Įvyko kibernetinio saugumo incidentas - kaip išvengti krizės?

Reklama publikuota: 2021-07-14
svg svg

2020 metų išvakarės tapo įsimintina diena tuometinei didžiausiai pasaulyje valiutų keitimo paslaugas teikiančiai organizacijai Travelex. Jeigu atrodo, kad neteko girdėti šios kompanijos, suveskite jos pavadinimą į paieškų platformos laukelį – pasirodžius logotipui greičiausiai prisiminsite, kad ne kartą teko naudotis jų paslaugomis keliaujant. Prieš pat iššaunant Naujųjų metų fejerverkus, šios kompanijos duomenų bazę su jautriais klientų duomenimis, tokiais kaip kreditinių kortelių informacija bei asmens identifikavimo numeriais, perėmė elektroninių sukčių grupuotė. Ši istorija išskirtinė dar ir tuo, kad nesuvaldytos kibernetinio saugumo krizės, kuri vėliau virto dar ir komunikacine, poveikis šiai didžiulei organizacijai buvo toks stiprus, kad visiškai sutrikdė įmonės veiklą.

Suinteresuotos šalys ir misinformacijos suvaldymas

Indianos Universiteto kibernetinio saugumo tyrimų centro vyriausioji saugumo analitikė bei saugumo operacijų centro „ResearchSOC“ direktoriaus pavaduotoja Susan Sons atkreipia dėmesį į tai, kaip svarbu tinkamai identifikuoti kas krizės atveju yra suinteresuotos šalys:

nuotrauka::2 left

„Suinteresuotos šalys (angl. stakeholders) – tie, kurie nutikus incidentui gali kažką prarasti arba gauti. Neretai klaidingai manoma, kad tai tik klientai, darbuotojai, įmonės akcininkai. Žiniasklaida taip pat yra labai stiprus veikėjas krizės atveju, o kuo organizacija didesnė ir labiau žinoma visuomenėje, tuo ir šios srities atstovų interesas didesnis. Kibernetinio saugumo akademikai Richard Knight ir Jason R. C. Nurse savo tyrime ieškodami efektyvaus kibernetinio saugumo krizių komunikavimo modelio, identifikavo, kad būtent žiniasklaidos interesas dažniausiai būna sukelti ažiotažą, sukonstruoti įdomią, intriguojančią istoriją (angl. media framing). Todėl ši suinteresuota šalis yra itin reikšminga ir labai svarbu, kaip organizacija valdo informacijos srautus, kurie pasiekia žiniasklaidą. Kai žmonės nežino arba neturi informacijos, jie greičiausiai patys ima kurti įvykių seką. Taip pat jeigu su žiniasklaida bendrauja keli asmenys, tai įneša sumaišties, todėl svarbu turėti vieną centrinį komunikacijos žmogų (angl. spokesperson), kuris koordinuoja kokia informacija, kam ir kaip pateikiama. Tačiau tai nereiškia, kad reikia kuo labiau riboti komunikaciją, netgi priešingai — kuo konstruktyvesnė ir per kuo įvairesnius kanalus paskleista informacija, tuo mažiau vietos interpretacijoms ir misinformacijos sklaidai. Jeigu tinklalapis neveikia – verta pasidaryti laikiną, išnaudoti socialinius tinklus, nors jų iki tol gal net ir nenaudojote korporatyvinei komunikacijai.

Kita svarbi organizacijos suinteresuotų šalių grupė – partneriai ir tarpininkai. Labai svarbu, kad jie žinotų ką sakyti organizacijos vardu savo klientams. Travelex atveju, kai įvyko kibernetinio saugumo incidentas ir ištiko krizė, nemažai komunikacijos buvo dedikuota galutiniam vartotojui, tačiau nebuvo skirtas pakankamas dėmesys bankams ir kitiems tarpininkams, tad ėmė sklisti įvairios kalbos, imtasi savavališkų veiksmų sustabdyti pinigų perlaidas ir tai dar labiau sustiprino vis didėjantį nepasitikėjimą organizacija.“

Prioritetų svarba

ConnectPay informacijos saugumo vadovas Liudas Ališauskas sako, kad krizės valdymo priešakyje turėtų būti prioritetų kėlimas:

„Organizacijoms sveika žinoti savo prioritetus ir kasdienėje veikloje, bet gresiant kibernetinio saugumo krizei tai tampa ypač svarbu. Rizikų vertinimas yra puikūs namų darbai nustatant, ką svarbiausia saugoti ir kur turėtų būti mūsų prioritetai. Dar vieni namų darbai, kuriuos itin rekomenduoju – išsiųsti savo specialistus į kibernetines pratybas. Tai yra absoliučiai reikalingas dalykas, tiek nacionaliniu, tiek organizaciniu mastu. Nacionalinio pasirengimo pratybose galima dalyvauti atstovaujant savo industriją. Nauda yra dvipusė – tai ir susipažinimas su įvairiomis situacijomis, ir pažinčių rato plėtimas kibernetinio saugumo specialistų bendruomenėje.“

nuotrauka::1 right

Liudui antrina ir Susan Sons:

„Prioritetai padeda nesiblaškyti, sutelkti resursus į reikiamas sritis. Savo praktikoje matau, kad pagrindinis principas, ar tai būtų kibernetinių saugumo incidentų sukeltos krizės sprendimas, ar derybos dėl įkaitų, kuriose man tenka dalyvauti, yra būtent koncentracija į svarbiausius elementus, kuri padeda nenukrypti į smulkias detales. Svarbu nenorėti išspręsti absoliučiai visko. Nesitikėkite idealaus scenarijaus po krizės, kai viskas grįžta į senas vėžes, kad visiškai nėra nuostolių. Galite nemažai prarasti, bet gali įvykti ir atvirkštinis paradoksas, kai, išgyvenę krizę, tapsite dar stipresni. Taip neseniai nutiko Zoom programėlei, kurios saugumo spragos vertė sunerimti daugelį jos naudotojų. Tačiau dabar tai viena labiausiai į saugumą investuojančių video platformų.“

Krizės komunikacija

Tik išsigryninti ir surašyti prioritetus neužtenka – aiški ir konstruktyvi komunikacija labai svarbi ne tik „į išorę“, bet ir organizacijos viduje. Darbuotojams svarbu žinoti, ką, įvykus incidentui, saugoti pirmiausia, kurie kibernetiniai vartai silpniausi arba svarbiausi, kam ir kokią informacija skleisti arba kaip tik – geriau susilaikyti nuo komentarų. NRD Cyber Security marketingo ir komunikacijos direktorė Živilė Nečejauskaitė teigia, kad tarp kibernetinio saugumo ir komunikacinės krizių – plona riba, o darbuotojų vaidmuo krizės komunikacijoje yra itin reikšmingas:

„Kad ištiko kibernetinio saugumo krizė, galima atpažinti kai įvykęs kibernetinio saugumo incidentas yra neįprastas ir nepageidaujamas bei organizacijai gresia reputaciniai, finansiniai ar kitokie nuostoliai. Komunikacinė krizė dažniausiai yra jau priimtų sprendimų ir padarytų veiksmų pasekmė. Visai nesvarbu kokioje industrijoje veikia organizacija, yra trys esminiai elementai, kurie svarbūs norint išvengti ar sušvelninti komunikacinę krizę: greitis, aiškumas ir tinkamai atrinktos suinteresuotos šalys. Nors, kaip minėjo Susan, suinteresuotų šalių ratas įvykus kibernetinei krizei gali būti labai platus, ne visiems jiems derėtų susitikti prie krizės sprendimo lentos, t. y. ne visi turės interesą išspręsti krizę, ne tarp visų bus pasitikėjimas vienas kitu. Sprendžiant krizes atvirumas ir objektyvumas vertinant situaciją bei vengimas „badyti pirštais“ gali laimėti labai daug laiko.

nuotrauka::3 right

Tačiau būtina, kad krizės sprendime dalyvaujančios suinteresuotos šalys būtų ne tik nusiteikusios padėti, bet ir užtikrintų holistinį požiūrį. Tyrinėdami ES reglamentą dėl informavimo apie duomenų saugumo pažeidimus, kibernetinio saugumo specialistas Bernold Nieuwesteega ir teisės profesorius Michael Faure pastebėjo, kad kai kuriais atvejais minėtas reglamentas neįpareigoja informuoti duomenų savininką apie įvykusį incidentą. Jų tolesnis tyrimas atskleidė, kad kartais organizacijas konsultuojantys teisininkai pataria bandyti išspręsti situaciją ir tik tuomet informuoti duomenų savininkus apie įvykį. Visgi dauguma atvejų šis būdas iškilęs į viešumą atrodo kaip situacijos „užglaistymas“ ir neretai virsta komunikacine krize.

Darbuotojai – viena svarbiausių suinteresuotų šalių krizės atveju. Verta pagalvoti apie tai, kaip identifikuosite ir pasakysite jiems, kad organizaciją ištiko krizė ir ką jie turi daryti. Svarbu, kad nekiltų panika ir sumišimas arba atvirkščiai – į pavojaus signalą išvis nebūtų sureaguota. Organizacijai sunkiu momentu ant pjedestalo iškyla organizacijos kultūra ir vidinė komunikacija, tad labiausiai laimi įmonės, kurios kasdienėje veikloje skatina atvirą, konstruktyvią ir pasitikėjimu grįstą komunikacijos kultūrą. Neretai reputacinė žala kyla ne dėl prarastų duomenų ar saugumo spragų, bet dėl organizacijos reakcijos į susiklosčiusią situaciją ir pasirinktos komunikacijos strategijos. Tai puikiai pailiustruoja senokas, bet labai stiprų rezonansą sukėlęs amerikiečių kreditinių kortelių įmonės Equifax atvejis, kai vidinė komunikacija ir vadovų elgsena išvis neidentifikavo jokios krizės, tačiau kelių mėnesių laikotarpyje, ylai lendant iš maišo, komunikacinė krizė iššovė tarsi šampano butelio kamštis.“

Linkime, kad su krizėmis jūsų organizacija susidurtų kuo rečiau, o net jeigu tokia įvyko – ji neperaugtų į komunikacijos krizę. Įvykus kibernetinio saugumo incidentui, krizės išvengti gali padėti nuoseklus prioritetų vykdymas, suinteresuotų šalių suvaldymas ir aiški bei koordinuota komunikacija. Jeigu prireiktų pagalbos gryninantis prioritetus ir silpnąsias kibernetinio saugumo grandis, kviečiame pasinaudoti NRD Cyber Security teikiamu saugumo rizikų vertinimu.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Įvyko kibernetinio saugumo incidentas - kaip išvengti krizės? Verslo tribūna

2020 metų išvakarės tapo įsimintina diena tuometinei didžiausiai pasaulyje valiutų keitimo paslaugas...

2021.07.14
Kibernetinės krizės: kaip pasiruošti, kad nepasidarytų karšta Verslo tribūna

Kai tenka susitelkti ir skubiai sureaguoti į kibernetinį incidentą, organizacijoje labai greitai gali...

2021.06.14
Verslas verslui: paslauga gali būti ir tvari, ir ekonomiškai naudinga Verslo tribūna 1

Domėtis gaminių pakuočių tvarumu, ekologija, plastiko rūšiavimu ar net nekilnojamojo turto energetine klase...

2021.06.09
Vilniaus „Grinda“ padvigubino darbo našumą Verslo tribūna

Vilniaus miesto savivaldybės valdoma „Grinda“ sugebėjo prisitaikyti prie pandemijos sukeltų ekonominės...

2021.05.27
NRD Cyber Security kviečia į kibernetinių incidentų valdymo konferenciją Verslo tribūna

Gegužės 27 d., jau trečius metus iš eilės, vyks kibernetinių incidentų valdymui dedikuota konferencija...

2021.05.21
Pokyčių rikiuotėje – savitarnos kasos: automatizacijos galimybės Verslo tribūna 1

Lietuvoje mažėja parduotuvių, neturinčių savitarnos kasų, ir pirkėjų, neišbandžiusių šio apsipirkimo būdo.

2021.05.20
Restruktūrizavimas – vilties toliau veikti suteikianti alternatyva Verslo tribūna 1

Per pandemijos pažymėtus 2020-uosius metus bankrotų skaičius Lietuvoje sumažėjo daugiau nei dvigubai, tačiau...

2021.05.05
Kibernetinio saugumo mokymai darbuotojams: kas yra tikrasis laimėtojas? Verslo tribūna

Mokymai per karantiną buvo pirmoji taupymo eilutė – logiška, tačiau trumparegiška. Po duomenų nutekėjimo...

2021.05.03
Vilniaus „GRINDA“: skaitmeninės priemonės kuria naujos kartos inžinerinę infrastruktūrą Verslo tribūna

Baigusi judrios sostinės T. Narbuto gatvės lietaus nuotekų kolektoriaus rekonstrukciją Vilniaus „Grinda“...

2021.04.29
„Dezifog“ vienu šūviu nušauna du zuikius Verslo tribūna

Pandemijai nesitraukiant, „Dezifog“ tampa vis populiaresne ir itin efektyvia išeitimi, sprendžiant įvairių...

2021.04.26
„StrongPoint“ siūlo neišradinėti dviračio Verslo tribūna

COVID-19 ir šio viruso sukelti padariniai bene stipriausiai kirto mažmeninės prekybos sektoriui. Dažnas...

2021.04.14
Kaip išlikti saugiems skaitmeninėje erdvėje: viena auksinė taisyklė Verslo tribūna 1

Pastaruoju metu viešumoje vienas po kito nuskambėję didelio masto duomenų nutekinimo incidentai daugelį...

2021.04.01
Karantino gelbėjimo planas darbuotojams: edukacija apie savijautą ir pozityvios patirtys Verslo tribūna 1

Pasirūpinti savo darbuotojų psichologine sveikata – viena iš itin išryškėjusių darbdavių užduočių per...

2021.03.31
Naujoje realybėje „Dezifog“ tapo būtinybe Verslo tribūna 1

Praėjusiais metais užklupusi pandemija įmonių organizacijos kultūrą papildė dar viena dedamąja: darbuotojų ir...

2021.03.24
Europos Sąjungos kibernetinio saugumo teisės aktų pokyčiai: ką turime žinoti Verslo tribūna

Šiandieniniame pasaulyje nė viena organizacija ar įmonė nėra visiškai apsaugota nuo kibernetinių atakų ar...

2021.03.12
Neišnaudoto e-komercijos veiklos efektyvumo potencialo – apstu Verslo tribūna 2

Pandemija ir pirmasis karantinas pralaužė ledus įstrigusioje internetinėje prekyboje maisto produktais.

2021.03.09
„Dezifog“– naujas standartas Verslo tribūna

Kauno bendrovė „Efektyvūs saugos sprendimai“ kovoje su tebesitęsiančiu koronavirusu siūlo pasitelkti jų...

2021.02.25
Pakuočių atliekų tvarkymo viešieji konkursai savivaldybėse įsibėgėja Verslo tribūna

Kelerius metus trukusios Lietuvos gamintojų ir importuotojų organizacijų ir Vilniaus miesto savivaldybės...

2021.02.25
Nutikus nelaimei, verslui svarbiausia kuo greičiau grįžt į vėžes Verslo tribūna

Gaisras, dėl kurio visiškai sustojo įmonės veikla, o jai atnaujinti reikalingos elektros nėra ir greitu metu...

2021.02.22
Mokėjimų rinkos naujovės palengvins SVV dalią Verslo tribūna

Daugelį smulkiojo ir vidutinio verslo įmonių pandemija privertė spausti stabdį ar bent jau jungti neutralių...

2021.02.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku