Кризи и комуникации: Теч на лични данни (казус 7)

След кибератака срещу онлайн платформата за резервации на туристическа агенция в dark web изтичат над 2000 лични данни на клиенти, включително ЕГН, домашен адрес, телефон за връзка. Няма теч на детайли за банкови карти. В агенцията липсва специалист, който отговаря за Общия регламент относно защита на личните данни (GDPR). В рамките на часове неофициално изтича информация за пробива от служители към клиенти. Клиентите реагират с официални запитвания към компанията, както и с директни предупреждения за сигнали към регулатора КЗЛД. Скоро след това се появяват и първите публикации на засегнати потребители в социалните мрежи. Как трябва да реагира компанията, за да ограничи щетите и да се погрижи за клиентите си? Вижте препоръките на пиар експерта Константина Маркова*

Случаите на изтичане на лични данни вече не правят толкова силно впечатление в публичното пространство, колкото в първите години след въвеждането на общия регламент GDPR. Знакови скандали, като теча от НАП, например, или от голяма финансова институция, преди години бяха централни теми в новините за дълги периоди от време. А сега случаите отминават с по-малко обществено внимание, съответно и имиджови поражения. Но това не трябва да намалява бдителността на бизнеса. Допускането на теч на лични данни може да нанесе сериозни финансови щети на компаниите, с отражение върху цялостната им дейност след това. Глобите, които Комисията за защита на личните данни (КЗЛД) потенциално може да наложи за нарушения, могат да надхвърлят 10-15 милиона лева. От ситуацията може да се възползват и конкуренти на пострадалия бизнес и така да ескалират и имиджовите щети. А самият факт, че веднъж вече е преодоляна киберзащитата на компанията, може да провокира нови атаки и да разочарова още клиенти.

Какви стъпки трябва да предприеме туристическата агенция?

Първо, най-спешно и най-важно - незабавно да ангажира добри юристи в областта на защитата на личните данни и съответствието с GDPR регламента, както и на комуникационен партньор с опит с корпоративни кризи. И разбира се, на ИТ специалисти, които веднага да вземат мерки за подобряване на киберзащитата на информационната система. Както при всяка криза, трябва да се поръча и професионален мониторинг на медии и социални мрежи, който да следи контекста и веднага да улови всеки коментар от засегнат потребител или журналист. Фактът, че информацията за теча е изтекла от служител към клиенти, говори за организационен и кадрови проблем, но разследванията и наказанията в тази посока може да почакат - на първо място са потребителите и регулаторът.

При всяка стъпка от овладяването на кризата юристите и комуникационните специалисти трябва да работят заедно и да си съгласуват действията. От една страна, има много ясни законово определени стъпки и начини, по които трябва да бъде уведомен регулаторът КЗЛД, от друга - приоритетна е комуникацията с потребителите. Те трябва да получат информация, която е ясна (какви точно данни са изтекли), разбираема (какво означава това) и полезна (какво да предприемат) - и съобразена с юридическите насоки.

Разбира се, за кибератаката трябва веднага да се подаде сигнал за извършено престъпление към МВР, но без това да става водещ акцент в комуникацията - най-малкото защото може да се създаде внушение за големи слабости в сигурността и за непрофесионализъм в организацията, което допълнително вреди на репутацията. И когато компанията трябва да се погрижи за 2000 засегнати клиенти, е грешка да поставя фокус върху информация, която може да мотивира други хакери да атакуват системите й.

Туристическата агенция е добре да отдели екип за постоянна комуникация с потребителите, който да следва ясни инструкции, съобразени с насоките на юристите. Целият фокус трябва да е върху грижата и защитата на правата и интересите на клиентите. Те трябва да са абсолютно убедени, че агенцията прави всичко възможно да ограничи щетите. Не е достатъчно потребителите да получат извинения и разкаяния - нужна е и изчерпателна информация, с конкретни препоръки за действия при нужда. А най-вече - да видят убедителни мерки от страна на агенцията за пресичане на подобни случаи в бъдеще. Много трябва да се внимава с “компенсациите” - неуместна промоция в разгара на такава криза по-скоро ще предизвика негативни реакции. Въобще, ако при комуникацията с потребителите се допуснат грешки, много от тях може да си тръгнат, както и да заведат съдебни искове.

Екипът за връзка с клиентите трябва да е на разположение в режим 24/7, до пълното овладяване на кризата. Чрез гореща телефонна линия, чрез чат приложение или имейл - агенцията трябва да улесни потребителите максимално, за да получава запитванията им лесно и да им отговаря своевременно. Важно е във всеки момент екипът да разполага с актуален анализ на отзвука, за да не се “раздуха” случаят повече, отколкото ситуацията изисква.

В конкретния казус с туристическата агенция няма теч на банкови данни. Но е възможно да се появят съмнения и дори фалшиви твърдения в мрежите, че и парите на клиентите са под риск - и това трябва се опровергае без забавяне.

Не е задължително да има голям медиен интерес към подобен случай, ако директната комуникация с клиентите се води адекватно и отзвукът в социалните мрежи не е голям. Агенцията обаче трябва да е готова да отговори на всяко запитване, след подготовка и съгласуване с юристите. А всяка некоректна или спекулативна информация в медиите (възможно е да бъде провокирана от конкурент) да бъде коригирана и изяснена.

В някои случаи в контекста на работата по кризата може да се намеси и “медийната памет” за ненаказани течове на лични данни - и да активира общественото мнение, което не одобрява двойния аршин спрямо нарушенията на закони, включително на Закона за защита на личните данни.

Важни мерки за превенция

Не е сериозно организация, която обработва лични данни, да няма специалист, който да отговаря за спазването на GDPR регламента. Всички служители също трябва да преминат през обучения, за да се избегнат подобни ситуации.

Фактът, че информацията за теча е стигнала до клиенти първо чрез служител, означава, че нещо не е наред в организацията, вероятно и в кадровата й политика. Толкова много кризи възникват “отвътре”, че компаниите днес трябва да обръщат много повече внимание на всякакви индикации за потенциални проблеми с хората им.

Бизнесът трябва да засили и мерките си за киберсигурност, още повече, че заплахите ще се увеличават, включително заради навлизането на изкуствения интелект. А много потенциални щети за компаниите - финансови и репутационни, могат да бъдат избегнати, ако има добра подготовка и превенция.

***

Константина Маркова има близо 25 години опит в комуникациите и връзките с обществеността в различни сектори – от медии, през индустриални производства до браншови организации и институции в изпълнителната власт. Основава HeatMark Communications през 2021 г. с фокус върху управлението на корпоративна и лична репутация и превенция и комуникация на кризи.