«Управлять тем, что о тебе говорят после взлома, важнее, чем закрыть техническую дыру. Сказанное публично становится истиной в последней инстанции для суда, ФСТЭК и клиентов — переписать её почти невозможно.»
Почему молчание — худшая стратегия
Звонок от репортёра — лишь финальный сигнал. Сначала появляются следы: база на закрытом форуме, паника в чатах поддержки, срабатывает автоматический мониторинг упоминаний в СМИ. Даже внутренняя утечка через час перестаёт быть таковой. В этот момент пауза со стороны компании читается однозначно: или пытаются скрыть размах катастрофы, или полностью потеряли управление. Информационный вакуум заполнят конкуренты, разгневанные клиенты и фрилансер-эксперты, формируя первичную, самую опасную версию событий. Оспорить её позже будет дорого и долго.
Представьте цепочку: инженеры фиксируют аномалию и уходят в тихий режим расследования. Через три часа первая новость выходит в отраслевом Telegram-канале со ссылкой на «источник, близкий к компании». ФСТЭК получает запрос от вышестоящего органа, а юридический отдел — первый претензионный иск. Реагировать теперь придётся не на факт инцидента, а на уже сложившуюся и, вероятно, искажённую картину в головах ключевых стейкхолдеров.
[ИЗОБРАЖЕНИЕ: Временная шкала с тремя линиями. Линия 1: «Молчание» — от момента инцидента резкий рост негативных упоминаний, затем плато. Линия 2: «Управляемая коммуникация» — резкий, но контролируемый всплеск с последующим спадом. Линия 3: «Внешний шум» — с задержкой в 2-3 часа после инцидента начинается рост упоминаний от внешних источников, опережающий официальный ответ.]
Кто говорит и какие заявления готовить
Голос компании в кризисе должен быть единственным. Им владеет официальный спикер — представитель пресс-службы, директор по коммуникациям или первое лицо. Это не задача для ведущего инженера или начальника ИБ-отдела. Их экспертиза нужна для подготовки позиции, но не для её озвучивания. Технические детали, сказанные сгоряча, могут раскрыть вектор атаки или усугубить панику.
Позицию готовят совместно юристы, команда ИБ и топ-менеджмент, а доносит её — обученный спикер. Коммуникация должна быть поэтапной, синхронизированной с ходом внутреннего расследования.
| Этап инцидента | Тип заявления | Суть и ограничения |
|---|---|---|
| Первые 2-6 часов (подтверждение факта) | Первоначальное | Кратко, без деталей. «Фиксируем аномальную активность, начато расследование». Никаких причин, масштабов, гарантий. Цель — показать, что ситуация под контролем, и задать канал для дальнейших сообщений. |
| Следующие 24-72 часа (активная фаза) | Обновлённое | Конкретика по действиям компании и предварительная оценка. «Временно приостановлена работа сервиса X. Рекомендуем клиентам Y». Можно указать тип угрозы (DDoS, утечка), но без имён систем, версий ПО или конкретных векторов. |
| После завершения расследования | Итоговое (разбор) | Детальный отчёт для регуляторов и ключевых партнёров; адаптированная версия для публики. Описание причин, предпринятых мер, планов по недопущению. Здесь появляются факты, но отфильтрованные через призму безопасности и конфиденциальности. |
Принципы, которые спасают репутацию
Скорость важна, но точность — важнее
Первое сообщение должно выйти в течение нескольких часов. Однако если в нём окажется хотя бы одна непроверенная деталь — например, «сбой в работе электросети», а позже выяснится, что это целенаправленная атака, — все последующие заявления потеряют кредит доверия. Шаблон для первых часов: «Фиксируем аномальную активность. Работаем над установлением причин. Следующее обновление — в [конкретное время]».
Эмпатия вместо бюрократического языка
Корпоративные клише («приносим извинения за доставленные неудобства») в кризисе звучат фальшиво. Их нужно заменить признанием реального ущерба: «Мы понимаем, что сбой в системе оплаты заблокировал ваши финансовые операции. Это неприемлемо. Все силы брошены на восстановление».
Дайте аудитории инструкции, а не обещания
Люди в неопределённости ждут чётких указаний. Это переводит их из пассивной жертвы в активного участника. Вместо голословного «ваши данные в безопасности» сформулируйте: «В качестве меры предосторожности мы настоятельно рекомендуем сменить пароли ко всем сервисам, где использовался аналогичный пароль». Конкретика снимает часть паники.
Дозируйте техническую информацию
Журналист спросит, как это произошло. Ответ «злоумышленники использовали SQL-инъекцию через параметр search в API v2» — это готовый скрипт для повторной атаки. Адаптируйте: «Использован метод несанкционированного доступа к базе данных через уязвимость в веб-интерфейсе. Уязвимость устранена». Суть передана, эксплуатационные детали — скрыты.
Завершите историю явно
Когда работа восстановлена, выпустите финальное сообщение с анализом. Это сигнал для поисковых систем, СМИ и клиентов, что инцидент закрыт. Отсутствие такого финала оставляет состояние неопределённости и провоцирует повторные запросы через неделю или месяц.
Что становится топливом для кризиса: запрещённые приёмы
Некоторые фразы почти гарантированно используются в следующем материале о вас — как иллюстрация халатности или отрыва от реальности.
- «Наши системы неуязвимы» / «Этого не могло произойти». После факта взлома это уничтожает остатки доверия и выглядит как диагноз.
- «Данные клиентов не пострадали». Можно утверждать, только если есть неопровержимые цифровые доказательства — например, логи, показывающие, что злоумышленник не добрался до шифрованных хранилищ. В противном случае это прямая ложь, которая вскроется позже.
- «Незначительный технический сбой». Субъективная оценка, которая редко совпадает с мнением регулятора. ФСТЭК может оштрафовать за несвоевременное сообщение о «незначительном» инциденте с персональными данными.
- Обсуждение внутренних кадровых решений. Фразы вроде «виновный сотрудник уволен» переводят фокус с системной проблемы на поиск козла отпущения.
- Детали переговоров с хакерами. Обсуждение сумм выкупа или методов связи — публичное признание уязвимости, которое привлечёт внимание других групп.
Сценарий: хостинг-провайдер под атакой
Ситуация: DDoS-атака на инфраструктуру приводит к многочасовому простою сотен клиентских сайтов. Первые сообщения в СМИ уже поступают от абонентов.
Ошибочная линия: «Произошёл временный технический сбой, ведутся восстановительные работы. Данные в безопасности. Скоро всё заработает».
Почему это усугубляет кризис: Термин «сбой» скрывает факт атаки. Гарантия безопасности — голословна. «Скоро» — размыто и не даёт клиентам понимания сроков.
Более эффективный ответ: «Сегодня наша сеть подверглась масштабной распределённой атаке, что привело к недоступности части сервисов. Активирован план реагирования, задействованы дополнительные ресурсы. Для клиентов: ведём мониторинг в реальном времени, следующее обновление статуса — в [15:00]. Приносим искренние извинения за срыв ваших онлайн-процессов. Стабильность — наша ключевая ценность».
Что меняется: Атака названа атакой — это честно. Есть указание на план действий и конкретное время контакта, что создаёт ощущение контроля. Извинения звучат адресно и признают реальный ущерб.
Согласование с ФСТЭК и 152-ФЗ: где кроется противоречие
В российском правовом поле публичная коммуникация идёт параллельно с формальным уведомлением регулятора. Главный риск — расхождение в формулировках между тем, что сказано СМИ, и тем, что подано в ФСТЭК. Например, в прессе инцидент назван «временными сложностями с доступом», а в уведомлении по 152-ФЗ классифицирован как «утечка персональных данных». Для регулятора это признак либо некомпетентности, либо сознательного сокрытия, что повлечёт повышенное внимание и штрафы.
Решение — единый центр согласования ключевых тезисов в начале кризиса. Юрист, готовящий документы для ФСТЭК, и спикер, общающийся с прессой, должны опираться на один и тот же согласованный с ИБ-командой набор фактов: характер инцидента, предварительная оценка масштаба, категория данных. Это не значит публиковать полный отчёт для регулятора, но базовые определения должны быть идентичны.
[ИЗОБРАЖЕНИЕ: Схема двухканальной коммуникации. Центральный блок: «Факты от ИБ-команды / Кризисного штаба». От него стрелка в блок «Согласование ключевых тезисов (юристы, руководство, PR)». От этого блока расходятся два потока: 1. «Уведомление в ФСТЭК (формальное, детальное, по шаблону 152-ФЗ)». 2. «Заявления для СМИ (адаптированное, без эксплуатационных деталей)». Оба потока указывают на один блок: «Единая нарративная основа».]
Когда новостная волна схлынула
Основные публикации вышли, звонки прекратились. Ошибка — вздохнуть с облегчением и забыть. Именно сейчас формируется основа для реакции на следующий инцидент.
Проведите разбор не только технических, но и коммуникационных действий. Соберите все вопросы от журналистов, особенно неожиданные. Проанализируйте, какие ваши формулировки цитировались чаще всего — позитивно или негативно. Обновите шаблоны кризисных заявлений, внесите в них удачные обороты и подготовьте варианты ответов на сложные вопросы.
Самый действенный инструмент — регулярные учения. Смоделируйте инцидент и организуйте серию имитированных звонков «журналистов» разной степени агрессивности для спикера и пресс-службы. Это снимает эффект первого шока и доводит до автоматизма следование утверждённым принципам.
В конечном счёте, грамотная коммуникация после инцидента — это не PR-технология, а часть системы управления рисками. Она минимизирует вторичный ущерб — репутационный, финансовый, юридический — и позволяет техническим специалистам работать в защищённом от информационного шума пространстве. Без этого процесс восстановления проходит тяжелее и дольше.