Bez odpowiedniego przygotowania do działania w sytuacji kryzysowej firma LightPol może być narażona także na inne zagrożenia – nie tylko na kolejne ataki internetowych włamywaczy.
Prezentowane studium przypadku o spółce LightPol, której system internetowy został zaatakowany przez hakerów, jest wprawdzie fikcją literacką, jednak wcale nie odbiega od rzeczywistości. Wiele różnych organizacji, także tych działających na polskim rynku, znalazło się w podobnej sytuacji i musiało zmierzyć z równie trudnym wyzwaniem. Metody rozwiązywania problemów i zagrożeń związanych z atakami komputerowymi i szantażami były bardzo różne – od błyskawicznej reorganizacji systemów informatycznych i procesów biznesowych aż po najbardziej skrajne rozwiązania – czyli uleganie żądaniom. Niezależnie od decyzji podjętych przez szefów tych firm zdarzenia łączy jedno: kluczem do rozwiązania problemów było zrozumienie anatomii kryzysu i błyskawiczne działanie na podstawie pierwszych przesłanek. Jak w takiej sytuacji odnajdą się szefowie firmy, będzie dla nich prawdziwym egzaminem ze skuteczności zarządzania.
Kierownictwo LightPolu, w tym także sam prezes Adam Morski i szef IT Roman Leski, popełniło jednak wiele podstawowych błędów. Z jednej strony menedżerowie zlekceważyli pierwsze symptomy kryzysu, czyli maile od hakerów. Z drugiej – nie przygotowali zawczasu odpowiednich środków zaradczych na wypadek jakichkolwiek problemów z systemem czy awarii. Nie zdefiniowali też sposobów działania w razie kryzysu ani nie wskazali odpowiednich osób, które byłyby odpowiedzialne za poszczególne zadania. I na koniec wreszcie – kierownictwo LightPolu zbyt późno zdało sobie sprawę z faktycznej skali zagrożenia. W rzeczywistości przedsiębiorstwa mogą korzystać z wielu rozwiązań technicznych, które pomagają przygotować się na atak przestępców komputerowych. Podstawowym są testy penetracyjne, w czasie których doświadczeni eksperci symulują działania prawdziwych włamywaczy, tak aby ocenić faktyczną odporność infrastruktury informatycznej danej firmy na różnego rodzaju ataki. Równie istotne są programy edukacyjne – przeznaczone zarówno dla personelu technicznego, jak i kierowane do pozostałych pracowników. Badania prowadzone przez firmę Deloitte potwierdzają, że wydatki na edukację stają się jedną z kluczowych pozycji w budżetach przedsiębiorstw dbających o ochronę swoich zasobów informatycznych.
Ocena skuteczności zarządzania w kryzysie jest zawsze dokonywana przez pryzmat komunikatów, które docierają do opinii publicznej. Jakość przekazywanych przez firmę informacji wpływa więc na jej wizerunek. Może poprawić albo zepsuć jej wiarygodność i reputację.
Analizując konkretny przypadek firmy LightPol, warto pamiętać, że u podstaw większości sytuacji kryzysowych leżą zazwyczaj wcale nie pojedyncze zdarzenia, lecz ich kumulacja skutkująca zakłóceniami w najróżniejszych obszarach działalności. W praktyce do kryzysu dochodzi nie w momencie zdiagnozowania awarii, ale wtedy, gdy kierownictwo zdaje sobie sprawę, że przygotowane wcześniej procedury i plany awaryjne nie mogą być w tej konkretnej sytuacji zastosowane. Trudno bowiem przygotować scenariusze działania na wszystkie możliwe zagrożenia. Jednak niemożność skorzystania z gotowych recept nie oznacza, że firma nie mogła przygotować się na kryzys. Najważniejsza jest bowiem sama świadomość zaistniałego zagrożenia i że takie sytuacje się zdarzają. Poszczególne osoby uczestniczące w pracach sztabu kryzysowego muszą precyzyjnie rozumieć swoją rolę i zadania, a także zakres odpowiedzialności. Częstą pułapką, w którą wpadają sztaby kryzysowe, jest skupienie się na rozwiązaniu bieżących problemów leżących u podstaw kryzysu. Należy jednak pamiętać, że osoby spoza tego zespołu zazwyczaj nie dysponują informacjami pozwalającymi na ocenę rzeczywistej skali niebezpieczeństwa. Dlatego tak ważna w rozwiązywaniu sytuacji kryzysowej jest właściwa komunikacja – tak wewnętrzna, jak i zewnętrzna. Nieskuteczny lub błędny przepływ informacji o kryzysie i metodach wychodzenia z niego dodatkowo może spotęgować chaos w organizacji oraz w jej relacjach z partnerami biznesowymi czy klientami.
Niektóre firmy unikają zbędnego – w ich ocenie – rozgłosu. Zrozumiałe jest, że nie chcą opowiadać o swoich kłopotach. Ale nie wykorzystują przy tym także możliwości pokazania, w jaki sposób rozwiązały ważne dla funkcjonowania ich organizacji problemy. A przecież ocena skuteczności zarządzania w kryzysie jest zawsze dokonywana przez pryzmat komunikatów, które docierają do opinii publicznej. Jakość przekazywanych przez firmę informacji wpływa więc na jej wizerunek. Może poprawić albo zepsuć jej wiarygodność i reputację.
Co powinien w tej sytuacji zrobić prezes Morski? To dylemat, z którym musi umieć się zmierzyć we własnym sumieniu lider każdej organizacji. Musi przeanalizować wszystkie plusy i minusy swojej decyzji. Tym bardziej że porażka w sytuacji kryzysowej grozi firmie poważnymi konsekwencjami. Nie dajemy gotowych rozwiązań. Chcemy jednak zwrócić uwagę na skalę i złożoność zagrożeń związanych z technologiami informatycznymi, które nadal będą dynamicznie się rozwijać. Nikomu nie uda się zatrzymać integracji IT z codziennymi zadaniami. Rolą menedżera powinno być zrozumienie nie tylko zalet, ale także zagrożeń związanych z taką integracją. Technologia może przynosić firmie maksimum korzyści, niekoniecznie jej zagrażając.
