Op het moment dat je wordt gehackt, staat je wereld stil en kun je bijna niet meer logisch nadenken. Toch is dat wel het moment waarop je met jouw organisatie belangrijke beslissingen moet nemen en vlot moet handelen. Je staat onder tijdsdruk want je business ligt stil. Mogelijk hebben de hackers je zelfs een deadline gegeven waarvoor je moet reageren of betalen. Om te voorkomen dat je op het moment suprême cruciale en kostbare fouten maakt, moet je de plannen dus vooraf maken. Want op dat moment is er nog niets aan de hand en heb je dus alle tijd om met elkaar te overleggen.
Incident Response Plan (IRP)
Steeds meer organisaties werken gelukkig aan allerlei preventieve securitymaatregelen om hacks te voorkomen. Maar wat moet je doen als het je tóch onverhoopt overkomt? Wat als je tóch wordt gehackt? Welke stappen moet je dan doorlopen?
De incident response maatregelen die dan in werking treden heb je idealiter al op de plank liggen in de vorm van een Incident Response Plan. Deze oefen je periodiek met je organisatie. Snelle en adequate incident response kan de impact van een security incident beperken. Incident response plannen focussen zich echter voornamelijk op de technische oplossing van een incident. Bij een hack dient tegelijk ook een crisiscommunicatieplan in werking te treden, maar dat blijkt in de praktijk toch best heel lastig. Kort onderzoek naar een aantal hacks laat direct zien hoe uiteenlopend wordt omgegaan met cybercrisiscommunicatie wanneer het eenmaal zo ver is.
3 voorbeelden met andere communicatiekeuzes
Universiteit Maastricht. Voor krap twee ton kreeg de Universiteit Maastricht op 30 december 2019 weer toegang tot zijn 267 door Russische hackers versleutelde servers. In totaal was de Universiteit vanaf 23 december een week lang digitaal op alle fronten lamgelegd.
Tijdens de crisis heeft de universiteit continu (dagelijks) open gecommuniceerd over de situatie op de eigen website, de Facebookpagina, via de woordvoerder en via het callcenter. Aan communicatie geen gebrek tijdens en na deze hack. Achteraf is op 4 februari een online seminar georganiseerd waarin de Universiteit verder uitleg gaf en er de mogelijkheid was om vragen te stellen. Ook is het securityrapport dat naar aanleiding van dit incident is geschreven gepubliceerd en voor iedereen inzichtelijk.
Uber. Op 21 november 2017 brengt Uber een persbericht uit waarin CEO Dara Khosrowshahi vertelt dat Uber een jaar eerder, in 2016, slachtoffer is geweest van een grootschalige data-breach. In dit geval geen ransomware of toegang tot de systemen of servers van Uber, maar het betrof hier de diefstal van de gegevens van 57 miljoen Uber klanten en chauffeurs wereldwijd. Uber heeft de aanvallers indertijd $100.000 betaald voor het verwijderen van de data en het verzwijgen van het incident. Men hoopte de hack te kunnen verzwijgen. Een jaar later kwam de diefstal echter toch aan het licht omdat de nieuwe CEO schoon schip wilde maken. Juridisch gezien had Uber het lek direct na ontdekking moeten melden en het bedrijf kreeg dan ook te maken met een fikse rechtszaak. Uiteindelijk betaalde Uber een boete van 148 miljoen dollar. Daarnaast was er natuurlijk ook sprake van stevige imagoschade.
In het persbericht biedt de nieuwe CEO zijn excuses aan voor het verzwijgen van de hack en vertelt dat hij alles in werking zal stellen om dit nooit meer te laten gebeuren en het vertrouwen van hun klanten terug te willen winnen.
Garmin. Zij kregen zeer recent met een hack te maken waarbij het bedrijf getroffen werd door een ransomware aanval. Veel details zijn op dit moment nog niet bekend, maar de hack versleutelde ‘enkele van hun systemen’ aldus het persbericht. Op 23 juli vroeg in de ochtend vielen de systemen uit en via diverse kanalen liet Garmin weten ‘down te zijn voor maintenance’. Dit zorgde ervoor dat geen enkele Garmin applicatie of wearable meer werkte en de klantenservice onbereikbaar was. In de dagen erna bleef de organisatie stil en reageerde niet op de vragen van klanten op social media.
Gevolg was dat speculatie op gang kwam, onder andere gevoed door medewerkers van Garmin die details deelden via hun eigen social media accounts. Nadat op 27 juli de problemen waren verholpen heeft Garmin in een persbericht officieel vermeld dat het hier een inderdaad ransomware aanval betrof. Het is niet bekend of het een bewuste keuze is geweest van Garmin om zo minimaal en vaag te communiceren, zelfs nadat de systemen weer up en running zijn. Het is in ieder geval indrukwekkend om te zien hoeveel het gebrek aan communicatie los maakt bij de Garmin community op de sociale netwerken. Het lijkt erop dat deze gebrekkige communicatie en het uitblijven van enige empathie richting de gebruikers het imago niet veel goed heeft gedaan.
Vertrouwen win je niet met een cover-up
De drie bovenstaande voorbeelden lopen behoorlijk uiteen wanneer het gaat om de keuzes die deze organisaties hebben gemaakt in hun communicatie: van transparant en eerlijk bij de universiteit, tot een complete cover-up bij Uber. Het blijft natuurlijk gokken wat zich werkelijk heeft afgespeeld binnen deze organisaties op die momenten. Was de juridische afdeling misschien bang voor communicatie? Was het de directie die ‘hoopte dat het wel zou overwaaien’? Ieder geval is uniek en overal spelen andere krachten.
Het effect van een hack op het imago van een organisatie is lastig te meten. Wat cyberattacks doen met een marktaandeel of de verkoopcijfers is ook niet geheel duidelijk. Het lijkt er echter wel op dat organisaties die zwijgen of liegen niet hoeven te rekenen op veel sympathie van hun klanten en de buitenwereld. Social media en blogs geven hiervan een duidelijk beeld. Dat is natuurlijk niet heel verrassend, want openheid en transparantie in communicatie is wat consumenten verwachten in het huidige digitale tijdperk. We praten constant over gepersonaliseerde communicatie, relaties bouwen met klanten, communities bouwen, vertrouwen winnen. Dus op het moment dat de shit de fan hit, kun je mogelijk juist harten winnen met openheid en transparantie, hoe lastig dat ook zal zijn. Met zwijgen zal je niet veel nieuwe vrienden maken en mogelijk zelfs vrienden verliezen.
"Be factual, be truthful, communicate clearly and empathetically with the people affected. Be open and transparent. If you’re still working out what’s happened and you’re not quite ready to give a detailed response, say so. Prepare a holding statement for each audience and keep updating them as you learn more details."
- Cybersecurity PR bureau Origin Communications
De vraag is en blijft wel of de keuze in communicatie op het moment zelf in dit soort gevallen werkelijk doordacht is of dat deze in paniek wordt gemaakt.
Zorg dat je naast een IRP ook een crisiscommunicatieplan hebt
Sla ieder crisiscommunicatie-handboek open en er wordt gesteld dat communicatie key is ten tijde van een crisis. Maar waarom gaat dit dan toch zo vaak mis als puntje bij paaltje komt? Belangrijke reden hiervoor is de paniek op het moment zelf en de angst dat communicatie de zaken mogelijk zal verergeren.
Wat is de juiste communicatie? Op welk moment? Via welk kanaal? Wat mag je absoluut níet vermelden? Wie moet je voor-informeren? Wie moet ‘iets vinden’ van de communicatie? Wil je al deze vragen proberen te beantwoorden onder extreme druk samen met een (internationaal) corporate communicatieteam, PR-bureau, allerlei stakeholders, een legal team én een directie? Succes! :-)
Dus er is eigenlijk maar één denkbare oplossing: bereid het voor. Oefen de crisis. Zorg dat je deze gesprekken allemaal al een keer hebt gevoerd met elkaar. Creëer een cybercrisiscommunicatieteam (3 keer de woordwaarde) en ga met elkaar het gesprek aan.
Er zijn een aantal vragen die het gesprek hierover intern wellicht op gang kunnen brengen:
- Wie is eindverantwoordelijk voor (cyber)crisiscommunicatie?
- Wat is voor onze organisatie de meest ernstige situatie?
- Wie kunnen binnen de organisatie de impact van een cybercrisis het beste inschatten?
- Wat zijn de doelgroepen die we moeten informeren en in welke volgorde? (klanten, aandeelhouders, medewerkers, partners?)
- Welke platformen kiezen wij om te communiceren?
En wanneer je als organisatie écht heel zeker wilt weten dat je adequaat reageert en de imagoschade minimaliseert is het beste advies om experts te betrekken bij het maken van je cybercrisiscommunicatieplan. Je eigen PR-bureau wellicht, of een crisiscommunicatiebureau.