Strona główna

Deloitte: Firmy muszą przyznawać, że padły ofiarą ataku

Firmy, które publicznie przyznały, że padły ofiarą ataków hakerskich, wychodzą na tym lepiej niż ci, którzy to skrzętnie ukrywają – twierdzą eksperci z Deloitte. Jeden cyberatak to milionowe straty, ale konsekwencje ukrywania go mogą być jeszcze gorsze.

Specjaliści z Deloitte sugerują pełną transparentność firm w wypadku, gdy ich sieć została zinfiltrowana przez przestępców. - Przypadki, które wychodzą na światło dzienne stanowią wierzchołek góry lodowej. Dlatego należy docenić te instytucje i firmy, które publicznie przyznały się, że stały się obiektem cyberataku. To świadczy o dojrzałości ich i rynków, na których funkcjonują – wyjaśnia Jakub Bojanowski, partner w dziale zarządzania ryzykiem Deloitte.

Ta dojrzałość ma wymierne finansowe efekty. Pracownicy Deloitte jako przykład podają atak na brytyjskiego operatora telekomunikacyjnego Talk Talk. W dniu 21 października 2015 r. z tego przedsiębiorstwa wyciekło blisko 157 tys. danych klientów, w tym ponad 15 tys. kont bankowych. Jednorazowe straty Talk Talk wycenił na 35 mln funtów. W tej kwocie mieszczą się m.in. zwiększone koszty komunikacji z klientami (firma musiała nagle odpowiedzieć na lawinę zapytań telefonicznych) a także koszty darmowych pakietów usług dla niezadowolonych klientów. Usługa online Talk Talk była niedostępna przez trzy tygodnie, co przełożyło się na rezygnację wielu klientów z usług. Firma musiała zapłacić też za dodatkową pracę działu IT i zewnętrzny konsulting. To jednak nie wszystko, bo po ataku wartość akcji Talk Talk zaczęła pikować w dół. Zupełnie odwrotnie do liczby niezadowolonych klientów, którzy nagle podziękowali operatorowi za współpracę.

Na pozór wygląda to więc na prawdziwą katastrofę. A jednak Talk Talk wyszedł z dramatycznej sytuacji obronną ręką. Przede wszystkim dlatego, że od razu informował klientów o zagrożeniu. Poprzez media i informacje mailowe firma raportowała o krokach podjętych w celu ochrony klientów. Pełna współpraca z organami ścigania była oczywistością, ale operator rozpoczął też wewnętrzne śledztwo, a także niezależny przegląd swojej infrastruktury. O wynikach przeglądu na bieżąco powiadamiano klientów. Akcjonariusze również nie pozostawali we mgle. Do tego stopnia, że straty z tytułu ataku firma wpisała do sprawozdania rocznego.

Efekt tej nieoczywistej polityki był zaskakujący. Wstępny raport za pierwsze finansowe półrocze pokazał, że większość klientów Talk Talk oceniła podejście do zarządzania incydentem pozytywnie i lepiej postrzega markę po ataku. Co jeszcze bardziej niezwykłe, firma zanotowała wzrost dynamiki przychodów, a trend odejść klientów jest malejący. Okazało się, że zaufanie okazane klientom i inwestorom zaprocentowało. Teraz Talk Talk jest na wyspach stawiany jako wzór, jeśli chodzi o zarządzanie kryzysem.

U nas do takiego podejścia jeszcze daleka droga. W polskich firmach wciąż pokutuje zasada zamiatania sprawy pod dywan. Według specjalistów Deloitte i tak można już mówić o pewnym postępie, przynajmniej w sektorze bankowym. Jeszcze kilka lat temu działy PR rodzimych banków zupełnie nie umiały rozmawiać o incydentach, a nierzadko po prostu im zaprzeczały. Teraz komunikacja jest już dużo lepsza, ale do ideału wciąż jeszcze daleko.

Informowanie o kryzysie jest o tyle ważne, że wpływa na poziom bezpieczeństwa całego sektora.  Przedsiębiorstwa zamiast grać na siebie powinny dzielić się wiadomościami – z korzyścią dla ogółu. Nie brak bowiem przykładów, gdy firma skrzętnie ukrywała fakt, że została skompromitowana, a chwilę później w ten sam sposób zaatakowano konkurencję. Na takim podejściu tracą wszyscy. – Zaufanie jest tu kluczowe – komentuje Marcin Ludwiszewski z Deloitte.

 

Komentarze (1)

  1. Winter

    maybe the weather is making me cynical haha… as for the visa, i applied for it through a company that helps with student visas (CCUSA) and they hooked me up with a three month job – after that i was on my own but ha81#&nv2e7;t run into any major problems yet except the fact that i’ll probably have to return home once my visa expires