BLOG - Hoe cybercriminaliteit de nood aan crisis readiness (ook bij je IT) steeds doet toenemen

Ook de zeer brede en random waaier van sectoren is tekenend: luchtvaart, overheid, mode, HR, bankwezen, retail, … Geen enkele sector is nog veilig, precies omdat de IT als ondersteunend proces definitief de plaats heeft ingenomen van de operationele core business – brand in productiefabriek, terugroeping van voedingsproduct, ongeval in magazijn, … - als primair entry point voor een reputatiecrisis.

Vandaag kan in élk bedrijf dat met persoonlijke of zakelijke data omgaat – en wie doet tegenwoordig niét - op elk moment de hel losbarsten. De Tijd berichtte in juni nog dat volgens VLAIO maar liefst 45% van de Vlaamse bedrijven al te maken had met een cyberaanval, en ook zelf kan ik er niet naast kijken: het aandeel van cybercriminaliteit in de issues die bij ons agency binnenkomen, groeit almaar.

Zeer complexe crisiscommunicatie

Extra lastig in een cybersec-crisis is dat drie specifieke moeilijkheden elkaar versterken: een gebrek aan controle over het probleem zelf, de grote potentiële reputatieschade en tot slot de complexiteit van dergelijke issues, wat zich één op één vertaalt naar de complexiteit van de communicatie.

De oorzaak en de gevolgen van een hacking worden vaak pas in de dagen of zelfs weken na de vaststelling helemaal duidelijk. Bovendien gebeurt dat in stukjes en brokjes. Een heel lange grijze zone dus, waarbinnen goede crisiscommunicatie – die net schreeuwt om helderheid – een moeilijke evenwichtsoefening wordt.

Want tijdens die grijze zone vechten tal van vragen om aandacht: Wat was het doel van de hack? Wat gaat er met de data gebeuren? Gaan de hackers ons contacteren? Hoe groot is het risico dat ze het nieuws zelf naar buiten brengen? Wat is de geschatte impact van het lek, en op wie? Moeten we proactief communiceren of maken we dan slapende honden wakker? Wat is ondertussen de kans dat het nieuws al lekt? Een spervuur aan factoren dat je constant op een slappe koord laat balanceren – met onderweg een groeiend risico op tunnelvisie.

De kritiek van Inti De Ceukelaire op de laattijdige communicatie van Orange snijdt dus zeker hout, maar zelf kan ik me goed inbeelden in welke ingewikkelde context die beslissingen genomen zijn.

De ‘controle vs. gevolg’-paradox

Tot slot is er de aard van de data die op straat komen te liggen. Dat zijn in veel bedrijven erg gevoelige data, zoals woonplaats en contactgegevens. Of erger, data over je seksualiteit, whereabouts, politieke overtuiging, financiële status of juridische issues.

Dat creëert een lastige ‘controle versus gevolg’-paradox: hoewel je als bedrijf weinig controle hebt over de oorzaak van datalek - één nalatigheid van een medewerker kan volstaan - en er bovendien zélf eigenlijk slachtoffer van bent, nemen stakeholders het joú wel kwalijk: “Wij hebben joú onze zeer vertrouwelijke data toevertrouwd, dus jíj hoorde die te beschermen.”

Awareness rond crisiscommunicatie moet omhoog

En terwijl IT overuren draait om het eigenlijke issue te managen, moet reputatiebescherming, onder zeer moeilijke omstandigheden, minstens evenveel van empathische, correcte en consistente communicatie komen. Een sleutelvereiste daarvoor is een minimum aan overlap tussen twee afdelingen die vandaag helaas nog ver van elkaars bed zijn, namelijk IT en PR/Marcom. Kortere lijnen daartussen, en basic awareness bij IT over de essentials van crisiscommunicatie: daar maakt elk bedrijf beter vandaag, in goede tijden, dan morgen werk van.

- Johan De Ost, specialist crisiscommunicatie bij Charly PR