«Произошла утечка!» Как рассказать клиентам, сотрудникам и партнерам, что вы не уберегли их данные

«Произошла утечка!» Как рассказать клиентам, сотрудникам и партнерам, что вы не уберегли их данные
Фото: Unsplash

В последние несколько месяцев не проходило недели без новостей о том, как персональные данные клиентов крупных компаний оказались в открытом доступе. И это неудивительно. Данных в цифре становится все больше, а значит, число утечек в будущем неизбежно будет только расти. Компаниям и госорганам все чаще придется сталкиваться с необходимостью объясняться с клиентами и партнерами. Самое время научиться делать это грамотно, чтобы защитить клиентов от возможных атак мошенников, а себя — от репутационных потерь.


Плохая новость: большинство компаний вообще не уведомляют клиентов об утечках их данных. По результатам нашего прошлогоднего исследования, 70% компаний предпочитают этот факт скрыть. Но есть и хорошая новость. Постепенно растет доля компаний, которые признают ответственность. Причем растет такими темпами, что количество скоро сравняется с показателями стран ЕС и США.

Это довольно интересный тренд, ведь санкции в России и в мире кардинально различаются. Например, в России штраф за разглашение персональных данных измеряется десятками тыс. руб., а в Евросоюзе —миллионами евро. Получается, что отечественные компании, которые уведомляют пострадавших об утечках, демонстрируют настоящую сознательность, а не страх перед штрафами.

Но легко понять, почему так не делает остальной бизнес. Часть компаний просто не в курсе случившейся утечки. У них нет спецсредств или людей, которые были бы выделены на борьбу с проблемой. Кроме того, признание утечки — только полдела. Нужны действия по устранению последствий. Например, придется уведомить клиентов о необходимости сменить пароли, еще лучше сделать это принудительно.

Не самые хитрые действия, но во многих компаниях просто некому взять на себя такой бизнес-процесс. И будем честны, компании опасаются, что клиенты просто не оценят откровенности. «Страшный» европейский закон — регламент GDPR — как раз и мотивирует к тому, чтобы логику выпрямлять. Допустил утечку данных — с кем не бывает. Важно сделать выводы: принять меры и уведомить пострадавших.


3 причины рассказать об утечках



1.

Компании, которые не уведомляют об утечках, льют воду на мельницу мошенников. Уверен, что для многих российских компаний мотив не участвовать в приумножении зла достаточно весомый. Ведь если не сообщать пострадавшим об утечке, люди потеряют шанс защитить себя хотя бы постфактум: не успеют сменить логины и пароли, перевыпустить карточки, стать, наконец, более внимательными к появлению в почте фишинговых писем.


2.

Данные об утечках все равно попадают в публичное поле, но компании теряют возможность объяснить эту ситуацию красиво и вынуждены оправдываться. Приходится спешно составлять пресс-релизы в ответ на публикации журналистов, отвечать на язвительные выпады комментаторов на Pikabu или аргументированные, но беспощадные разборы экспертов.


3.

Вероятность попасть под санкции регуляторов. Да, российское законодательство пока не мотивирует быть честными. Зато мотивирует зарубежное. Если вы имеете дело с данными иностранцев, попасть под санкции совсем не сложно, так как часто регламенты иностранных регуляторов имеют трансграничное действие. Практика применения — это второй вопрос, тем не менее иметь в виду риск было бы совсем не лишним. Такую предосторожность, кстати, мы уже видели, когда российский банк предпочел предупредить Европейскую комиссию об утечке. При этом в России компания публично ничего не сообщала.


Учимся сообщать плохие новости: западный опыт


Что же делать, если вы представитель смелой компании и готовы уведомить об утечке? Вот основные правила:

  • Рассылайте уведомление быстро, как только стало понятно, что случилось. Тогда клиенты, партнеры и сотрудники получат возможность вовремя отреагировать — если нужно, провести какие-то экстренные меры. И еще — они увидят, что их безопасность для компании не пустой звук.
  • Пишите коротко, понятно и по существу — ваше сообщение не должно требовать от пользователей продвинутых навыков в сфере кибербезопасности. Используйте короткие предложения, избегайте профессионализмов.
  • Не приуменьшайте и не скрывайте вероятность, что за инцидентом могут последовать действия мошенников. Попытка замаскировать реальный масштаб проблемы вызовет раздражение и недоверие, которые обязательно отразятся на общем числе клиентов.
  • Четко опишите последовательность мер, с помощью которых ваши клиенты могут себя защитить. Дайте реально полезные рекомендации. Тогда пострадавшие оценят ваш профессионализм в кризисной ситуации и не станут массово критиковать за промах.
  • Не посыпайте голову пеплом, но и не скидывайте с себя ответственность. Да, случилась неприятность. Приняли меры и работаем дальше.

В ситуации, когда 70% компаний даже не видят смысла в уведомлении об утечках данных, эти рекомендации могут показаться уж слишком преждевременными. Но ситуация меняется. Еще недавно можно было сделать вид, что утечки не произошло. Сейчас же один из сотен Telegram-каналов разнесет весть по всем клиентам за считанные минуты. В «прозрачном» мире старые тактики навсегда потеряли эффективность. Хотите быть во всеоружии — защищайте информацию и будьте готовы в случае необходимости взять на себя ответственность.