихте посъветвали родните компании в тази посока?
– През последните години станахме свидетели на множество хакерски атаки, които нанесоха изключителни загуби на засегнатите компании, а най-лошото, което се установи, е, че голяма част от тях на глобално ниво не бяха подготвени нито софтуерно, нито комуникационно. Това е и най-голямото предизвикателство, пред което сме изправени ние специалистите, защото динамиката, новите технологии и видовете кибератаки се променят всеки ден, а това променя и правилата на нашата работа. Най-ценният съвет, който ние в D&D Агенция даваме на нашите клиенти, е да не изчакват да станат обект на кибератака, а да вземат предварително мерки как да реагират при такава криза. 
Бившият директор на ФБР Робърт Мълър казва, че компаниите биват само два вида – такива, които са били хаквани, и такива, които ще бъдат.  На фона на това фактът, че в световен мащаб 44% от организациите нямат разработен план за реакция при кибератака, само 15% от IT и бизнес лидерите са информирани компанията им да има такъв, а близо 40% от тях се позовават на план за кризисни ситуации от типа на пожар, природно бедствие и др. показва, колко са неподготвени компаниите.
– Каква е тази предварителна подготовка?
– Трябва  предварително да си отговорим на въпросите: каква информация притежаваме, която друг може да поиска и да използва във вреда на компанията или на наши партньори и клиенти; кои биха били засегнатите и пред какви рискове биха били изправени те. След това да разпишем  протокол за действие, включително мобилизиране на кризисен щаб от IT, комуникационни, специалисти от звената, управляващи човешките ресурси и др. Много важно е да се подготвят  каналите, по които ще се комуникира с различните групи засегнати, особено когато има срив в информационните системи на компанията, с особено голям акцент върху подготовката на служителите на компанията. Например няма да е умно да разчитаме на сайта на компанията, ако имаме срив в системата си, той е първият който ще се срине, ако е "хостван" вътрешно.
Много е важно, че в случай на криза клиентите на компанията очакват не само информация, но и инструкции какво да предприемат. В случай, че ние не им ги предоставим, те започват да заливат компанията с телефони и имейли, и ако нямаме предварително подготвен план за действие, това неизбежно води до срив в комуникациите от стандартен тип. Друг е въпросът, че трябва да има точно определени хора, които да дават тези инструкции, защото разнопосочност в твърденията на различни служители и говорители в този момент има пагубно влияние върху вярата на компанията. D&D Агенция  се стреми да разработва план за такива ситуации за клиентите си. В дългогодишната си история сме помагали на много клиенти да се справят с кризи от различно естество. Доста често те са се обръщали към нас на много по-късен етап, когато предизвикателствата са много повече, а кризата – доста по-трудна за овладяване.  Това с особена сила важи за кризата при кибератака. Особено трудно е да се направи смислен план на действие, когато атаката е факт.
– Какви могат да са репутационните и комуникационни проблеми при една кибератака или заплаха?
– Кризите и липсата на адекватна подготовка за реакция в такива случаи може да доведе до сериозни репутационни щети. Това важи с особена сила за кибератаките по няколко причини. На първо място е фактът, че пробивите в информационните системи обикновено се регистрират след доста дълъг период от време. Според проучвания кибератаките се засичат средно след около близо 5 месеца. Това дава достатъчно време на хакерите да извлекат информация в сериозни обеми, като в същото време поставят и крайно неудобни за засегната компания въпроси от типа на "Какво е правила тя в това време и защо не е предприела необходимите мерки, за да защити съхраняваната информация?". В същото време огромна част от компаниите разбират, че системите им са атакувани от външни източници – клиенти, медии, партньори. Това автоматично ги поставя в обяснителен режим при силно ограничена информация какво точно и кога се е случило. И не на последно място, вече споменах, че 85% от респондентите в проучване, проведено от D&D Агенция, вярват, че има превенция на кражбите на лични данни, т.е. за тях подобни кризи са резултат от неадекватна подготовка на компанията и липса на инвестиции за гарантиране сигурността на системите им. А това ги прави крайно нетолерантни към дадена компания, когато такава атака се случи и техните данни бъдат засегнати.
– Кои са според вас слабите места в България от тази гледна точка?
– Слабите места са доста сходни в цял свят. Едно от най-уязвимите звена в една компания безспорно са служителите й. Голяма част от тях боравят с лични данни и не осъзнават какво богатство би било това за хакерите. Това е проблем, който трябва да бъде адресиран от всяка компания, така че да се ограничат максимално рисковете от "изтичане" на данни поради човешка грешка. Ако потребителите не са особено толерантни към кибератаките, които принципно имат характер на форсмажорно обстоятелство, то може да си представите колко изострени ще са реакциите им към "грешки", допуснати от самата компания. 
България е малка страна и индивидът може много лесно да бъде изолиран от тълпата и тенденциозно атакуван чрез личната информация, с която определени зложелатели разполагат. Слуховете могат да нанесат огромни щети на личността, както и да предизвикат сериозна паника в общественото пространство. Особеностите на медийната среда могат да изкривят или ограничат информацията, а социалните медии –  да мултиплицират този ефект. За нас, ПР специалистите, това е криза, която носи не по-малко рискове от самата кибератака. И докато технологиите се развиват изключително динамично и правят кибератаките все по-трудни за засичане и изолиране, то комуникационният аспект следва някои общи правила, които могат да са решаващи за опазване на имиджа на компанията и доверието на потребителите. Но за тази цел е важно да има предварителна подготовка.
– Имате ли някакъв генерален съвет към компаниите в случай на кибератака?
– Подготовка, тестване на подготовката, предварително обучен екип и  специални тренинги на служителите и много важно – да подготвим какво ще кажем и как ще го кажем в такъв момент, защото всяко непремерено изречение в подобна ситуация струва изключително скъпо на компанията, премерено в репутационни щети.
Иван Петров