Журнал "Information Security/ Информационная безопасность" #2, 2025

в свои уровни ИБ 2 , чтобы снизить риски в будущем, о чем они отрапортовали общественности. Чем оперативнее вы выйдете в пуб- личное поле, тем меньше будет слухов и домыслов. Как только вы получили основную информацию об атаке, оце- нили риски и последствия, пишите пресс-релиз. Позаботьтесь в том, чтобы он звучал убедительно и уверенно. Объясните, что произошло, возникли ли какие-либо изменения в бизнес-процес- сах вашей компании, кого затронула атака. Если инцидент произошел из-за внут- ренних проблем (ошибки сотрудника, например), возьмите на себя ответствен- ность. Объясните, как компания будет сообщать обновления, например через социальные сети, блог или специальную веб-страницу. Первое сообщение может быть кратким, но оно должно включать в себя информацию об уже принятых компанией мерах, шагах, которые долж- ны предпринять потенциально постра- давшие пользователи (например, смена паролей, мониторинг своих учетных записей), а также то, что вы будете делать в дальнейшем, чтобы минимизи- ровать последствия инцидента. И не забудьте извиниться! Не вина ваших пользователей, что им приходится вол- новаться за свои данные и читать все это в СМИ. Вспомним случившуюся в начале 2025 г. масштабную кибератаку, которой подверглась британская розничная сеть Co-op: утекли персональные данные кли- ентов и детали покупок. Компания отреа- гировала оперативно: уже в течение первых суток после инцидента PR-коман- да Co-op подготовила и опубликовала официальное заявление, в котором при- знала факт взлома, извинилась перед клиентами и сообщила о первых приня- тых мерах – от блокировки уязвимостей до уведомления правоохранительных органов. Заявление сопровождалось инструкциями для клиентов по проверке своих учетных записей и смене паролей. Особое внимание Co-op уделила тональ- ности сообщения: оно было спокойным, уверенным и избегало технических дета- лей, чтобы быть понятным широкой аудитории. 6. Апдейты и еще раз апдейты При киберинциденте одного заявления никогда не бывает достаточно. Природа кибератаки такова, что она может раз- виваться. Но даже если специалистам по ИБ удалось ее купировать, работа PR на этом не заканчивается. Обнов- ляйте информацию о том, что восста- новлено, что сделано, что планируется сделать. В особенно тяжелых случаях – открывайте горячую линию или хотя бы QA-страницу для пострадавших пользо- вателей. Помните, все ваши инструкции должны быть максимально просты и понятны. Для экспертов лучше задей- ствовать другие каналы коммуникаций. 7. Ставим точку СМИ уже не пишут о вас? Пик кризиса позади? Вы – молодцы, можно пока выдохнуть, но для PR еще ничего не закончено. В инциденте надо ставить точку, это важно прежде всего для вашей репутации, а также для ваших клиентов и партнеров. Еще раз проана- лизируйте все, что обещали в пылу сра- жения. Удостоверьтесь, что дали ответы на все вопросы (используйте мониторинг соцсетей). Выпустите новый стейтмент или инициируйте рекап инцидента в медиа с одной лишь целью – не еще раз пройтись по больному, а поставить точку. Это нужно прежде всего вам. В июле 2024 г. компания CrowdStrike, известная своими решениями в области кибербезопасности, оказалась в центре внимания после того, как обновление их антивирусного движка Falcon Sensor вызвало массовый сбой Windows-систем по всему миру. Во время пика кризиса Crowdstrike допустила ряд коммуника- ционных ошибок: она не извинилась за простой, нехотя признала инцидент – фактически под давлением критики, а затем несколько раз "промахнулась" с компенсирующими мерами и даже угодила в суд, так как не смогла уладить отношения с одним из крупнейших кли- ентов вне публичного поля. Однако после стабилизации ситуации компания выпустила финальный стейтмент, в кото- ром подвела итоги инцидента: объяснила причины сбоя, представила принятые меры, включая улучшения процессов тестирования и контроля качества, и выразила благодарность клиентам за терпение. Заключение Киберинцидент – это не только техни- ческая проблема, но и серьезное испы- тание для репутации вашей компании. Пока специалисты по информационной безопасности локализуют угрозу, именно PR-команда берет на себя ключевую роль в управлении восприятием про- исходящего. И от того, насколько гра- мотно и слаженно будут выстроены ком- муникации, зависит не только обще- ственное мнение, но и уровень доверия клиентов, партнеров и сотрудников. Эффективная антикризисная PR-рабо- та требует подготовки задолго до инци- дента, четкой координации с ИБ-коман- дой, участия в принятии решений, глу- бокого понимания аудитории и способ- ности действовать быстро, прозрачно и ответственно. Надеюсь, эта статья помо- жет выстроить структуру действий в одном из самых стрессовых и чувстви- тельных сценариев для любой органи- зации. Помните: в киберугрозах больше нет вопроса "если", есть только "когда". И чем раньше компания начнет работать над антикризисной готовностью вместе с PR-командой, тем выше шанс не про- сто выстоять в кризисе, но выйти из него сильнее. l • 79 УПРАВЛЕНИЕ www.itsec.ru Пиарщики становятся незаменимыми бойцами на передовой, когда компанию ата- куют. Пока технари тушат пожар и разбираются с уязвимостями, PR-команда должна грамотно управлять инфопотоком: что, кому, когда и как говорить, чтобы не потопить репутацию. Важно все – от того, как наладить контакт между PR и ИБ заранее, до последнего заявления, когда пыль уляжется. Репутация нуждается в защите, и без четкой коммуникационной стратегии во время кризиса можно потерять больше, чем от самой атаки. Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.cybersecuritydive.com/news/solarwinds-software-build-cycle-privi- leges-alex-stamos/594560/ 2 https://www.cybersecuritydive.com/news/solarwinds-response-marsh-collaboration/598871/