Streszczenie: W obliczu wycieku danych klientów sklepu internetowego Buy With Us, prezes firmy musi podjąć szybkie i zdecydowane działania, aby ochronić reputację przedsiębiorstwa. Kluczowe jest niezwłoczne przekazanie odpowiednich komunikatów do klientów i innych zainteresowanych stron. Pierwszym krokiem powinno być zorganizowanie zespołu kryzysowego, w skład którego wchodzą kluczowe osoby odpowiedzialne za bezpieczeństwo informacji, IT, sprzedaż, prawo i public relations. Należy przeprowadzić audyt systemów zabezpieczeń, aby zidentyfikować potencjalne luki i określić, jakie dane mogły zostać skopiowane. Ważne jest również poinformowanie pracowników i współpracujących agentów o zaistniałej sytuacji oraz przypomnienie o konieczności ochrony danych. Nawet jeśli nie zostaną znalezione luki w systemie, warto zawiadomić odpowiednie służby, takie jak policja, oraz współpracować z organami nadzoru ochrony danych osobowych. Odpowiedni komunikat do klientów, nawet jeśli nie wiadomo, kto jest odpowiedzialny za wyciek, może pozytywnie wpłynąć na postrzeganie firmy. Forma przekazu zależy od rodzaju zagrożenia. W przypadku wycieku danych, które nie niosą bezpośredniego ryzyka finansowego dla klientów, można zastosować komunikację masową, na przykład poprzez stronę internetową firmy. Jeśli jednak wyciek dotyczy wrażliwych danych, zaleca się indywidualne poinformowanie klientów o zagrożeniu i podjętych środkach zaradczych. Odbudowa zaufania do firmy po takim incydencie jest procesem długotrwałym i kosztownym. Wymaga inwestycji w systemy zabezpieczeń, podnoszenia kompetencji personelu oraz oferowania klientom dodatkowych korzyści, takich jak zniżki czy promocje. Ważne jest również budowanie otwartej kultury komunikacji z klientami, co może przyciągnąć nowych odbiorców.
Prezes sklepu internetowego Buy With Us musi umieć zmierzyć się z problemami, jakie pojawią się, gdy na jaw wyjdzie informacja o wycieku danych. Kluczowym zadaniem, które zadecyduje o przyszłości firmy, jest przekazanie klientom i zainteresowanym stronom właściwych komunikatów o całym zdarzeniu i ochrona reputacji przedsiębiorstwa.
Każde zagrożenie, które może w niekorzystnym świetle postawić firmę, wymaga od jej kierownictwa zdecydowanego i szybkiego działania. Nie wolno chować głowy w piasek. W 2008 roku w naszym towarzystwie ubezpieczeniowym stanęliśmy przed poważnym problemem związanym z ewentualnym wyciekiem części danych grupy naszych klientów.
Z firmą skontaktował się dziennikarz, który powiedział, że udało mu się kupić od naszego agenta ubezpieczeniowego bazę danych klientów. Niestety, nie chciał pokazać kupionych danych ani powiedzieć, kto mu je sprzedał. Nie mogliśmy jednak zlekceważyć tych informacji.
Od razu zebrał się w tej sprawie zespół kryzysowy. W jego skład weszli obok prezesa także administrator bezpieczeństwa informacji, szef IT, kierownik sprzedawców (agentów), radca prawny i osoba odpowiedzialna za public relations.
W pierwszej kolejności zrobiliśmy szybki audyt naszych systemów zabezpieczeń. Dzięki niemu dobrze wiemy, kto miał dostęp do systemów IT i jakie dane mogły zostać skopiowane. Równolegle wysłaliśmy też komunikat do pracowników i współpracujących z towarzystwem agentów, informując ich o istniejących podejrzeniach związanych z wyciekiem danych. Osoby odpowiedzialne za nadzór nad agentami organizowały z nimi spotkania, by ponownie uczulić ich na konieczność ochrony danych i przypomnieć, jakie skutki mogą wynikać z zaniedbań lub naruszeń.
Na szczęście w systemie nie zostały znalezione żadne luki czy usterki, nie wykryto też jakichkolwiek podejrzanych zachowań lub działań ze strony pracowników.
Mimo to, chcąc być w zgodzie z naszymi firmowymi zasadami uczciwości, rzetelności i otwartości, w tym samym dniu zawiadomiliśmy o zaistniałym problemie policję. Podjęliśmy też pełną współpracę z przedstawicielami Generalnego Inspektora Ochrony Danych Osobowych podczas dwóch przeprowadzonych w firmie kontroli.
Odpowiedni komunikat, nawet wysłany w sytuacji, w której do końca nie wiadomo, kto zawinił, może mieć w szerszej perspektywie i w dłuższym horyzoncie czasowym pozytywny wydźwięk.
Oczywiście byliśmy cały czas gotowi, by wyjść z informacją do klientów i opinii publicznej. Zespół kryzysowy ustalił, że jeśli otrzymamy jakikolwiek sygnał z rynku, podejdziemy do problemu z otwartą przyłbicą. Okazało się jednak, że dotychczas ani policja, ani kontrolerzy GIODO nie ustalili źródła prawdopodobnego wycieku danych. Nadal nie było więc dowodu, że stało się coś złego. Nie chcieliśmy też wzbudzać niepotrzebnego zamieszania i paniki.
Do dziś takiego dowodu nie mamy. Sądzimy, że cała sytuacja była prowokacją dziennikarską, mającą sprawdzić naszą firmę. Jesteśmy jednak przekonani, że zrobiliśmy wszystko, aby właściwie poprowadzić sprawę, zarówno od strony prawnej, jak i komunikacyjnej.
Podobne zadania stoją przed prezesem Wiśniewskim. W jego sklepie internetowym doszło do wycieku danych. Kierownictwo BWU musi jak najszybciej zająć w tej sprawie konkretne stanowisko.
Przede wszystkim zarządzający sklepem powinni przekonać policję, że firma chce z nią współpracować, ale jej losy i przyszłość zależą od dobrych relacji z klientami. Nie mogą w nieskończoność zwlekać z przekazaniem im informacji. Z każdym mijającym dniem marnują szanse na właściwą komunikację. W efekcie podważa to wiarygodność firmy, osłabia zdolność oddziaływania na bieg zdarzeń i wpływa na ton przekazywanych komunikatów. Szefowie BWU muszą więc przejąć inicjatywę zarówno w śledztwie mającym wyjaśnić, co się stało, jak i w komunikowaniu się ze światem zewnętrznym, w tym z klientami, mediami i regulatorami. Jeżeli tego nie zrobią, wzrośnie ryzyko, że ktoś inny ujawni fakt kradzieży, a wówczas firma będzie musiała się tłumaczyć nie tylko ze sprawy, ale też z milczenia.
Odpowiedni komunikat, nawet wysłany w sytuacji, w której do końca nie wiadomo, kto zawinił, może mieć w szerszej perspektywie i w dłuższym horyzoncie czasowym pozytywny wydźwięk. Jeśli bowiem okaże się, że całe zamieszanie było spowodowane serią niefortunnych przypadków, to klienci firmy będą co najwyżej przekonani, że firma jest bardzo wrażliwa na tego rodzaju zagrożenia i woli dmuchać na zimne. A to w ich oczach jest oczywistą zaletą.
Równie ważna w tym przypadku jest forma przekazywanego komunikatu. Zależy ona od rodzaju zagrożenia. Wyciek danych, których nie można bezpośrednio wykorzystać do narażenia klientów na straty finansowe, mógłby zostać zakomunikowany za pomocą komunikacji masowej (na firmowej stronie internetowej czy poprzez media). W tym przypadku mamy jednak do czynienia z sytuacją o wiele poważniejszą. Stąd rekomendowałbym indywidualne poinformowanie klientów o zagrożeniu i o środkach, jakie firma podjęła w celu minimalizacji ich strat. Komunikat ten można by skonstruować w sposób dość ostrożny, na przykład zachęcając klientów do bieżącego kontrolowania wyciągów bankowych ze względu na pojawiające się na rynku sygnały o możliwych kradzieżach danych. Można ich też zachęcić do korzystania z innych form płatności. W przypadku firmy BWU sytuacja jest o tyle prosta, że jako sklep internetowy firma ta posiada adresy e‑mailowe swoich klientów.
Odbudowa zaufania do firmy nie będzie łatwa. To proces czasochłonny i kosztowny. BWU będzie musiał zainwestować w system zabezpieczeń i zapewnić klientów, że można mu zaufać. Nie mogą być to deklaracje bez pokrycia. Obok inwestycji w technologię firma powinna podnieść kompetencje personelu i zaproponować klientom nowe korzyści: upusty cenowe, promocje, wyprzedaże. Warto również zainwestować w budowę otwartej kultury komunikacji z nabywcami. To w efekcie może przyciągnąć nowych klientów.
