План ответа на утечку данных: контакт с прессой

от

«Когда случается утечка, инстинкт — замкнуться. Журналист с колонкой плохих новостей кажется дополнительной угрозой. Но это заблуждение: грамотный контакт с прессой, это не исповедь, а инструмент, позволяющий вернуть контроль над информационным полем и снизить репутационный ущерб. Главное — не начать работать с медиа в паническом режиме, когда уже всё случилось».

Подготовительный этап: что нужно сделать до первых звонков

Основная ошибка — начинать думать о коммуникации, когда телефон уже разрывается от звонков. План работы с медиа должен быть частью общего плана реагирования на инцидент ИБ, а не импровизацией. Действия, которые критически важно совершить заранее, не требуют публичных заявлений, но определяют весь дальнейший диалог.

Создание кризисного комитета и определение ролей

Формируется группа, принимающая все ключевые решения по коммуникации. В неё входят: лицо, принимающее окончательное решение (часто руководитель), руководитель службы безопасности, юрист, руководитель PR или коммуникаций. Важно: назначается один официальный спикер. Все обращения к прессе идут только через него. Это позволяет избежать противоречивых заявлений. Все остальные сотрудники получают чёткую инструкцию — не комментировать ситуацию и перенаправлять любые запросы к назначенному спикеру.

Сбор и верификация фактов

Пока инцидент расследуется, информация хаотична. Задача спикера и кризисного комитета — иметь максимально полную и проверенную картину. Ответьте на ключевые вопросы внутреннего расследования:

  • Что именно утекло? Категории данных (ФИО, паспорта, платежные данные, технические данные).
  • Какой объём данных затронут? Ориентировочное количество записей, пользователей.
  • Когда произошёл инцидент? Ориентировочные даты компрометации и обнаружения.
  • Каков вероятный источник утечки? Внешняя атака, действия сотрудника, ошибка конфигурации.
  • Какие меры уже приняты? Блокировка уязвимости, изоляция систем, обращение в правоохранительные органы.

На этом этапе не нужно знать всё досконально, но у вас должен быть сформирован базовый нарратив, основанный на фактах, а не на слухах. Разделите информацию на три категории: что можно сообщить сейчас (проверенные факты), что станет известно позже (идёт проверка) и что является конфиденциальным (не подлежит разглашению).

Этап первого контакта: как отвечать на запросы журналистов

Журналистский запрос, это не обвинение, а рабочий инструмент. Ваша реакция задаст тон всему освещению. Игнорирование запроса — худшая стратегия, она трактуется как подтверждение худших подозрений и «скрытие правды». Порядок действий при получении запроса:

  1. Фиксация. Зафиксируйте запрос: от кого, из какого издания, контактные данные, суть вопросов, дедлайн. Это важно для отчётности и анализа.
  2. Ответ в рамках дедлайна. Даже если у вас нет полного ответа, подтвердите получение запроса и укажите, когда сможете дать комментарий. Это показывает, что вы контролируете процесс.
  3. Подготовка ответа. Не отвечайте спонтанно. Проанализируйте вопросы, сверьтесь с собранными фактами и утверждённой позицией кризисного комитета.

Типичная структура первого ответа:

  • Благодарность за обращение. Нейтральный, профессиональный тон.
  • Подтверждение факта инцидента. Не отрицайте очевидное, если утечка доказана. Фраза «Компания обнаружила инцидент, связанный с несанкционированным доступом к данным» лучше, чем «утечки не было» при наличии доказательств обратного.
  • Минимальные проверенные факты. Что утекло (в общих категориях), примерный масштаб, дата обнаружения.
  • Описание принятых мер. «В настоящее время устранена техническая причина инцидента, подключены эксперты для расследования, уведомлены надзорные органы».
  • Указание на заботу о клиентах. «Приоритетом компании является безопасность данных наших пользователей. Мы предпринимаем все необходимые меры».
  • Отсылка к будущим коммуникациям. «Мы продолжим информировать по мере поступления новых проверенных данных».

Работа с негативом и сложными вопросами

Журналисты будут задавать острые вопросы: «Почему не защитили данные?», «Кто виноват?», «Сколько заплатите пострадавшим?». Ваша задача — не вступать в препирательства и не принимать обвинительный тон на себя. Используйте технику «мостика»: признайте вопрос, но верните разговор к своему ключевому сообщению и фактам.

Вопрос журналиста Неудачный ответ Эффективный ответ (с использованием «мостика»)
«Почему ваша защита оказалась такой слабой?» «Наша защита не слабая, это была сложная атака» (оборонительная позиция). «Расследование покажет все детали атаки. Сейчас ключевое — что уязвимость устранена, и мы усиливаем мониторинг».
«Вы собираетесь компенсировать ущерб клиентам?» «Мы пока не рассматриваем этот вопрос» (создаёт впечатление безразличия). «На данный момент мы сфокусированы на помощи клиентам в защите их аккаунтов: запустили бесплатную услугу по мониторингу и смене паролей. Это наш главный приоритет сейчас».
«Правда ли, что утекли данные 10 миллионов пользователей?» «Нет, это неправда» (без альтернативы) или «Мы не комментируем цифры» (скрытность). «Мы ещё проводим оценку полного объёма. На основании текущих данных мы сообщаем о потенциальном риске для данных в категориях X и Y. Точные цифры станут известны по завершении аудита».

Не давайте прогнозов и обещаний, которые не можете гарантировать. Не используйте слов «никогда» и «полностью». Лучше «приняты все необходимые меры», «риск существенно снижен».

Долгосрочная стратегия: восстановление доверия

Работа с медиа не заканчивается на новости об инциденте. После снятия острой фазы важно управлять нарративом о восстановлении. Журналисты запомнят не только сам факт утечки, но и то, как компания с этим справилась.

  • Публикация отчёта или выводов. Когда расследование завершено, можно опубликовать обезличенные выводы (без технических деталей, которые помогут злоумышленникам). Это демонстрирует прозрачность и ответственность. Формат: «По итогам внутреннего расследования компания внедрила новую систему двухфакторной аутентификации и усилила политики контроля доступа».
  • Истории об улучшениях. Через несколько месяцев можно делиться новостями о новых инвестициях в безопасность, получении сертификатов соответствия требованиям регуляторов (например, ФСТЭК). Это смещает фокус с проблемы на её решение.
  • Работа с экспертами. Привлечение внешних экспертов по ИБ для комментариев о новых угрозах в целом (не о вашем инциденте) помогает восстановить образ компании как ответственного игрока.

Ключевое отличие — после кризиса вы не просто реагируете на запросы, а сами формируете информационную повестку, демонстрируя прогресс и сделанные выводы.

Что категорически нельзя делать

Некоторые действия гарантированно усугубляют кризис в медиапространстве:

  • Лгать или искажать проверенные факты. Правда станет известна. Обман уничтожает доверие навсегда и может стать самостоятельным поводом для негативных публикаций.
  • Обвинять «хакеров» без доказательств. Фраза «мы стали жертвой хакерской атаки» стала клише. Если это факт — представьте доказательства (тип атаки). Если нет — говорите о «несанкционированном доступе».
  • Игнорировать запросы или давать формальные «отписки». Это прямой сигнал СМИ о том, что компания не контролирует ситуацию или что-то скрывает.
  • Делиться непроверенными или избыточными техническими деталями. Не превращайте пресс-релиз в отчёт для ФСТЭК. Избыток деталей запутывает аудиторию и может помочь злоумышленникам.
  • Переходить на личности в общении с журналистом. Конфликт с конкретным автором не останется приватным и может перерасти в войну со всем изданием.

Итоговый принцип: коммуникация после утечки, это не публичное раскаяние, а управляемый процесс передачи информации. Его цель — минимизировать шум, продемонстрировать контроль над ситуацией и заложить основы для будущего восстановления репутации. Подготовленный план и выверенные формулировки превращают журналиста из источника проблем в канал для передачи вашей версии событий.

Оставьте комментарий