Quando atingidas por um ciberataque, algumas empresas optam por emitir poucas ou nenhumas declarações públicas sobre o assunto. No entanto, as agências nacionais de segurança e os CERT (Computer Emergency Response Teams) recomendam que a comunicação se faça da forma mais transparente possível. Porquê? Para melhorar a cooperação geral em resposta ao cibercrime e tranquilizar a comunidade empresarial. Então, porque é que a comunicação é por vezes vista como um tabu? Devemos ou não comunicar? E a quem? É a estas questões que a empresa Stormshield procura responder.
Com conta, em termos de comunicação por vítimas de ciberataques, “o exemplo da Norsk Hydro é impressionante”.
Em 2019, esta empresa industrial norueguesa foi vítima de um ataque de resgate que paralisou várias fábricas de produção e alguns dos seus serviços de comunicação.
No entanto, a empresa optou pela transparência e criou uma página pública de comunicação de crise no seu website no dia seguinte ao ataque.
Esta página foi regularmente actualizada. Nos meses que se seguiram à crise, os meios de comunicação social citaram a Norsk Hydro como um estudo de caso sobre como comunicar após um ataque cibernético.
Nos casos em que existem implicações legais, “as empresas descobrem frequentemente que não podem implementar os seus planos de comunicação de crise ao ritmo que querem enquanto os investigadores fazem o seu trabalho”, diz Pierre-Yves Hentzen, CEO da Stormshield.
As empresas com estatuto crítico – quer Opérateurs d’importance vitale (OIVs) em França ou Operadores de Serviços Essenciais (OES) a nível europeu – estão sujeitas a um protocolo de comunicação rigoroso.
Por outro lado, outras leis exigem que as empresas emitam algum tipo de notificação – não neste caso ao público em geral, mas que informem as autoridades competentes sobre o ciberataque. Por exemplo, o Artigo 33 do Regulamento Geral de Protecção de Dados (GDPR) obriga as empresas que tratam os dados pessoais dos cidadãos europeus a seguir os protocolos de denúncia em vigor nos países onde operam, começando por “notificar a violação dos dados pessoais à autoridade de controlo”.
As empresas que tenham sido vítimas de um ciberataque devem alertar as autoridades, o mais tardar 72 horas após terem descoberto a exfiltração dos dados. Além disso, o artigo 34º do GDPR obriga estas empresas a informar as partes afectadas por uma fuga de informação. Contudo, o prazo de comunicação é impreciso, e permanece ao critério da empresa que foi vítima de um ciberataque, e/ou das autoridades judiciais em caso de investigação. Dados pessoais, sensíveis, críticos e mesmo vitais; o próprio vocabulário utilizado pode levar a um certo grau de confusão.
Em qualquer caso, Ledoux salienta que “tais empresas são muitas vezes contratualmente obrigadas a informar as suas partes interessadas ou clientes. É por isso que é importante ter o apoio de um departamento jurídico competente que forneça informações sobre exactamente o que fazer ou dizer, dependendo da situação”.
Porque é que os peritos recomendam uma comunicação transparente da crise?
Ledoux apresenta a comunicação como “um instrumento táctico para a gestão de crises”. Se feita de forma eficaz, desempenha um papel fundamental para facilitar uma resolução positiva, como ilustra o caso do Hino.
A 27 de Janeiro de 2015, esta companhia de seguros de saúde americana (uma das maiores dos EUA) foi vítima de um ciberataque. A 4 de Fevereiro, a companhia emitiu as suas primeiras declarações públicas, admitindo que tinha sido vítima de um “ataque muito sofisticado”. E pior: os dados de dezenas de milhões de clientes acabaram por cair nas mãos de cibercriminosos.
Nos dias que se seguiram, a Hino enviou mensagens personalizadas a todos os clientes envolvidos, aconselhando-os sobre as medidas a tomar. Embora a situação pudesse ter sido catastrófica para a imagem da empresa, a estratégia da Anthem – tal como a da Norsk Hydro – é regularmente apresentada como um exemplo de profissionalismo e transparência.
Muitos dos efeitos positivos e duradouros de uma abordagem transparente da comunicação de crises podem ser explicados por uma maior consciencialização por parte do público em geral.
Embora anteriormente possa ter havido censura pública a empresas alvo de ciberataques, este talvez já não seja o caso, porque o público “está consciente de que os ciberataques são cada vez mais comuns e podem afectar todas as empresas, mesmo as mais preparadas”, explica Sébastien Viou, Director de Segurança Cibernética da Stormshield.
Quando apresentado com cobertura mediática de um ciberataque, a primeira resposta do público é “descobrir mais sobre como a empresa está a gerir a crise e a lidar com os seus problemas”, mantém Ledoux.
“Eles já não são ingénuos em relação a tais assuntos. Quando uma empresa tenta esconder os efeitos de um ciberataque, tem o efeito de fazer soar sinais de alarme“. Isso tornaria ilógico evitar comunicar por medo de incorrer na ira da opinião pública.
Entretanto, Hentzen salienta que a maioria dos argumentos contra a comunicação transparente apresentam o medo como um denominador comum – e especificamente, o medo de prejudicar as relações comerciais existentes.
No entanto, “é precisamente para isto que serve a comunicação de crise: para dar tranquilidade. Dependendo da situação, a empresa pode não ser obrigada a alertar imediatamente o público, mas precisa de tranquilizar os seus empregados, partes interessadas e clientes. As consequências da crise podem ser igualmente significativas para eles, e negar que esse facto possa ser mais prejudicial para a reputação da empresa que sofreu o ataque”.
Tenha em mente que a agência francesa ANSSI cybersecurity lista os danos à imagem de marca de uma empresa como uma das quatro principais motivações para os ciberataques.
A ANSSI confirma que os ciberataques mais comuns “têm basicamente como objectivo prejudicar a imagem do seu alvo”.
Além disso, Viou lembra-nos que, na sequência dos seus ataques, “não é raro os cibercriminosos realizarem campanhas de comunicação em redes sociais para promover os bens de dados que desejam vender na dark web e/ou prejudicar a imagem de marca da vítima”. Por muito que a empresa tente esconder ou minimizar o impacto do ciberataque, é provável que alguma outra parte se encarregue de divulgar a informação. “É melhor optar imediatamente por uma abordagem transparente, para mostrar que se está a enfrentar e não a fugir”, conclui Ledoux
Como deve comunicar durante o ciberataque?
Para as empresas que desejam comunicar, a questão é como fazê-lo. O primeiro conselho “é agir rapidamente”, diz Duvergé.
Como mencionado anteriormente, a empresa deve assumir que a informação será divulgada mais cedo ou mais tarde.
Contudo, se a própria declaração de uma empresa for precedida por uma série de rumores mais ou menos credíveis, o impacto na confiança do público na marca pode ser devastador.
Entre Novembro e Dezembro de 2013, a empresa americana Target foi vítima de um ciberataque que resultou na circulação de dados bancários para cerca de dez milhões de clientes através da web. A empresa optou por não fazer uma declaração. Infelizmente, isso significou que uma fonte externa foi a primeira a informar o público. Como resultado desta estratégia, a Target foi acusada de ocultar o ataque e o seu potencial impacto no público. Os efeitos sobre a imagem de marca foram desastrosos, e a percepção do consumidor atingiu um mínimo histórico.
Segundo Viou, as informações comunicadas por fontes “externas” à empresa estão a ser cada vez mais utilizadas por cibercriminosos. “Eles vêem-na como uma forma de forçar as vítimas empresariais a pagar resgates (por exemplo, no caso de ataques de resgate), ou de divulgar os dados roubados a potenciais compradores”.
Para evitar sofrer o mesmo destino que a Target, a empresa recomenda, portanto, que as empresas sejam as primeiras a receber as suas comunicações. Esta abordagem é frequentemente referida como “stealing thunder”: a comunicação das empresas deve procurar tirar o vento das velas dos cibercriminosos.
Mas para quem devem ser dirigidas as primeiras mensagens?
Falando por experiência, Hentzen acredita que é imperativo iniciar a fase de comunicação de crise com os funcionários da empresa. Devem ser informados sempre que possível; mas acima de tudo, devem ser tranquilizados sobre o “estado da empresa e o seu próprio futuro pessoal”.
Este é também o momento ideal para lhes imprimir a conduta que se espera deles durante a crise, particularmente no que diz respeito à confidencialidade.
“Serão abordados pela imprensa ou por terceiros, e devem aderir ao plano de comunicação estabelecido. Envolvê-los, portanto, ajuda muito a levar a crise a uma resolução positiva”. E Ledoux sublinha a importância de “não adoptar uma abordagem que seja fria, técnica ou mesmo concebida para induzir a culpa”, o que poderia aumentar a vergonha que pode ser sentida pelos funcionários que não tenham contribuído voluntariamente para a propagação do ciberataque.
“Eles são as primeiras vítimas do ciber-criminoso; e enquanto não houver provas de violação das regras de segurança, devem ser tratados como tal”, acrescenta Viou.
Os pareceres dos peritos estão em conformidade com as recomendações da Agência Europeia para a Segurança das Redes e da Informação (ENISA) e das várias CERT europeias. Ambas as instituições aconselham a comunicação com os vários alvos nesta ordem: funcionários, partes interessadas (ou accionistas), parceiros comerciais (e prestadores de serviços), clientes e, finalmente, a imprensa.
No entanto, a qualidade da informação fornecida deve ser mantida. No entanto, é muito difícil, nas horas que se seguem à descoberta de um ataque cibernético, apurar com precisão o que aconteceu e, portanto, planear uma campanha de comunicação sobre o assunto.
Dependendo do caso específico e da gravidade do ataque, a empresa pode potencialmente obter ajuda das autoridades competentes.
Em França, a ANSSI pode realizar investigações técnicas para ajudar as empresas vítimas a identificar os aspectos chave do ataque.
Isto significa que nenhuma declaração pode ser feita até que o modus operandi do cibercriminoso seja conhecido? “A empresa pode começar por reconhecer o ataque, evitando ao mesmo tempo qualquer especulação.
Pode também explicar como isto afecta a sua capacidade de operar normalmente. Isto tem o mérito de ser transparente e mostrar que a direcção da empresa está a enfrentar as suas responsabilidades”, explica Ledoux.
Este sentimento pode ser aumentado se a comunicação da empresa “vier de um gestor sénior, ou mesmo do director da empresa”, acrescenta Duvergé.
“Este processo dá um rosto humano à comunicação, tornando muito mais fácil o estabelecimento de uma relação de confiança com o público”. “Além disso, se a empresa sente que ainda não é capaz de emitir declarações externas, pode ainda fazer uso de certas entidades e clubes privados, como os Clubes da Segurança da Informação em Rede (Clusir). Aos seus membros é assim garantido um espaço de interacção relativamente confidencial em que o desafio é partilhar as melhores práticas e experiências no domínio da cibersegurança.
E depois do ciberataque?
Vários meses após um ciberataque, algumas empresas produzem um relatório detalhado das suas provações. Este tipo de comunicação tem a vantagem de permitir que outras beneficiem deste feedback.
Viou explica que empresas de cibersegurança como Stormshield estão particularmente interessados em relatórios que detalham os processos de ciberataque e os indicadores de compromisso para as soluções afectadas: “Isto permite-nos estar constantemente em contacto com a realidade no terreno. Por outro lado, “se a empresa continuar a comunicar, mas agora com um enfoque nas acções que levou a cabo e na experiência adquirida, poderá muito bem emergir mais forte”, explica Duvergé.
Uma abordagem mais transparente deste tipo tem ajudado a Target a sair da sua queda inicial. No ano a seguir ao ataque, a nova direcção implementou uma série de projectos de ciber-resiliência no valor de quase 17 milhões de dólares. Ao informar constantemente o público sobre estes desenvolvimentos, conseguiu restaurar a sua reputação, e terminou o trimestre ao mesmo nível de antes do ciberataque.
“Prova de que o público compreende – e pode mesmo perdoar – a falta de segurança… desde que a comunicação se concentre nos argumentos certos”, conclui a empresa.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
