Comunicare in modo trasparente: solo così le aziende colpite da un attacco informatico possono evitare che il caso diventi un tracollo reputazionale
Il cybercrimine è ormai una vera e propria industria globale, con organizzazioni ben strutturate e azioni tanto efficaci da produrre danni che nel 2021 potrebbero toccare i 6 trilioni di dollari l’anno. Nell’anno della pandemia si sono registrati diversi record negativi, sia per numero e frequenza degli attacchi informatici, sia per capillarità e gravità.
Solo in Italia, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche ha rilevato oltre 500 attacchi nel corso del 2020, in prevalenza a mezzo malware e ransomware, ma anche attacchi DDoS con finalità estorsiva, campagne di phishing e APT (Advanced Persistent Threats). Negli Stati Uniti ci sono stati almeno mille episodi di data breach, che hanno messo a rischio i dati personali di oltre 155,8 milioni di persone.
L’attenzione delle aziende è decisamente aumentata negli ultimi anni, anche per effetto della normativa che è diventata più severa in fatto di protezione dei dati e dei sistemi digitali con cui vengono trattati e conservati. Nonostante gli investimenti siano rilevanti (ad esempio nel settore medico e finanziario, tra i più bersagliati), il rischio di essere vittima di una cyber crisi non è affatto remoto.
La cyber crisi – ovvero la crisi innescata da un attacco informatico – ha una dinamica particolare rispetto ad altre situazioni di emergenza. A differenza di incidenti ed eventi avversi che sono immediatamente visibili, tra l’attacco e il momento in cui esso diventa di dominio pubblico possono passare settimane, mesi, a volte persino anni. Ricordiamo ad esempio il caso di Yahoo, oggetto di due data breach nel 2013 e 2014, che sono stati resi noti soltanto nel 2016. L’impatto, inizialmente stimato nella violazione di 1 miliardo di account utenti, si è in realtà esteso a quasi 3 miliardi di account utenti – configurando il più grave data breach di tutti i tempi.
In una cyber crisi, se l’organizzazione colpita non riesce a gestire la comunicazione con tempestività, rischia di lasciare un lungo periodo vuoto che, una volta scoperto, può seriamente minare la fiducia degli stakeholder, nonché la reputazione della stessa azienda e dei suoi brand.
Nel paper “Managing stakeholder communication during a cyber crisis”, Caroline Sapriel, fondatrice e managing partner di CS&A International, sottolinea come l’indignazione degli stakeholder possa far degenerare la crisi in un vero tracollo reputazionale. Ci sono esempi virtuosi in cui la gestione efficace delle relazioni con i media e gli stakeholder ha contribuito a mitigare i danni (Sapriel ricorda Norsk Hydro, il produttore norvegese di alluminio vittima di un attacco informatico nel marzo 2019, e il massiccio attacco contro Twitter nel luglio 2020, con la violazione di moltissimi profili personali), ma anche molti casi in cui la mancanza di trasparenza ha finito per avere conseguenze molto serie sulla reputazione, oltre a costi considerevoli. Gli hotel Marriott e Cathay Pacific vi dicono niente?
Una comunicazione chiara, tempestiva, trasparente e coerente è fondamentale in qualsiasi situazione di emergenza, ma a maggior ragione nelle cyber crisi dove la risoluzione del problema potrebbe richiedere parecchio tempo, e l’escalation potrebbe essere più veloce del previsto.
Serve allora una preparazione particolarmente accurata, che includa l’analisi delle vulnerabilità specifiche, la mappatura degli stakeholder esterni e interni, la definizione degli scenari possibili, la formazione ad hoc dei membri del Comitato di crisi e dei portavoce. Un percorso non banale, ma tutt’altro che superfluo.