…prezydentów USA – George’a W. Busha i Baracka Obamy. To wyzwanie można porównać z rewolucją w komunikacji, wywołaną przez pojawienie się kilka lat temu mediów społecznościowych. Dzięki niej staliśmy się bardziej cyfrowi, otrzymaliśmy wreszcie narzędzia analizujące nasze firmowe działania oraz przede wszystkim bezpośredni kontakt z odbiorcami. To po stronie plusów. Olbrzymim minusem jest oczywiście prędkość, z jaką wybuchają obecnie kryzysy, które potrafią się często rozpocząć od jednego negatywnego postu. Wiele marek nauczyło się już zapobiegać takim przypadkom i przewidywać rozwój wydarzeń. Dzięki prowadzeniu stałego nasłuchu mediów społecznościowych jesteśmy w stanie w trybie rzeczywistym wyłapać zarzewie kryzysu i wdrożyć odpowiednie procedury, aby kryzys, który i tak wybuchnie, nie rozlał się szerzej.
Przyszłość, która nadeszła
Myślisz, że dzięki monitoringowi mediów, szkoleniom oraz świetnie przygotowanym procedurom kryzysowym jesteśmy całkowicie bezpieczni? Nic z tego. Sieć skrywa przed nami o wiele większe zagrożenia, których nie jesteśmy w stanie dostrzec aż do ostatniego momentu. A taka sytuacja może wykluwać się o wiele dłużej niż myślimy. Według wiceprezesa IBM Security Europe, Johana Artsa od spenetrowania systemu przez cyberprzestępców do wykrycia ataku mija średnio 200 dni. W międzyczasie światło dzienne może ujrzeć efekt takiego włamania i wtedy musimy mieć świadomość, że może to być trzęsienie ziemi dużo większe, niż to, które może nam zgotować kryzys w mediach społecznościowych. Takie właśnie wyzwanie niesie ze sobą cały obszar nazwany cyberbezpieczeństwem.
Zobacz również
Zagrożenia wynikające z cyberataków są już rzeczywistością i coraz poważniej dotykają całe sektory gospodarki czy nawet kraje. Przypomnijmy tu chociażby głośną sprawę ataku przy użyciu złośliwego oprogramowania WannaCry, który w maju 2017 roku zablokował setki tysięcy komputerów w 150 krajach na całym świecie. Albo niedawny atak na Polskę i Ukrainę przy użyciu NotPetya, który dotknął także wiele firm w całej Europie. I myli się ten, który myśli, że te ataki to porachunki służb specjalnych czy włamania na serwery rządowe. Ostatnie włamanie do brytyjskiego systemu opieki zdrowotnej dało się dotkliwie odczuć tysiącom pacjentów na Wyspach. Z kolei przejęcie przez hakerów danych dotyczących wybranych firm amerykańskich pozwoliło na manipulację ich akcjami na giełdzie nowojorskiej. I to są właśnie realne kryzysy, z którymi coraz częściej przyjdzie nam, specjalistom od komunikacji mierzyć się w codziennej pracy. A to jedynie ułamek tego, co de facto dzieje się w świecie cyberprzestrzeni.
Tu warto przytoczyć słowa jednego z głównych prelegentów tegorocznego Forum CYBERSEC, Sir Juliana Kinga. W swoim wystąpieniu podkreślił, że powinniśmy zmienić optykę poczucia bezpieczeństwa i w takim samym stopniu traktować to rzeczywiste, jak i wirtualne. Bo te dwa światy przenikają się i mają taki sam wpływ na nasze obecne życie. Sir King przytoczył również kilka ciekawych liczb, które mogą nam uświadomić, jakie realne zagrożenie przynosi obecnie sieć (na podstawie danych tylko europejskich):
- 5 dolarów – tyle wynosi cena w tzw. głębokim internecie (Dark Web) prostego ataku hakerskiego,
- 4000 – do tylu cyberataków rocznie dochodzi z wykorzystaniem oprogramowania ransomware,
- 1000 cyberataków miesięcznie dotyka branżę lotniczą,
- 1 miliard euro – taki łup zgarniają złodzieje wyłudzający fundusze z kart kredytowych,
- 350 tys. specjalistów ds. cyberbezpieczeństwa potrzebnych jest od zaraz na rynku europejskim.
Co ciekawe, zdaniem Artsa, 60% tych włamań nie jest wywołanych problemami zewnętrznych zabezpieczeń, ale słabymi procedurami i kompletnym ignorowaniem podstawowych zasad bezpieczeństwa wewnątrz firm czy instytucji. I nietrudno się z tym nie zgodzić, jeśli poczytamy o tzw. Shadow IT, problemie dotykającym coraz więcej przedsiębiorstw, a który opiera się na drugim obiegu informatycznym, czyli instalowaniu przez użytkowników dowolnych programów i aplikacji, bez zgody czy nawet wiedzy wewnętrznych działów IT. Nie wspominam już nawet o działach PR, które zapewne nie mają pojęcia, jak poważnym zagrożeniem dla wizerunku całej firmy może być nieprzestrzeganie przez pracowników podstawowych zasad bezpieczeństwa w firmie. I temu tematowi warto poświęcić nieco więcej uwagi, jeśli naprawdę myślimy o skutecznych procedurach antykryzysowych.
Poznaj Cropink – szybko i prosto twórz reklamy produktowe. Uwolnij Twoją kreatywność
e-HIV
Kolejnym, pozornie nieco oderwanym od rzeczywistości PRowej problemem, jest podejście do projektowania i produkowania urządzeń, sprzedawanych przez firmy. Melissa Hathaway uważa, że bezpieczeństwo powinno być traktowane jako zwykły proces inżynieryjny, a więc już na etapie projektowania danego rozwiązania. I moim zdaniem tak samo powinniśmy postąpić z procesem komunikacji, czyli podejść do niego jak do zadania inżynieryjnego. Obecnie należy włączyć kwestie cyberbezpieczeństwa już na samym początku procesu tworzenia strategii marketingowej czy komunikacyjnej. Warto więc na kolejne spotkanie dotyczące strategii zaprosić właśnie przedstawicieli działu IT w firmie, czy osobę odpowiedzialną za cyberbezpieczeństwo danej organizacji.
Słuchaj podcastu NowyMarketing
Nie możemy bowiem ślepo ufać infrastrukturze IT. Jak przyznał były inspektor generalny agencji NSA, Joel Brenner w żadnym innym obszarze naszego życia czy gospodarki nie ma tak mało wiarygodnych rozwiązań jak właśnie hardware czy software. Wyobrażacie sobie bowiem, że „update’ujemy” niedopracowany lek albo wypuszczamy „łatkę” do wypuszczonego właśnie nowego modelu samochodu? Przecież od tych rozwiązań zależy nasze życie, pora więc z taką samą powagą podejść do samych rozwiązań technologicznych, które, jak pokazuje już życie coraz częściej, wpływają na nie w bardzo krytyczny sposób. Brenner porównał również system bezpieczeństwa do systemu immunologicznego człowieka i dodał, że musimy cały czas pracować nad nowymi rozwiązaniami, które będą ten system wzmacniać i uodparniać na coraz to nowsze zagrożenia. Zgadzając się z Brennerem i idąc dalej tropem analogii, popatrzmy na wciąż aktualny problem epidemii wirusa HIV. Co zrobiliśmy w celu jego zminimalizowania? Edukacja, prewencja, badania, kampanie społeczne, opieka nad chorymi. A teraz porównajmy do tego epidemię cyberataków i nazwijmy ją roboczo „e-HIV”. Czy nie powinniśmy wdrażać podobnej procedury działania, także wewnątrz samych firm, co jest de facto domeną komunikacji wewnętrznej? Pamiętajmy też, że zagrożenie tym „cyfrowym HIV” dotyczy już nie tylko typowej infrastruktury informatycznej (jak serwery firmowe czy komputery stacjonarne i mobilne). Internet Rzeczy przynosi nam coraz więcej nowych potencjalnych nosicieli wirusów, a myśląc o IoT mam na myśli szerokie spektrum urządzeń począwszy od zabawek dziecięcych, a skończywszy na samochodach, statkach czy nawet systemach satelitarnych. Dlatego właśnie w tytule użyłem sformułowania Melissy Hathaway, która nazywa IoT Internetem Zagrożeń i postuluje, aby nie podłączać bezmyślnie do sieci wszystkiego.
Mroczna i jasna strona AI
Kolejną rzeczą, która szczególnie w kontekście dynamicznego rozwoju cyberataków zaczyna mnie osobiście przerażać, jest coraz większe zastosowanie sztucznej inteligencji. Abstrahuję tutaj oczywiście od pesymistycznej wizji rozwoju AI, jaką przyniosła nam przed laty seria filmów o wojnach ludzi i maszyn, zwanych terminatorami. Bardziej skupiłbym się na prostych systemach AI jakimi są chociażby zaawansowane chatboty, których przejęcie przez hakerów może przynieść poważne reperkusje dla naszej organizacji i zaszkodzić setkom/tysiącom naszych Klientów, nad których pozyskaniem ciężko pracowaliśmy (także komunikacyjnie). Z tego punktu widzenia zmienia się nam też optyka związana z reakcją na tak powstały kryzys. Przed erą mediów społecznościowych mieliśmy nierzadko nawet kilka godzin na wyprostowanie sytuacji, zanim informacja pojawiła się w wieczornym wydaniu programu newsowego, czy też trafiła na łamy prasy. Facebook czy Twitter dał nam minuty na reakcję, zaś w przypadku cyberataków będziemy często liczyć już ten czas w sekundach (zainteresowanych odsyłam do świetnej wizualizacji kryzysu związanego z cyberatakiem, który sekunda po sekundzie prezentuje produkcja VR firmy IBM Security. Zdecydowanie robi wrażenie).
Oczywiście w przypadku systemów AI jest też i jasna strona Mocy. Sami możemy zacząć pracować nad wdrożeniem w naszej firmie takiego rozwiązania, które w przypadku cyberataku automatycznie uruchomi procedury zarządzania kryzysowego, w tym m.in. powiadomienie kluczowych osób oraz np. zewnętrznych ekspertów PR, publikację przygotowanych oświadczeń na stronie firmy, odcięcie zainfekowanego działu od ewentualnej komunikacji zewnętrznej czy mediów społecznościowych, etc. Tu pewnie pojawią się niedługo absolutnie rewolucyjne pomysły oraz rozwiązania dla nas – PRowców.
Wracając do wątku głównego, czyli cyberbezpieczeństwa. Pierwsze pytanie oczywiście brzmi – z jakimi konkretnie zagrożeniami możemy się tutaj zderzyć. Odpowiedź jest prosta – dane. Dane, czyli waluta XXI wieku, która w wielu miejscach jest o wiele ważniejsza, niż obecne stosowane waluty. Straty finansowe można bowiem odrobić, natomiast utrata kluczowych danych to z jednej strony zatrzymanie np. procesu produkcji, a z drugiej możliwość wystąpienia poważnego kryzysu wizerunkowego, gdy zostaną one upublicznione.
Tu warto odwołać się do Cisco 2017 Annual Cybersecurity Report, z którego wynika że aż 22% firm, które zostały zaatakowane w cyberprzestrzeni, utraciło swoich klientów (przy czym w przypadku aż 40% z nich było to ponad 20% ogólnej liczby klientów). Do tego chyba nie muszę przekonywać jak ciężko jest odzyskać budowane przez wiele lat zaufanie publiczne. I właśnie utrata tych danych (ale także i sposób ich przechowywania) jest fundamentem wchodzącej w życie w maju 2018 nowej dyrektywy unijnej o nazwie GDPR (General Data Protection Regulation), w Polsce występującej pod nazwą RODO. Oddaje ona bowiem do dyspozycji organów państwowych i międzynarodowych poważne instrumentarium do nakładania kar na firmy, czy instytucje, w których doszło do wycieków danych lub zaniedbań dotyczących ich przechowywania.
Pytanie, o to czy my, ludzie branży marketingowej chcielibyśmy mieć do dyspozycji coraz dokładniejsze dane o naszych Klientach jest zapewne pytaniem retorycznym. Klienci sami nam tych danych dostarczają, logując się gdzie popadnie, płacąc w tzw. darmowych aplikacjach czy usługach swoimi kontami facebookowymi czy mailami. Wiemy o nich coraz więcej. A oni sami, chociaż np. Google oferuje coraz więcej możliwości blokowania śledzenia w sieci, nadal zachowują się tak, jakby cyfrowa rzeczywistość i cyfrowe bezpieczeństwo było czymś kompletnie oderwanym od rzeczywistości. Zapytajcie znajomych, którzy posiadają konto na Google, czy chociaż raz byli w sekcji My Account i przeglądali jak mogą np. wyłączyć tracking reklam. Dlatego to także na nas, specjalistach od komunikacji, spoczywa obowiązek zapewnienia im poczucia bezpieczeństwa, skoro zaufali naszym usługom i pozwolili nam zbierać o sobie dodatkowe informacje, które bezsprzecznie poprawiły naszą efektywność.
Ale co możemy właściwie zrobić, aby zacząć się przed tym wszystkim chronić, ulepszać nasze procedury komunikacyjne czy włączyć się w proces poprawy bezpieczeństwa w firmie? Pierwsze kroki to oczywiście self-learning, czyli zapoznanie się chociażby ze wspomnianą dyrektywą RODO, czy też podstawowymi zasadami bezpieczeństwa IT, które jeśli nie w naszych działach IT, to z pewnością znajdziemy na licznych stronach poświęconych cyberbezpieczeństwu. Kolejna rzecz to szkolenia, o których powinniśmy zacząć już myśleć i planować, aby być na bieżąco ze wszystkimi informacjami dotyczącymi zagrożeń, jakie mogą wywołać kryzys w naszych organizacjach. Warto tutaj połączyć siły z działami IT i np. zorganizować szkolenia symulujące cyberatak na firmę w połączeniu z wyciekiem danych do mediów i mediów społecznościowych. To co jest istotne w takich symulacjach, to skupienie się przede wszystkich na efektach takich ataków, a nie tylko na prewencji i zabezpieczeniach.
Działy komunikacji wewnętrznej czy „Culture” powinny też zadbać o jak najszerszą edukację w firmach dotyczącą problemu Shadow IT, czyli podwójnego obiegu informatycznego. Wesprzyjmy działy IT w ich często nierównej walce z firmowymi użytkownikami, bo to właśnie te działy są odpowiedzialne za minimalizowanie ryzyka ataków na naszą organizację. Niestety wciąż obserwuję w firmach pewien dystans do „informatyków”, którzy zdaniem wielu komplikują pracę procedurami, VPNami czy innymi rozwiązaniami, które z pozoru mogą nas męczyć. Celem komunikacji wewnętrznej powinno być właśnie wytworzenie kultury zrozumienia i porozumienia z osobami, które dbają o nasze cyberbezpieczeństwo. Sami też podejmijmy proste kroki zabezpieczenia naszych narzędzi pracy – przyjrzyjmy się w czym pracujemy (dyski zewnętrzne w chmurze, aplikacje zewnętrzne) i czy możemy np. wydzielić jeden komputer bez dostępu do sieci, na którym będziemy przechowywać najbardziej wrażliwe dane (jak np. strategie, dokumenty finansowe czy np. kontakty medialne, które dla wielu PRowców są na miarę złota).
Cyberbezpieczeństwo to obecnie podstawa naszego życia codziennego, pora więc aby także i specjaliści ds. komunikacji zaimplementowali ten obszar jako jeden z fundamentów swojej pracy.