Cyberangreb og GDPR er tilsammen en sprængfarlig cocktail – og bør sætte krisekommunikation på enhver virksomheds agenda

Så blev det slægtsforskningssitet MyHeritages tur til at blive hacket og da nyheden kom på Reuters forlød det, at 92 millioner brugeres data potentielt var havnet i de it-kriminelles klør. Og herhjemme er det ikke mange dage siden, at DSB i et par dage var lukket onlineland på grund af et hackerangreb.

Databrud, hackerangreb og ransomware er simpelthen blevet dagligdag for landets virksomheder og institutioner. Står diverse forlydender til troende, så blev hele to ud af tre virksomheder ramt af hackerangreb sidste år, mens hver ottende cyberangreb rent faktisk lykkedes. Mange har allerede konkluderet, at det simpelthen er umuligt at beskytte sig 100 pct. mod et cyberangreb.

Kombinerer du denne uhyggelige statistik med GDPR, som for alvor har placeret ansvaret for at beskytte brugernes data hos virksomhederne, så bør ingen være i tvivl om, at det ikke kun er landets største virksomheder, der potentielt kan havne i mediemøllen.

I dag er alle i risikozonen

I dag har cybertruslen og GDPR tilsammen bragt alle virksomheder, der besidder fortrolige kundedata, i risikozonen for en veritabel mediestorm. For ikke at nævne det potentielt fatale tillidsbrud, der kan opstå mellem bruger og virksomhed, hvis det viser sig at:

  1. Virksomheden ikke har gjort nok for at beskytte sig selv og sine brugeres data
  2. Virksomheden opdager, at it-kriminelle har sikret sig adgang til brugernes data, men vælger at holde det skjult.

Begge scenarier er alvorlige og realistiske. For mens nyheder om databrud er blevet en daglig realitet, så er det mere sjældent at se virksomheder proaktivt dele information om databrud med offentligheden.

Hvorfor?

Hvor er tilgivelsen størst?

Der skal ikke nogen Einstein til at forstå, at mange virksomheder holder databrud hemmelige, fordi de er bange for, at de mister deres brugeres og samarbejdspartneres tillid, hvis de melder ud, at it-kriminelle har haft fingrene i den berømte kagedåse. Og det går ofte fra ondt til værre fordi et databrud ofte først opdages efter meget lang tid.

Jeg forstår virksomhedernes kattepine!

Selvfølgelig er de bange for at miste den dyrebare tillid, der er mellem virksomhed og bruger. For manglende tillid, plejer at betyde, at brugerne også forsvinder. Og dét gerne over til en konkurrent.

Men se på det sådan her; Hvad vil du helst kendes på?

  1. At være den virksomhed, der åbent melder ud om databrud, så brugerne har mulighed for at gøre noget for at beskytte deres data ved lynhurtigt at skifte password, for eksempel?
  2. Eller at være den virksomhed, der forsøgte at holde databruddet skjult og hermed gav de it-kriminelle endnu længere tid til at udøve deres onde gerninger?

De, der holder databruddet skjult, er næppe ’onde’ virksomheder (hvis sådant noget findes). De er simpelthen bange for, hvad det kommer til at betyde for deres forretning.

Men hvis jeg nu fortalte, at der er en farbar vej for virksomheder, der oplever databrud, til at gå åbent ud og samtidig bevare – ja endda styrke – tilliden?

I krisekommunikation finder du styrken til at bevare den dyrebare tillid

Da MyHeritage opdagede, at it-kriminelle havde haft adgang til brugernes data, hvad gjorde de så?

Kort efter bruddet blev opdaget, meldte deres CISO (den øverst ansvarlige for virksomhedens it-sikkerhed) sig på banen. På selskabets hjemmeside forklarede han brugerne, hvad MyHeritage havde opdaget, hvilke skridt de tog for at rette op på problemet, og hvordan de beskyttede brugernes data generelt. Der var også gode anvisninger på, hvad folk kunne gøre for at beskytte sig selv.

Og her tog MyHeritage det første altafgørende skridt væk fra den tillidsbrist, som databruddet kunne have medført; De kom med det, vi i krisekommunikation kalder ”The Holding Statement.”

En Holding Statement er den allerførste udmelding, der kommer fra en virksomhed i en krisesituation. Formålet med den er reelt todelt:

  1. At sikre (genskabe) tilliden mellem virksomhed og omverden
  2. At sørge for at holde serveretten på virksomhedens side, så det ikke er medierne eller SoMe-shitstormen, der får lov til at sætte retning og agenda.

Virksomheder, der har prøvet at havne i en shitstorm på de sociale medier eller som omdrejningspunkt for mediernes dagsorden ved, hvor svært (for ikke at sige umuligt) det er, at bryde rammerne for den meget snævre og unuancerede fortolkning af en virkelighed, når andre definerer den.

Sådan tager du det første skridt mod krisestyring

For at komme foran en eventuel medieagenda eller shitstorm er det vigtigt, at du trækker serveretten over på din side. En ’Holding Statement’, der offentliggøres så hurtigt som muligt, og gerne inden for en time, gør netop dét.

En Holding Statement er kort og præcis og indeholder:

  • De vigtigste fakta (svar på alle kendte hv-spørgsmål). Her svares der på, hvad der er sket, hvornår det er sket, hvad virksomheden gør nu og, hvordan vil de forbedre sig i fremtiden.
  • Hvad næste skridt er
  • Timeline – hvornår lader vi høre fra os igen og hvordan

Og så er det vigtigt, at vise empati. Er nyheden allerede ude, og folk er blevet sure, så skal du imødegå disse følelser. Er folk bange, så skal du berolige dem. Det er vigtigt, at du viser, at det vigtigste for jer er, at de implicerede kommer så godt ud af det som muligt.

Ja, der er meget du formentlig ikke ved, og det er en rigtig dårlig idé at begynde at gætte. I stedet skal du give konkrete svar på dét, du ved med sikkerhed, og give anvisninger på hvordan du vil finde ud af resten.

En Holding Statement er selvfølgelig kun det første skridt. Men det er vigtigt at sætte foden rigtigt i det videre forløb.

Det rigtige skridt ud i offentlighedens søgelys

MyHeritages brugeres data er stadig i fare. Men ved at handle hurtigt og sikkert har MyHeritage givet deres brugere mulighed for at genvinde kontrollen over deres personlige data ved at ændre adgangskode, tjekke for mistænkelig aktivitet på deres konti og udvise forsigtighed.

Den mulighed havde brugerne ikke haft, hvis hacket var blevet holdt hemmeligt, mens virksomheden undersøgte eller gav sig tid til at ”styre” det offentlige svar.

Opfordringen herfra er klar

I disse tider forbereder den kloge virksomhed sig på den dag, de skal forholde et databrud hos dem selv.

Ikke alene skal I opfylde kravene fra myndighederne i tilfælde af databrud (du kan finde Datatilsynets vejledning her), men husk også at sørge for ordentlig information til jeres kunder, brugere, pressen, og ikke mindst, egne medarbejdere. Er der andre interessenter, der påvirkes af databruddet, så skal de selvfølgelig også tænkes ind.

Det ér bedre at gå ud med nyheden offentligt, men gør det rigtigt, så I ikke havner i endnu større vanskeligheder.