Krizová komunikace při kyberútoku. Jak neztratit důvěru zákazníků ani partnerů? 

Jste pod kyberútokem? Unikla vám citlivá data? Pak nezapomeňte, že nejde jen o technický problém, na který stačí nasadit ty správné IT specialisty. Je to i reputační krize, kterou pečlivě sledují vaši zákazníci a partneři. Každá minuta nečinnosti se může prodražit. Naopak jasnou, rychlou a koordinovanou komunikací lze škody výrazně zmírnit. 

Podle předloňské studie Cost of a Data Breach Report trvá v průměru 204 dní, než organizace odhalí, že došlo k úniku jejích dat. V médiích, na sociálních sítích nebo na dark webu se pak informace nezřídka objeví dřív, než si firma vůbec uvědomí, co se stalo. Dalších průměrně 73 dní potřebuje organizace k tomu, aby dostala situaci pod kontrolu.  

Podle výzkumu agentury PublicRelay vnímají zákazníci, investoři i regulační úřady selhání v kyberbezpečnosti mnohem citlivěji než jiné krize v řízení a správě firmy. Navíc setrvačnost mediálního dopadu je v tomto případě v průměru déle než půl roku. Zatímco jiné krize relativně rychle vyšumí, tady bývá situace jiná: vývoj tématu od obnovování provozu po případné soudní spory téma v médiích znovu a znovu oživuje.

Firmy obvykle mlčí, je to chyba 

Firmy v praxi často nevědí, jak při kybernetickém incidentu komunikovat – a proto nekomunikují vůbec. Doufají, že útok vymlčí. Opakovaně se nicméně ukazuje, že organizace, které otevřeně přiznají problém a rychle informují o nápravě, bývají partnery i veřejností vnímány mnohem příznivěji.  

Potvrzuje to i případ firmy Bizerba, zaměřující se na výrobu, prodej a servis nářezových strojů a váhových systémů. Ta se s krizovou komunikací musela vypořádat po rozsáhlém ransomwarovém útoku. Jako výzva se už v prvních hodinách ukázala komunikace jak k zaměstnancům, tak k zákazníkům.  

Co dělat v případě kyberútoku: Klíčová je rychlá reakce a schopnost rozhodnout o dalším postupu

Co dělat v případě kyberútoku: Klíčová je rychlá reakce a schopnost rozhodnout o dalším postupu

Zobrazit článek

„U větších firem jsme kontaktovali jejich IT oddělení, řekli jsme jim, co víme, lépe řečeno, že toho moc nevíme, že nemáme zdání, jestli nejsou napadena i jejich zařízení, která mají od nás,“ vzpomíná Martin Dvořák, jednatel české pobočky.  

„V 99 % byla jejich reakce chápavá. Dokonce největší firmy jako Tesco nebo Makro nám okamžitě nabídly pomoc, protože už mají s podobnými situacemi zkušenost. Vlastně jenom jeden zákazník si vyžádal moje čestné prohlášení, že nemám důkaz, že by jejich zařízení bylo napadené. Vzhledem k tomu, že jsem v tu chvíli neměl důkazy vůbec o ničem, jsem mu to podepsal.“  

Co o komunikaci incidentů říká GDPR? 

Pokud by bezpečnostní incident mohl ohrozit práva a svobody fyzických osob, musí ho organizace nahlásit Úřadu pro ochranu osobních údajů do 72 hodin od zjištění. Jestliže hrozí vysoké riziko (například únik citlivých údajů), musí být informováni i samotní uživatelé — jasně, srozumitelně a bez zbytečného prodlení.

Co o komunikaci incidentů říká NIS2? 

Subjekty v klíčových sektorech musí incident oznámit směrem k NÚKIB ve třech krocích: první hlášení do 24 hodin, podrobnosti do 72 hodin a závěrečná zpráva do jednoho měsíce. Navíc NIS2 výslovně zdůrazňuje potřebu transparentní komunikace s veřejností, pokud by incident mohl otřást důvěrou zákazníků nebo ohrozit další subjekty. 

Jak postupovat v krizi 

Určete dopředu, kdo a jak bude za firmu mluvit 

Mějte jasno v tom, jak budete komunikovat, koho budete informovat a kdo bude za firmu mluvit do médií. Definujte si, kdo je součástí krizového týmu, a pravomoci jeho členů. Mějte připravené kontakty na úřady a bezpečnostní složky. Váš mluvčí by měl být předem určen a proškolen, aby dokázal vystupovat srozumitelně, koherentně a v souladu s fakty. Zvažte zapojení externího PR konzultanta. 

Neodkládejte svolání krizového týmu 

Do krizového týmu by měli patřit klíčoví lidé z vedení, IT a bezpečnosti, právního oddělení i komunikace. Je nutné si co nejrychleji ujasnit, co víte: jaká data unikla, koho se incident týká, jestli se bezpečnostní trhlina stihla opravit a které úřady jste už o incidentu informovali. Komunikujte, v jaké jste situaci, i když ještě neznáte všechny podrobnosti. Včasné a věcné přiznání problému pomáhá udržet důvěru a ukazuje, že firma situaci aktivně řeší.  

Ke komu komunikovat a v jakém pořadí? 

Při řešení kybernetické krize záleží nejen na tom, co říkáte, ale i komu to říkáte – a v jakém pořadí. Různé cílové skupiny mají různé potřeby a očekávání. Jasně si je pojmenujte a připravte si plán, jak k nim přistoupit.  

1. Lidé, kterých se incident přímo týká – nejčastěji zákazníci, jejichž data byla ohrožena, nebo uživatelé, kteří nemají kvůli útoku přístup k vašim službám. Ti mají právo vědět, co se stalo, co to pro ně znamená a co mohou očekávat dál. Oslovte je co nejdříve, jasně a srozumitelně.  
2. Hned poté přichází na řadu vaše interní publikum – zaměstnanci, vedení, dodavatelé, partneři, poradci, ale také investoři nebo kapitálové trhy. I když nejsou přímo zasaženi, budou o situaci mluvit s okolím, a je proto dobré je se situací seznámit. 
3. Promyslete, jak a kdy oslovíte média – podle charakteru incidentu a vašeho odvětví vyberte správný kanál a typ médií. V případě méně závažných incidentů stačí rozeslat tiskovou zprávu. Rozhovor se specializovaným médiem vyberte, pokud chcete humanizovat komunikaci, jít do detailu a obnovit důvěru. Přímý briefing s obecnými médií použijte, jestliže jde o skutečně závažný problém a chcete se pokusit aktivně řídit narativ o události.  
4. Podle povahy incidentu může být nutné informovat také veřejné instituce – dozorové orgány, státní správu nebo zástupce samosprávy, pokud má incident širší dopady. Například nemocnice napadená ransomwarem by měla informovat NÚKIB, Úřad pro ochranu osobních údajů, svého zřizovatele a policii. 

Informace pravidelně aktualizujte 

Oficiální prohlášení umístěte viditelně na svůj web, ideálně i na sociální sítě. Připojte kontakt, kde mohou lidé získat další informace – například e-mail, telefonní linku nebo FAQ stránku. Pravidelně aktualizujte obsah, i když nejsou k dispozici nové zásadní informace.  

Monitorujte ohlasy 

Vaše komunikační strategie by měla zahrnovat aktivní monitoring sociálních sítí, médií a diskusních fór. Sledujte, jak se situace vyvíjí, a včas reagujte na otázky i šíření dezinformací. Průběžně komunikujte nové informace a nebojte se upravit formu sdělení podle zpětné vazby – dobrá krizová komunikace není jednosměrná.  

Krizová komunikace jako součást IRP  

Připravený plán reakce na incidenty (IRP) je klíčový pro ochranu dat a zajištění chodu firmy. Obsahuje pokyny, jak bezpečnostní incidenty včas odhalit, vyhodnotit a řešit. Problém je, že se většina IRP zaměřuje na technické aspekty zvládání incidentů a komunikaci s externími stranami zmiňuje jen okrajově.  

5 nejčastějších chyb při vytváření plánu reakce na incidenty

5 nejčastějších chyb při vytváření plánu reakce na incidenty

Zobrazit článek

Pokud je to i váš případ, upravte svůj plán reakce na incidenty tak, aby obsahoval i jasný postup komunikace v případě kyberútoku. Zejména je dobré nepodcenit otázku spolupráce a koordinace – efektivní reakce totiž vyžaduje zapojení nejen IT oddělení, ale i odborníků na PR, právního oddělení nebo externích partnerů.  

Co si z článku odnést?  

• Při kyberútoku je včasná a transparentní komunikace zásadní – pomáhá zachovat důvěru zákazníků, omezit právní rizika a minimalizovat dlouhodobé škody na reputaci.  
• Firmy by si měly předem připravit konkrétní komunikační plán – určit krizový tým, vyškolit mluvčího, jasně stanovit komunikační postupy a připravit kontakty na klíčové subjekty.  
• Důležitá je nejen správná volba obsahu komunikace, ale také správné načasování a pořadí oslovení cílových skupin: nejprve informovat přímo dotčené, poté interní publikum, média a širší veřejnost.  
• Krizová komunikace by měla být součástí plánu reakce na incidenty, přičemž do procesu by mělo být zapojeno nejen IT oddělení, ale i PR specialisté, právníci a vedení firmy.  

Kateřina Benešová
Marketingový specialista pro B2B