Elke donderdag lees ik met veel interesse de FD Techzaken nieuwsbrief. Afgelopen week viel mij gelijk iets op: het grote aantal gemelde hacks en gijzelsoftwaregevallen. Of zoals de nieuwsbrief het zegt: “Het regende deze week berichten over opzienbarende digitale inbraken en overvallen”. Naast Hof van Twente, Randstad en Foxconn lagen ook het Europees Medicijn Genootschap en FireEye onder digitaal vuur. Een snelle analyse van de nieuwsberichten laat zien dat een groot deel van de bedrijven onvoldoende voorbereid leek op een dergelijke crisis. Zowel op het gebied van beveiliging als wat betreft crisiscommunicatie.
Vanzelfsprekend moet een cyberaanval zo snel mogelijk worden afgeslagen en opgelost. Maar veel bedrijven realiseren zich onvoldoende dat bijvoorbeeld een datalek meer met zich meebrengt dan alleen het oplossen van een beveiligingsprobleem. Het is een organisatiebrede crisis, en moet dan ook als zodanig aangepakt worden. In een artikel in Het Financieele Dagblad over de hack bij de gemeente Hof van Twente staat het treffend samengevat: “Zo adviseerde de naburige gemeente Lochem, die eerder last heeft gehad van gijzelsoftware en daarvan veel heeft geleerd, om de situatie meteen als crisis te beschouwen en daarover als zodanig te communiceren”. Ook in het geval van een cyberaanval moet een crisis(communicatie)plan klaarliggen.
“Voordat ik een fout maak, maak ik die fout niet”
Johan Cruijff had verstand van veel dingen. Ook van crisiscommunicatie. Want zijn uitspraak in de subkop is bij uitstek van toepassing op dit gebied. Immers, voordat je getroffen wordt door een crisis, moet je zorgen dat de kans dat je getroffen wordt door die crisis zo klein mogelijk is.
Communicatief gezien valt de omgang met crises uiteen in drie fasen:
- de preventiefase,
- de communicatieve afhandeling van crisis zelf, en
- de nazorgfase.
In fase 1 zorg je dat je je issuemanagement op orde hebt, Dat houdt in dat je de mogelijke risico’s in kaart brengt, deze constant monitort, scenario’s uitwerkt en deze weer aanpast als de nieuwe situatie daar om vraagt. Ook zorg je in deze fase dat je je PR op orde hebt, omdat een goede reputatie als een buffer werkt in crisissituaties: als je organisatie goed bekend staat, kan ze in mindere tijden wel een stootje hebben. En natuurlijk regel je alles goed in, zodat je alle mensen en processen klaar hebt staan en je meteen aan de bak kunt als dat nodig is.
Fase 2 is de fase waarin het crisisplan uitgevoerd wordt. In dat plan staat beschreven wie wat doet, met welke doelgroepen wanneer gecommuniceerd wordt (intern eerst!) en hoe je die stakeholders het snelst bereikt.
Fase 3 lijkt qua opzet dan weer op de eerste fase, waarin je door middel van gerichte communicatie met de juiste mensen en boodschappen je organisatie weer op het gewenste reputatieniveau krijgt.
Hoewel ook fase 1 en 3 veel structurele activiteiten veronderstellen, is fase 2 de meest dynamische. En de meest onduidelijke. Zeker in geval van een cybercrisis, hetgeen voor veel bedrijven nog een compleet nieuwe fenomeen is, en een situatie waar zelfs niet ieder crisiscommunicatiebureau goed op voorbereid is.
Dus CIO, zorg dat ook jouw organisatie de nodige communicatieve voorbereidingen treft door de bovenstaande drie fases zo goed mogelijk in kaart te brengen en uit te werken.
Cybercrisis(communicatie)team
Want cybercrime zal alleen maar toenemen. Ook De Volkskrant beaamt dat we voorlopig nog niet van de cyberaanvallen af zijn, en berekende dat slachtoffers van gijzelsoftware gemiddeld 200.000 euro per aanval betalen. En daarnaast nog een flinke deuk oplopen in hun reputatie.
Het moge duidelijk zijn dat de impact enorm is, zowel financieel als communicatief. Het is daarom absolute noodzaak om naast de technologische dreiging ook de dreiging op het gebied van communicatie voor te zijn, bijvoorbeeld door te trainen en te simuleren. Hackcommunicatie dus.
En begin daarbij eens met de volgende vraag: hoe vaak heeft een afvaardiging van de communicatieafdeling deelgenomen aan een cybercrisisoverleg binnen jouw organisatie?
“Vaak moet er iets gebeuren voordat er iets gebeurt”, zei Nederlands beste voetballer. Zorg dat deze uitspraak niet op jouw organisatie van toepassing is. Be prepared!
