Streszczenie: W obliczu rosnącej liczby cyberataków, takich jak kradzież danych medycznych milionów pacjentów czy wyłudzanie poufnych informacji od klientów banków, firmy stają przed dylematem: zapłacić okup czy walczyć z cyberprzestępcami? Przykład ataku na firmę LightPol, której system został zainfekowany przez hakerów żądających okupu, pokazuje, jak ważne jest przygotowanie na takie kryzysy. Brak odpowiedniego planu zarządzania kryzysowego może prowadzić do poważnych strat finansowych i reputacyjnych. Decyzja o zapłaceniu okupu nie gwarantuje jednak odzyskania kontroli nad systemem ani zapewnienia bezpieczeństwa w przyszłości. Dlatego kluczowe jest inwestowanie w prewencję, edukację pracowników oraz opracowanie skutecznych procedur reagowania na incydenty.
Bez odpowiedniego przygotowania do działania w sytuacji kryzysowej firma LightPol może być narażona także na inne zagrożenia – nie tylko na kolejne ataki internetowych włamywaczy.
Prezentowane studium przypadku o spółce LightPol, której system internetowy został zaatakowany przez hakerów, jest wprawdzie fikcją literacką, jednak wcale nie odbiega od rzeczywistości. Wiele różnych organizacji, także tych działających na polskim rynku, znalazło się w podobnej sytuacji i musiało zmierzyć z równie trudnym wyzwaniem. Metody rozwiązywania problemów i zagrożeń związanych z atakami komputerowymi i szantażami były bardzo różne – od błyskawicznej reorganizacji systemów informatycznych i procesów biznesowych aż po najbardziej skrajne rozwiązania – czyli uleganie żądaniom. Niezależnie od decyzji podjętych przez szefów tych firm zdarzenia łączy jedno: kluczem do rozwiązania problemów było zrozumienie anatomii kryzysu i błyskawiczne działanie na podstawie pierwszych przesłanek. Jak w takiej sytuacji odnajdą się szefowie firmy, będzie dla nich prawdziwym egzaminem ze skuteczności zarządzania.
Kierownictwo LightPolu, w tym także sam prezes Adam Morski i szef IT Roman Leski, popełniło jednak wiele podstawowych błędów. Z jednej strony menedżerowie zlekceważyli pierwsze symptomy kryzysu, czyli maile od hakerów. Z drugiej – nie przygotowali zawczasu odpowiednich środków zaradczych na wypadek jakichkolwiek problemów z systemem czy awarii. Nie zdefiniowali też sposobów działania w razie kryzysu ani nie wskazali odpowiednich osób, które byłyby odpowiedzialne za poszczególne zadania. I na koniec wreszcie – kierownictwo LightPolu zbyt późno zdało sobie sprawę z faktycznej skali zagrożenia. W rzeczywistości przedsiębiorstwa mogą korzystać z wielu rozwiązań technicznych, które pomagają przygotować się na atak przestępców komputerowych. Podstawowym są testy penetracyjne, w czasie których doświadczeni eksperci symulują działania prawdziwych włamywaczy, tak aby ocenić faktyczną odporność infrastruktury informatycznej danej firmy na różnego rodzaju ataki. Równie istotne są programy edukacyjne – przeznaczone zarówno dla personelu technicznego, jak i kierowane do pozostałych pracowników. Badania prowadzone przez firmę Deloitte potwierdzają, że wydatki na edukację stają się jedną z kluczowych pozycji w budżetach przedsiębiorstw dbających o ochronę swoich zasobów informatycznych.
Ocena skuteczności zarządzania w kryzysie jest zawsze dokonywana przez pryzmat komunikatów, które docierają do opinii publicznej. Jakość przekazywanych przez firmę informacji wpływa więc na jej wizerunek. Może poprawić albo zepsuć jej wiarygodność i reputację.
Analizując konkretny przypadek firmy LightPol, warto pamiętać, że u podstaw większości sytuacji kryzysowych leżą zazwyczaj wcale nie pojedyncze zdarzenia, lecz ich kumulacja skutkująca zakłóceniami w najróżniejszych obszarach działalności. W praktyce do kryzysu dochodzi nie w momencie zdiagnozowania awarii, ale wtedy, gdy kierownictwo zdaje sobie sprawę, że przygotowane wcześniej procedury i plany awaryjne nie mogą być w tej konkretnej sytuacji zastosowane. Trudno bowiem przygotować scenariusze działania na wszystkie możliwe zagrożenia. Jednak niemożność skorzystania z gotowych recept nie oznacza, że firma nie mogła przygotować się na kryzys. Najważniejsza jest bowiem sama świadomość zaistniałego zagrożenia i że takie sytuacje się zdarzają. Poszczególne osoby uczestniczące w pracach sztabu kryzysowego muszą precyzyjnie rozumieć swoją rolę i zadania, a także zakres odpowiedzialności. Częstą pułapką, w którą wpadają sztaby kryzysowe, jest skupienie się na rozwiązaniu bieżących problemów leżących u podstaw kryzysu. Należy jednak pamiętać, że osoby spoza tego zespołu zazwyczaj nie dysponują informacjami pozwalającymi na ocenę rzeczywistej skali niebezpieczeństwa. Dlatego tak ważna w rozwiązywaniu sytuacji kryzysowej jest właściwa komunikacja – tak wewnętrzna, jak i zewnętrzna. Nieskuteczny lub błędny przepływ informacji o kryzysie i metodach wychodzenia z niego dodatkowo może spotęgować chaos w organizacji oraz w jej relacjach z partnerami biznesowymi czy klientami.
Niektóre firmy unikają zbędnego – w ich ocenie – rozgłosu. Zrozumiałe jest, że nie chcą opowiadać o swoich kłopotach. Ale nie wykorzystują przy tym także możliwości pokazania, w jaki sposób rozwiązały ważne dla funkcjonowania ich organizacji problemy. A przecież ocena skuteczności zarządzania w kryzysie jest zawsze dokonywana przez pryzmat komunikatów, które docierają do opinii publicznej. Jakość przekazywanych przez firmę informacji wpływa więc na jej wizerunek. Może poprawić albo zepsuć jej wiarygodność i reputację.
Co powinien w tej sytuacji zrobić prezes Morski? To dylemat, z którym musi umieć się zmierzyć we własnym sumieniu lider każdej organizacji. Musi przeanalizować wszystkie plusy i minusy swojej decyzji. Tym bardziej że porażka w sytuacji kryzysowej grozi firmie poważnymi konsekwencjami. Nie dajemy gotowych rozwiązań. Chcemy jednak zwrócić uwagę na skalę i złożoność zagrożeń związanych z technologiami informatycznymi, które nadal będą dynamicznie się rozwijać. Nikomu nie uda się zatrzymać integracji IT z codziennymi zadaniami. Rolą menedżera powinno być zrozumienie nie tylko zalet, ale także zagrożeń związanych z taką integracją. Technologia może przynosić firmie maksimum korzyści, niekoniecznie jej zagrażając.
