211service.com
Kriskommunikation efter en attack
I samarbete med Hewlett Packard Enterprise Security Services och FireEye Inc.
Här är ett allt vanligare scenario: Du är en företags- eller IT-ledare och du lär dig – mycket möjligt från källor utanför ditt företag – att cyberangripare har äventyrat din organisations system. Du vet ännu inte hur allvarligt ett brott du står inför, men det är helt klart dags att aktivera din kriskommunikationsplan.
Förutom att du inte har en plan. Eller så har du en, men den täcker inte cybersäkerhetskriser.
I båda fallen är du inte ensam. Säkerhetsexperter säger att även de mest säkerhetsmedvetna organisationerna ofta är bedrövligt dåligt förberedda när det gäller att kommunicera med interna och externa intressenter under och efter cyberattacker – och det gör att de kämpar för att återta kontrollen i en kris. Det beror vanligtvis på att de inte gjorde tillräckligt mycket arbete innan överträdelsen.
'Det största misstaget jag ser företag gör är att inte ha en kriskommunikationsplan på plats, säger Vitor De Souza, vice vd för global kommunikation för FireEye Inc., ett ledande globalt cybersäkerhetsföretag. De Souzas observation stöds av en undersökning från februari 2016 utförd av MIT Technology Review Custom i samarbete med FireEye och Hewlett Packard Enterprise (HPE) Security Services. Fyrtiofyra procent av de 225 företags- och IT-ledarna som tillfrågades sa att deras organisationer inte hade kriskommunikationsplaner för cybersäkerhet på plats; ytterligare 15 procent visste inte om de hade sådana planer.
Ett liknande misstag: att förlita sig på en kriskommunikationsplan som fokuserar på andra typer av nödsituationer – bränder, strömavbrott, naturkatastrofer. Den här typen av plan kommer inte att ta upp hur man kommunicerar om problem som är unika för informationssäkerhetsintrång, såsom eventuell cyberkriminell tillgång till personligt identifierbar information eller företagens immateriella rättigheter.
Video: Kriskommunikation efter en attack
Cyberattacker är mer komplicerade att hantera än bränder, och de är mycket mer komplicerade att diskutera med allmänheten. 'Om det brinner i byggnaden finns det en eller två vägar ut, men i cyberrymden finns det många olika scenarier. Man måste veta vad man kan ställas inför, säger De Souza.
Som individer i en organisation, om vi luktar rök eller ser en brand, känner vi oss bemyndigade att slå larm, säger Andrzej Kawalec, CTO på HPE Security Services. Ett brandlarm aktiverar nödberedskap och kriskommunikationsplaner på ett ganska enkelt sätt, men, säger Kawalec, detta händer inte med cybersäkerhetsincidenter, av två skäl.
Undersökningsresultat
Cybersäkerhetsutmaningar, risker, trender och effekter
Producerad av MIT Technology Review Custom i samarbete med Hewlett Packard Enterprise Security Services och FireEye Inc.
För det första rapporteras intrång ofta först av utomstående, vilket överraskar organisationer. Under 2015 uppmärksammades 53 procent av de incidenter som hanterades av Mandiant, ett FireEye-företag, företag först av externa källor, såsom kunder, partners, brottsbekämpande tjänstemän, journalister eller angriparna själva. De är omedelbart i en mycket reaktiv situation, med en stor grad av osäkerhet, konstaterar Kawalec.
För det andra inträffar intrång ofta under långa tidsperioder. Mediantiden för Mandiant-klienter som motståndare tillbringade innanför omkretsen innan upptäckten 2015 var 146 dagar, enligt Mandiant-rapporten M-Trends 2016 . Om du hittar det på dag fem finns det bara så mycket skada som kan göras under den tiden, säger Kawalec. Men ibland upptäcks inte intrång på månader, eller till och med år. Långa förseningar i upptäckten gör krisen mycket svårare att hantera – och att förklara för olika berörda målgrupper. Frågorna som ställs i kölvattnet av ett intrång – som varför det tog så lång tid att upptäcka intrånget och varför det hände i första hand – har potential att vara mycket mer skadliga för ett företags rykte än de som vanligtvis ställs efter en brand eller annan naturkatastrof.
Trots det säger Kawalec och andra experter att det är viktigt att hålla intressenter informerade efter ett intrång. Det värsta är rykten och gissningar, säger Kawalec. Skapa ett ramverk för att besvara frågor ärligt och med integritet. Var transparent om vad du gör och inte vet.
Kommunicera kontinuerligt – och från toppen
Chris Leach, chefsteknolog för HPE Security Services och en tidigare chef för informationssäkerhet (CISO) för ett stort företag, håller med. Kommunicera med människor uppåt och nedåt, och kommunicera kontinuerligt, rekommenderar han. Inkludera det du vet för att skapa förtroende för att du som företag tar upp problemet och skyddar informationen. Om möjligt, förbinda sig till handling: Säg till exempel 'vi kommer att lösa det här' - och fyll sedan i det tomma. Lova uppdateringar när det finns mer information att dela.
Leach rekommenderar dock att dela information på grund av att de behöver veta: Vi skulle vanligtvis inte kommunicera alla detaljer om ett brott till alla anställda, säger han. Vi delar bara tillräckligt mycket för att se till att de är säkra på att vi hanterar det och att detta är information som de skulle kunna och borde dela med sina kunder.
Samtidigt är det viktigt att ta itu med anställdas oro för huruvida deras egen personliga information har äventyrats, säger Kawalec. Arbetsgivare har vanligtvis känsliga uppgifter om anställda: lön, adress, anställningsbakgrund, uppgifter om arbetsprestationer och andra personliga uppgifter. Av den anledningen, säger Kawalec, måste dina anställda känna att du kommunicerar med dem och att de förstår vad som har hänt.
Alla tre experterna betonar vikten av att involvera företagets högsta ledning i kriskommunikationsplanen, inte bara under en cyberattack, utan även långt innan. Ett intrång är inte ett IT-problem, säger De Souza. Det är ett affärsproblem. C-sviten måste vara praktisk. Förbered dem. När du har gjort det har du en partner, en allierad, för att hantera utmaningen.
Dessutom ser smarta organisationer som anammar den digitala transformationsresan sin cybersäkerhetskriskommunikationsplan som ett ständigt pågående arbete, som uppdaterar den för att återspegla den oändliga utvecklingen av nya hot. Ett exempel på ett framväxande hot: ransomware, som en angripare begränsar åtkomsten till ett datorsystem tills ett företag betalar en rejäl utpressningsavgift. I en högprofilerad incident i februari 2016 blockerade en ransomware-attack anställdas tillgång till datorsystem på Hollywood Presbyterian Medical Center i Los Angeles. Cyberattackarna krävde att sjukhuset skulle betala motsvarande cirka 17 000 dollar via Bitcoins virtuella valutasystem för att få dekrypteringsnyckeln för att låsa upp systemen. För att återställa normal verksamhet gjorde vi detta, skrev sjukhusets vd och koncernchef Allen Stefanek ett brev publiceras på sjukhusets hemsida.
Stefaneks brev noterade att den presbyterianska cyberattacken i Hollywood inte äventyrade patientvården och att, såvitt sjukhuset kunde säga, angriparna aldrig fick tillgång till personal- eller patientinformation. Men lösenkonceptet gjorde ledarteam i andra organisationer över hela världen nervös. Vad händer om dina system faller för att någon ber dig att betala 1,5 miljoner dollar? frågar De Souza. Är du beredd att ta itu med det? Lika viktigt: Vad kommer du att säga om det – och tar din kommunikationsplan upp ett sådant scenario?
Bygg en stark grund
Naturligtvis kommer planerna för kriskommunikation att variera mycket från organisation till organisation. Men experterna ger några rekommendationer för att upprätta ett effektivt ramverk för kriskommunikation:
- Skapa ett tvärfunktionellt kommunikationsteam. Vi hade en HR-person. Vi hade kommunikations- och juridiska personer, och någon från IT-teamet, säger Leach när han beskriver cybersäkerhetskris-kommunikationsteamet hos sin tidigare arbetsgivare. Baserat på typen av intrång tog kärnteamet ibland in andra interna specialister. Så det kan inkludera en lagringsspecialist eller en specialist från en bransch i en annan region i världen, förklarar han.
- Etablera en tydlig ledarskapsstruktur. 'När saker händer händer de snabbt, säger De Souza. Kommunikationsträdet måste vara väldefinierat, med en ägare som är bekväm med att ta ansvar.
- Tala med en röst . Det betyder inte nödvändigtvis att man använder en enda talesperson. Istället innebär det att se till att alla som har rätt att tala med intressenter delar samma budskap. I all vår kommunikation var det bara två eller tre personer som fick tala för företaget, minns Leach. Han rekommenderar att ge dessa talespersoner professionell medieutbildning – återigen, i god tid innan de behöver använda dessa färdigheter.
- Ha kommunikationsplattformar redo att gå. Människor är inte vana vid att hantera en kris i takt med Twitter, säger Kawalec. Om intrånget blir offentligt, lägg en dedikerad webbplats online så snabbt som möjligt. Sätt upp flera tvåvägskanaler så att intressenter – anställda, kunder, partners, media och andra – kan kontakta företaget med information eller frågor.
- Öva, öva, öva. De Souza rekommenderar att man kör bordsövningar, regelbundna repetitioner som involverar kommunikationsstrategier för att svara på olika typer av cyberattacker. Hur regelbundet? Souza säger att i de bästa exemplen han har sett, genomför organisationer övningar varje kvartal och inkluderar C-suiten såväl som kriskommunikationsteamet. Du måste se till att kommunikationsplanen är operativ och att du faktiskt kan använda den, konstaterar han.
Se till extern expertis
Naturligtvis saknar många organisationer de interna resurser som behövs för att skapa, öva och kontinuerligt uppdatera omfattande kriskommunikationsplaner, särskilt med tanke på den stora mångfalden av potentiella cyberattackscenarier. I dessa fall är det vettigt att vända sig till externa partners med stor erfarenhet av att upprätta ritningar och bästa praxis för kriskommunikation. Ett exempel: HPE Security Services och FireEye, som har tillhandahållit incidentrespons, kompromissbedömning och hotdetektionserbjudanden till tusentals kunder över hela världen, och som också erbjuder massor av beprövade råd om planering för kriskommunikation.
Det är uppenbart att du inte kan kontrollera kommunikationscykeln utan att ha gjort en del arbete i förväg, konstaterar Kawalec. Så i förväg kan vi tillsammans med dig, eller för dig, utveckla en mycket genomtänkt krishanteringsplan med olika ritningar och scenarier. Sedan använder vi det som en träningsmanual som dina team kan använda för att arbeta i realtid.
På så sätt, när det oundvikliga inträffar, är organisationer väl förberedda att svara, säger Kawalec. I stundens hetta vet du vad du ska säga och hur du ska säga det. Du vet hur man formulerar olika budskap till olika målgrupper. Du kan ta kontroll över situationen och kommunicera ut den.
För att lära dig mer om digital transformation och cybersäkerhet, vänligen utforska detta HPE-FireEye resurswebbplats.