Ошибка 500: как спасти репутацию компании во время кибератаки

Угроза стремительно нарастает не первый месяц. Количество DDoS-атак на телеком в I квартале 2025 года выросло на 71% по сравнению с аналогичным периодом предыдущего года, в финансовой и банковской сфере — на 36%, а в госсекторе — на 29%, по данным исследования StormWall.

Взломы 2025

К крупным атакам можно отнести следуюшие.

• Покушение на микрофинансовую организацию CarMoney в феврале: были взломаны сервера, остановилась работа сайта и мобильного приложения. Позже хакеры с Украины взяли на себя ответственность.

• Нашествие ботов на сервис крупного авиаперевозчика в середине марта: более 2,5 тыс. ботов искали рейсы и цены на билеты, поэтому системы DDoS-безопасности не посчитали активность подозрительной.

• Нападение вируса-шифровальщика на ИТ-инфраструктуру «Лукойла»: тогда отсутствовал доступ к корпоративным системам, не было возможности платить банковскими картами на заправочных станциях.

Июль 2025 года запомнился самым насыщенным по количеству кибератак за последнее время. Было зафиксировано как минимум восемь инцидентов, среди которых кибернападение на «Аэрофлот», NAVAL Group, сети аптек «Столички» и «Неофарм», сеть клиник «Семейный доктор», сеть дискаунтеров «Доброцен», на петербургского провайдера AirNet и Rostic’s. Чуть раньше пострадала сеть алкомаркетов «Винлаб».

В случае успеха это влечет не только финансовые, но и репутационные издержки. Если раньше кибербезопасность считалась приоритетом исключительно ИТ-отделов, то сегодня становится очевидным: на кону вопрос доверия и репутации — то есть зона ответственности PR.

Как PR реагирует на киберугрозы

Пока одни кибергруппировки планируют и организуют свои атаки, а другие грозятся отомстить хактивистам, бизнес направляет все силы на борьбу с последствиями нападений: ИТ-отделы ищут причины и устраняют неполадки, а PR-службы стараются залатать бреши в доверии аудитории.

Например, «Винлаб» на несколько дней закрыл магазины и пострадал от сбоев в логистике, а также в работе IT-инфраструктуры. Еще в день атаки, 14 июля, в своем телеграм-канале компания рассказала о технических неполадках. Пользователи отреагировали по-разному: кто-то желал удачи, другие уточняли примерное время возобновления работы, были и те, кто негодовал из-за закрытых дверей магазинов. Компания отвечала на вопросы в комментариях или связывалась с пользователями лично.

Сеть продолжила открытую оперативную коммуникацию:

• подтвердила, что это была атака вымогателей, рассказала о выдвинутых требованиях;

• описала принципиальную позицию: отказ от взаимодействия с преступниками и постепенное оперативное восстановление работы;

• информировала о прогрессе в устранении неполадок.

Хотя такие инциденты не проходят бесследно, в медиаполе «Винлабу» удалось сохранить нейтралитет: по данным нашей платформы оценки репутации, тональность упоминаний сети алкомаркетов осталась нейтральной.

Подпись к картинке: Анализ тональности упоминаний сети алкомаркетов «Винлаб» в период 09.07.2025−07.08.2025, по данным «СКАН-Интерфакса»

Типичные PR-ошибки

Приведу несколько кейсов, которые показывают, как можно улучшить коммуникацию во время цифровой атаки.

Формальная «игра в героя»: «Аэрофлот»

Зрелый подход со стратегическим посланием, откровенностью, выдержанным тоном и оперативной реакцией позволяет брендам нивелировать репутационные последствия, насколько это возможно. Тем не менее даже выверенная годами реакция не всегда спасает. Например, в день атаки у «Аэрофлота» зафиксировано почти 60% негативных упоминаний. Суммарно за 30 дней их доля составила 39%, хотя активный поток негатива продолжался всего три дня.

В день атаки компания придерживалась корпоративного ToV, сухо информируя пассажиров об изменениях в расписании. Позже фокус постов сместился в позитивную повестку: пресс-служба уверяла подписчиков в спокойной обстановке в аэропорту, рассказывала о восстановлении расписания, стабильной работе контакт-центра, сайта и систем бронирования, а также о выполнении полетов в штатном режиме. Поскольку «Аэрофлот» не раскрывал подробности атаки, а пошел по пути минимальной прозрачности, тактику можно отнести к «игре в героя». В таких ситуациях PR-отдел создает максимальный эффект контроля и подает новости через призму оптимизма.

«Игра в героя» не всегда помогает сместить фокус с проблемы и повысить доверие. В случае с «Аэрофлотом» это породило множество слухов, особенно на фоне громких заявлений хактивистов и обсуждений информационной безопасности (ИБ) в компании. Журналисты начали копаться в истории ИБ-подрядчиков и выяснили, что в рамках импортозамещения внедрили отечественную систему бронирования «Леонардо» от компании «Сирена-Трэвэл». По собранным данным, ее руководитель находится под следствием, а в 2023 году вендор не смог отразить хакерскую атаку.

Пользователи сравнили зарплаты ИБ-сотрудников в «Аэрофлоте» с рыночными реалиями. Так, на hh.ru есть вакансия старшего специалиста по ИБ в авиакомпанию с оплатой 120 тыс руб. до вычета налогов. Для сравнения, «Пятерочка» ищет кладовщиков с окладом 100 –152 тыс. руб.

Попытка переждать в сети аптек «Столички»

Сервис онлайн-заказов аптечной сети, как и большинство ее розничных торговых точек в Москве и Санкт-Петербурге, не работали в течение нескольких дней. На сайте было опубликовано сообщение о технических неполадках. Shot пообщался с представителями сети, которые изначально сослались на регламентные работы. Однако пользователи начали подозревать, что дело в хакерской атаке. Как выяснилось чуть позже в беседе с «РИА Новости», причина и правда крылась в цифровом налете на IT-системы.

Аналогичная ситуация произошла у сети аптек «Неофарм», которая входит в тот же холдинг, что и «Столички». Авторы ТГ-канала Readovka уточнили, что сотрудники не выходили на работу два дня из-за того, что сеть стала жертвой хакерской атаки.

Временное замалчивание реальной проблемы — тактика, которую применяют PR-службы в надежде на быстрое разрешение ситуации. В случае с аптечной сетью «Столички» пресс-служба раскрыла реальную причину в течение пары часов после первого заявления Shot. Иногда бренды тянут несколько дней с официальной откровенной реакцией, что подпитывает слухи и снижает доверие аудитории.

Другие ошибки

Помимо упомянутых тактик, бизнес часто применяет и другие рискованные подходы в коммуникации во время кибератаки.

• Молчание. PR-служба никак не комментирует инцидент, игнорирует вопросы аудитории или журналистов. Часто в это время медиаполе наполняется слухами, которые подрывают доверие потребителей.

• Лишняя детализация. В отличие от молчания, компания слишком подробно рассказывает об атаке, предоставляя множество данных, включая чувствительную информацию. Злоумышленники могут воспользоваться обилием деталей для новой атаки, а пользователи часто воспринимают это как потерю контроля над ситуацией.

• Неискренний тон. Подразумевает слишком сухую коммуникацию с чрезмерно обтекаемыми формулировками, без признания масштаба проблемы. Например, клиника «Семейный доктор» после полного падения сайта, ручного учета и подозрения в утечке всех данных дала формальный комментарий СМИ: сообщила, что прием продолжается, «критически важные сервисы постепенно возвращаются в штатный режим работы».

Чек-лист по антикризисному PR 

Вот краткий чек-лист в формате действий «по часам».

• 0–1 час после обнаружения атаки. ИБ фиксирует инцидент, собирает подтвержденную техническую информацию и передает ее PR-отделу. PR-специалисты формируют официальную позицию, назначает спикера, готовят нейтральное сообщение типа «фиксируем технические неполадки, работаем над их устранением, скоро вернемся с деталями».

• 1–3 часа. ИБ оценивает масштаб ущерба, время и ресурсы на восстановление, передает PR детали, которые можно раскрывать. PR-служба формирует официальное заявление: что произошло, как это повлияет на работу и клиентский опыт, какие меры предпринимаются. Также начинает активный мониторинг медиаполя и предоставляет точечную обратную связь пользователям.

• 6–24 часа. ИБ обновляет данные для PR по ходу устранения проблемы, передает фактические результаты расследования, оповещает о потенциальных рисках. PR-служба обновляет пост об атаке, оперативно отвечает на запросы СМИ и пользователей, при необходимости организует живое общение с аудиторией (пресс-конференцию, прямой эфир).

• После атаки: ИБ передает PR технический отчет, PR-отдел публикует пост об устранении инцидента, сообщает об устранении проблемы, продолжает отслеживать негатив в инфополе.