Cyberangreb og GDPR er tilsammen en sprængfarlig cocktail – og bør sætte krisekommunikation på enhver virksomheds agenda

12. august 2020

|I Kommunikationsrådgivning, Public relations

Så blev det slægtsforskningssitet MyHeritages tur til at blive hacket og da nyheden kom på Reuters forlød det, at 92 millioner brugeres data potentielt var havnet i de it-kriminelles klør. Og herhjemme er det ikke mange dage siden, at DSB i et par dage var lukket onlineland på grund af et hackerangreb.

Databrud, hackerangreb og ransomware er simpelthen blevet dagligdag for landets virksomheder og institutioner. Står diverse forlydender til troende, så blev hele to ud af tre virksomheder ramt af hackerangreb sidste år, mens hver ottende cyberangreb rent faktisk lykkedes. Mange har allerede konkluderet, at det simpelthen er umuligt at beskytte sig 100 pct. mod et cyberangreb.

Kombinerer du denne uhyggelige statistik med GDPR, som for alvor har placeret ansvaret for at beskytte brugernes data hos virksomhederne, så bør ingen være i tvivl om, at det ikke kun er landets største virksomheder, der potentielt kan havne i mediemøllen.

I dag er alle i risikozonen

I dag har cybertruslen og GDPR tilsammen bragt alle virksomheder, der besidder fortrolige kundedata, i risikozonen for en veritabel mediestorm. For ikke at nævne det potentielt fatale tillidsbrud, der kan opstå mellem bruger og virksomhed, hvis det viser sig at:

Virksomheden ikke har gjort nok for at beskytte sig selv og sine brugeres data
Virksomheden opdager, at it-kriminelle har sikret sig adgang til brugernes data, men vælger at holde det skjult.

Begge scenarier er alvorlige og realistiske. For mens nyheder om databrud er blevet en daglig realitet, så er det mere sjældent at se virksomheder proaktivt dele information om databrud med offentligheden.

Hvorfor?

Hvor er tilgivelsen størst?

Der skal ikke nogen Einstein til at forstå, at mange virksomheder holder databrud hemmelige, fordi de er bange for, at de mister deres brugeres og samarbejdspartneres tillid, hvis de melder ud, at it-kriminelle har haft fingrene i den berømte kagedåse. Og det går ofte fra ondt til værre fordi et databrud ofte først opdages efter meget lang tid.

Jeg forstår virksomhedernes kattepine!

Selvfølgelig er de bange for at miste den dyrebare tillid, der er mellem virksomhed og bruger. For manglende tillid, plejer at betyde, at brugerne også forsvinder. Og dét gerne over til en konkurrent.

Men se på det sådan her; Hvad vil du helst kendes på?

At være den virksomhed, der åbent melder ud om databrud, så brugerne har mulighed for at gøre noget for at beskytte deres data ved lynhurtigt at skifte password, for eksempel?
Eller at være den virksomhed, der forsøgte at holde databruddet skjult og hermed gav de it-kriminelle endnu længere tid til at udøve deres onde gerninger?

De, der holder databruddet skjult, er næppe ’onde’ virksomheder (hvis sådant noget findes). De er simpelthen bange for, hvad det kommer til at betyde for deres forretning.

Men hvis jeg nu fortalte, at der er en farbar vej for virksomheder, der oplever databrud, til at gå åbent ud og samtidig bevare – ja endda styrke – tilliden?

I krisekommunikation finder du styrken til at bevare den dyrebare tillid

Da MyHeritage opdagede, at it-kriminelle havde haft adgang til brugernes data, hvad gjorde de så?

Kort efter bruddet blev opdaget, meldte deres CISO (den øverst ansvarlige for virksomhedens it-sikkerhed) sig på banen. På selskabets hjemmeside forklarede han brugerne, hvad MyHeritage havde opdaget, hvilke skridt de tog for at rette op på problemet, og hvordan de beskyttede brugernes data generelt. Der var også gode anvisninger på, hvad folk kunne gøre for at beskytte sig selv.

Og her tog MyHeritage det første altafgørende skridt væk fra den tillidsbrist, som databruddet kunne have medført; De kom med det, vi i krisekommunikation kalder ”The Holding Statement.”

En Holding Statement er den allerførste udmelding, der kommer fra en virksomhed i en krisesituation. Formålet med den er reelt todelt:

At sikre (genskabe) tilliden mellem virksomhed og omverden
At sørge for at holde serveretten på virksomhedens side, så det ikke er medierne eller SoMe-shitstormen, der får lov til at sætte retning og agenda.

Virksomheder, der har prøvet at havne i en shitstorm på de sociale medier eller som omdrejningspunkt for mediernes dagsorden ved, hvor svært (for ikke at sige umuligt) det er, at bryde rammerne for den meget snævre og unuancerede fortolkning af en virkelighed, når andre definerer den.

Sådan tager du det første skridt mod krisestyring

For at komme foran en eventuel medieagenda eller shitstorm er det vigtigt, at du trækker serveretten over på din side. En ’Holding Statement’, der offentliggøres så hurtigt som muligt, og gerne inden for en time, gør netop dét.

En Holding Statement er kort og præcis og indeholder:

De vigtigste fakta (svar på alle kendte hv-spørgsmål). Her svares der på, hvad der er sket, hvornår det er sket, hvad virksomheden gør nu og, hvordan vil de forbedre sig i fremtiden.
Hvad næste skridt er
Timeline – hvornår lader vi høre fra os igen og hvordan

Og så er det vigtigt, at vise empati. Er nyheden allerede ude, og folk er blevet sure, så skal du imødegå disse følelser. Er folk bange, så skal du berolige dem. Det er vigtigt, at du viser, at det vigtigste for jer er, at de implicerede kommer så godt ud af det som muligt.

Ja, der er meget du formentlig ikke ved, og det er en rigtig dårlig idé at begynde at gætte. I stedet skal du give konkrete svar på dét, du ved med sikkerhed, og give anvisninger på hvordan du vil finde ud af resten.

En Holding Statement er selvfølgelig kun det første skridt. Men det er vigtigt at sætte foden rigtigt i det videre forløb.

Det rigtige skridt ud i offentlighedens søgelys

MyHeritages brugeres data er stadig i fare. Men ved at handle hurtigt og sikkert har MyHeritage givet deres brugere mulighed for at genvinde kontrollen over deres personlige data ved at ændre adgangskode, tjekke for mistænkelig aktivitet på deres konti og udvise forsigtighed.

Den mulighed havde brugerne ikke haft, hvis hacket var blevet holdt hemmeligt, mens virksomheden undersøgte eller gav sig tid til at ”styre” det offentlige svar.

Opfordringen herfra er klar

I disse tider forbereder den kloge virksomhed sig på den dag, de skal forholde et databrud hos dem selv.

Ikke alene skal I opfylde kravene fra myndighederne i tilfælde af databrud (du kan finde Datatilsynets vejledning her), men husk også at sørge for ordentlig information til jeres kunder, brugere, pressen, og ikke mindst, egne medarbejdere. Er der andre interessenter, der påvirkes af databruddet, så skal de selvfølgelig også tænkes ind.

Det ér bedre at gå ud med nyheden offentligt, men gør det rigtigt, så I ikke havner i endnu større vanskeligheder.

Cookie	Beskrivelse
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
pll_language	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
viewed_cookie_policy	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Beskrivelse
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_18782458_1	Set by Google to distinguish users.
_gid	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Beskrivelse
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.