Biznes i Finanse
Cyberatak zniszczy bank? [ANALIZA]
Każdego roku cyberataki powodują straty w wysokości około 300 miliardów funtów na całym świecie. Jednak incydenty wiążą się nie tylko z konsekwencjami finansowymi. Pociągają za sobą również straty wizerunkowe oraz reputacji marki. Szczególnie narażone w tym zakresie są banki oraz inne podmioty sektora finansowego.
Współcześnie wizerunek oraz reputacja marki mają kluczowe znaczenie. W sytuacji, gdy instytucja finansowa zostanie dotknięta incydentem naruszone zostanie również jej „dobre imię”. To z kolei negatywnie wpływa na opinię obecnych lub potencjalnych klientów, akcjonariuszy czy ceny akcji. Zjawisko potęgują mass media w tym przede wszystkim media społecznościowe, które niemalże natychmiast, publikują informacje o incydencie, które wspomagając informowanie potencjalnych poszkodowanych o zaistniałych incydentach jednocześnie działają na szkodę skrupulatnie budowanego wizerunku marki. Taki stan rzeczy powoduje pogłębienie w długoterminowym wymiarze.
Wśród głównych niebezpieczeństw, z jakimi muszą zmierzyć się współcześnie banki i inne instytucje finansowe to cyberataki wymierzone przede wszystkim w dane ich użytkowników w celu ich naruszenia lub przejęcia. John Stewart, szef bezpieczeństwa i zaufania w CISCO, zauważył, że: „W końcu zostaniesz trafiony. Nie warto myśleć, że nie; że to niemożliwe. To zła retoryka”. Google oraz McAfee szacują, że każdego dnia na całym świecie dochodzi średnio do 2000 ataków cybernetycznych, które kosztują globalną gospodarkę około 300 miliardów funtów rocznie.
W ankiecie Deloitte z 2014 roku dotyczącej ryzyka utraty wizerunku stwierdzono, że bezpieczeństwo, zarówno fizyczne i wirtualne, było jednym z trzech głównych czynników, przyczyniających się do utraty reputacji.
Skutki incydentu
Ogółem należy stwierdzić, iż incydent wywołuje dwojakie skutki – krótkoterminowe oraz długoterminowe. Do pierwszej grupy zaliczają się przede wszystkim straty finansowe, wynikające z konieczności pokrycia szkód, w tym odszkodowań dla poszkodowanych klientów. Koszty związane są również z koniecznością budowy nowych zabezpieczeń, przeorganizowania struktur w organizacji czy zwiększonych nakładów na reklamę. Skutki krótkoterminowe są od razu zauważalne, a posiadając odpowiednie środki można je szybko załagodzić. Z kolei konsekwencje długoterminowe odnoszą się głównie do utraty wizerunku. Wiąże się to z koniecznością większego zaangażowania marketingowego oraz PR w celu odbudowy reputacji marki. Brak odpowiedniej reakcji instytucji może spowodować dalsze następstwa takie jak: obniżenie cen akcji, odchodzenie lub brak możliwości pozyskiwania nowych klientów.
Odnosząc się do kwestii reputacji należy wskazać na trzy sposoby, w jaki cyberataki oraz inne incydenty bezpieczeństwa wynikające m.in. z ludzkiego błędu, rutyny, nieostrożności lub nieznajomości przepisów, oddziałują na wizerunek - instytucji finansowych. Po pierwsze, incydenty, w tym przede wszystkim naruszenia danych mogą spowodować pogorszenie nastrojów wewnątrz samej instytucji. Taki stan rzeczy wynika z obaw przed konsekwencjami, co prowadzi do poszukiwania winnego całej sytuacji. Napięcie wewnątrz organizacji samo w sobie negatywnie oddziaływuje na ogólny wizerunek firmy na zewnątrz. Po drugie, wszelkie naruszenia związane z cyberatakami mogą wywołać trwałe skutki. Negatywne opinie na temat bezpieczeństwa usług po wystąpieniu incydentu mogą zostać złagodzone, ale powrót do poziom zaufania sprzed incydentu może okazać się niemożliwy. Po trzecie, wielokrotne incydenty bezpieczeństwa skutkują stopniowym obniżeniem zaufania klientów. Powtarzające się problemy mogą osiągnąć punkt krytyczny, powyżej którego instytucje finansowe stracą możliwość złagodzenia skutków.
W zakresie cyberbezpieczeństwa przyjmuje się trójstopniowy model ostrzeżeń dla instytucji w związku z powtarzającymi się incydentami. Pierwszy poziom – jedno naruszenie bezpieczeństwa jest możliwe do wybaczenia. Drugi – sytuacja staje się niepokojąca i zmusza klienta do myślenia nad zmianą dostawcy. Trzeci – incydenty stają się nieakceptowalne, co sprawia, że wielu interesariuszy negatywnie oceni działanie instytucji i zrezygnuje z jej usług.
Istotna jest również rola mediów. Nagłośnienie sytuacji sprawia, że skutki incydentu zostają znaczne przedłużone w czasie, co pogłębia straty instytucji finansowych Co więcej, wyjaśnienie okoliczności oraz załagodzenie sytuacji staje się wyjątkowo trudne ze względu na zasięg oddziaływania mediów.
Ocena stopnia utraty wizerunku i szybka reakcja
Ogólnie przyjętą zasadą przy ocenie stopnia zagrożenia utraty wizerunku i reputacji jest określenie skali oddziaływania otoczenia. Im instytucja wywiera większy wpływ na środowisko biznesowe, tym dłuższe i bardziej szkodliwe stają się skutki. Mówiąc prościej – im większe banki, tym potencjalnie większe straty. Istotną rolę odgrywa również sam charakter naruszenia. Incydenty zewnętrzne są symbolem porażki systemów bezpieczeństwa instytucji, co zwiększa prawdopodobieństwo przyszłych ataków. Naruszenia wewnętrzne z kolei dotyczą struktur samej organizacji – sytuację można przypisać nieuczciwemu pracownikowi, a więc prawdopodobieństwo ponownego incydentu w przyszłości może stać się mniejsze.
Niemniej jednak szybkość reakcji w razie wystąpienia cyberataku lub innego naruszenia ma kluczowe znaczenie. Przykładem wzorcowego działania w tego typu sytuacjach może być reakcja jednego z największych dostawców usług finansowych – Barclays PLC – który natychmiast zgłosił wystąpienie incydentu, równocześnie oferując poszkodowanym klientom należyte odszkodowania. Antony Jenkins, jeden z przedstawicieli spółki, skomentował sprawę krótko: „Najpierw poinformuj. Musisz szybko powiedzieć o incydencie”. Barclays od razu wydał oświadczenie informujące swoich klientów i media o tym, co się wydarzyło. O naruszeniu mówiono otwarcie, aby dzięki temu odbudować zaufanie interesariuszy. W ten sposób władze instytucji szybko rozwiązały problem, ratując tym samym wizerunek Barclays PLC.
Zarządzanie reputacją instytucji finansowej
Wizerunek może stać się największą ofiarą ataku cybernetycznego. Współcześnie banki oraz inne instytucje finansowe oferują swoim klientom coraz więcej usług online, w związku z czym cyberbezpieczeństwo staje się nieodłączną częścią zarządzania organizacją oraz jej reputacją.
Na problem wskazuje Emma Kane, dyrektor wykonawczy Redleaf Communications. „Przedstawiciele instytucji coraz bardziej są zaniepokojeni szkodami, jakie może spowodować cyberprzestępczość. Jej potencjalne skutki oddziałują na różne sfery. W najcięższych przypadkach może to doprowadzić do rzeczywistego braku zaufania do integralności firmy i jej zdolności do zapewnienia bezpieczeństwa” – stwierdziła.
Jak temu zapobiec? Konieczne jest, aby banki regularnie przeprowadzały audyty środków bezpieczeństwa oraz wdrażały najnowsze cyfrowe narzędzia ochronne. Tim Burt, z Teneo Strategy zauważył, że „podmioty, których reputacja jest szczególnie podatna na wszelkie naruszenia, powinny prowadzić tzw. gry wojenne, aby w ten sposób przygotować się na różne sytuacje kryzysowe, które pojawiają się w wyniku incydentu”.
Jeżeli jednak nie udało się zapobiec naruszeniom bezpieczeństwa, kluczowe jest podjęcie działań na rzecz szybkiego powrotu do stanu sprzed incydentu, a następnie przeprowadzenie specjalistycznej analizy. Badanie skutków umożliwi zlokalizowanie słabości oraz luk w systemach bezpieczeństwa. Ich likwidacja pozwoli zapobiec podobnym sytuacjom w przyszłości, co z kolei pozytywnie wpłynie na opinię klientów. Jak stwierdził Andrew Griffin, prezes Regester Larkin: „Instytucje muszą przeprowadzić przegląd po wystąpieniu incydentu, aby w ten sposób zapewnić identyfikację i wyciągnięcie wniosków”.
Zupełnie inną perspektywę prezentuje Johnny Hornby, założyciel grupy The&Partnership. Według jego założenia cyberprzestępstwo nie musi być katastrofalne dla wizerunku instytucji. „Klienci ufają markom i rozumieją, że żyją w prawdziwym świecie, w którym są nowe zagrożenia takie, jak chociażby cyberataki” – tłumaczył. Kończąc swą myśl, dodał: „Najważniejsze dla instytucji jest to, jak radzi sobie z tego typu atakiem oraz jak otwarcie i przejrzyście komunikuje się z klientami”.
Pozyskiwanie oraz utrzymanie klientów, cena akcji, reputacja i wizerunek to niewątpliwie czynniki wrażliwe. W związku z tym incydent może negatywnie oddziaływać na funkcjonowanie całego banku lub innej instytucji finansowej. Wynika to z faktu, że zaufanie konsumentów i dobra opinia na temat marki idą ze sobą w parze. We współczesnym świecie ataki cybernetyczne są nieuniknione. Reputacja odzwierciedla wartość marki, dlatego tak ważne jest, aby wszelkie szkody były jak najbardziej ograniczone. Każda forma naruszenia może prowadzić do rzeczywistego braku zaufania klientów. Nie wspominając już o licznych sprawach sądowych wymierzonych w instytucję, które ciągną się latami.