Cybercriminaliteit wordt een interessante uitdaging voor de communicatiespecialist die zich bezighoudt met crisiscommunicatie. Het aantal gevallen waarin organisaties te maken krijgen met gerichte denial-of-service-aanvallen, ransomware of hacks neemt hand over hand toe. Daarnaast zijn er nog talloze andere ICT-gerelateerde incidenten, zoals kinderporno, datalekken, fake news en belediging of bedreiging via social media, die organisaties in de problemen kunnen brengen. Met name in de categorie ‘aanvallen’, die organisaties enorme schade kunnen berokkenen, proberen de slachtoffers de cybercrimes zo snel mogelijk te verdoezelen, want vooral bedrijven willen niet de indruk wekken dat ze ondanks een ICT-budget van vele miljoenen er niet in slagen hun ICT-systemen doelmatig te beveiligen.
De cybercrimes die nu de publiciteit halen, zijn vooral de gevallen waarin belangrijke en veel bezochte sites of applicaties platgelegd worden, waarbij bedrijven grote schade oplopen of waarbij min of meer smeuïge informatie of beelden vrijkomen. Wat er naar buiten komt, is helaas alleen het topje van ijsberg. Omdat er geen meldingsplicht is, wordt onvoldoende duidelijk dat het probleem vele malen groter is dan iedereen denkt.
Zelfde methodiek
Een interessante vraag is of crisiscommunicatie in geval van cybercriminaliteit volgens hetzelfde stramien verloopt als de ‘gebruikelijke’ crises. Het antwoord is ‘ja’ en ‘nee’. De methodiek is in grote lijnen hetzelfde als in andere crisisgevallen: we brengen in kaart wat er gebeurd is, wat de gevolgen kunnen zijn en wat er ondernomen kan worden om het probleem op te lossen en de negatieve gevolgen zo beperkt mogelijk te houden. Daarnaast monitoren we de media en de publieke opinie en proberen we zo zakelijk mogelijk over de gebeurtenissen te informeren.
…met enkele verschillen
Toch zijn er ook een paar wezenlijke verschillen. Een cybercrisis ontstaat bijna uit het niets en kan razendsnel om zich heen grijpen. Door de enorme afhankelijkheid van internet en de sterke verwevenheid van ICT-systemen met elkaar, is het extreem moeilijk om een goed beeld te krijgen van de reikwijdte en de gevolgen van het probleem. Wat begint als een klein incident – bijvoorbeeld een standaard gevalletje van ransomware – kan eindigen als een serieuze bedreiging van kritische, openbare infrastructuur. En als je al weet (of snapt) wat er precies gebeurd is, hoe leg je dat in normale taal uit aan het publiek. Het gaat meestal om complexe technologie, waar alleen experts zinnige informatie over kunnen geven. De normale woordvoerders hebben doorgaans geen idee.
Bovendien zijn software, applicaties, IT-systemen en de ‘cloud’ heel abstract, waardoor mensen nauwelijks een concrete dreiging of enige emotionele betrokkenheid voelen en de ernst van de situatie bijna per definitie onderschatten. Tenzij de internetverbinding uitvalt, de zelfrijdende auto op hol slaat, de pinautomaat in de winkel het niet meer doet of er gevoelige privé-informatie online verschijnt.
Maar dan zijn de gevolgen in termen van reputatie- of omzetverlies niet te overzien. Zelfs relatief onschuldige incidenten worden groot in de media uitgemeten, en door het gebrek aan kennis van journalisten zelden correct. De publieke verontwaardiging (of leedvermaak) loopt hoog op en worden er zelfs vragen in de Tweede Kamer gesteld.
Cybercriminaliteit is een enorm probleem en het wordt alleen maar erger, omdat ICT echt in alle aspecten van het dagelijkse leven doordringt. En waar de dreiging toeneemt, neemt de weerbaarheid af omdat het praktische onmogelijk is om elk ICT-device en elk stukje software te beveiligen. Het ondersteunen van bedrijven die in een crisissituatie terechtgekomen zijn als gevolg van cybercrime of ICT-problemen is door de ongrijpbaarheid van het fenomeen een enorme uitdaging voor de communicatieprofessional, zoals we zelf inmiddels ook al enkele keren ervaren hebben. Een eerste vereiste is wat mij betreft transparantie, zoals wij gedaan hebben met een klant die aangifte deed bij politie en het hele verhaal op video uit de doeken deed. Als bekend is hoeveel bedrijven tegenwoordig met cybercrime te maken krijgen, neemt het begrip voor de slachtoffers wellicht toe, verschuiven de verwijten wat meer richting daders en zal hopelijk ook de overheid meer prioriteit geven aan preventie, internationale opsporing en een adequate strafmaat.
Theo Snijders