Информирование об утечках: основные правила

Информирование об утечках: основные правила
Продолжим серию постов на тему информирования пострадавших об утечках, которые у нас шли всю эту неделю. Сегодня поговорим о том, как правильно это сделать.

При информировании требуется соблюдать некоторые правила. Прежде всего, не нужно думать, что клиенты хорошо разбираются в  проблемах безопасности, а следовательно, им будет достаточно лаконичного сообщения о данных, которые утекли, когда утекли и, может быть, куда. Большинство из них поймут из такого сообщения только то, что компания допустила некий промах. Так что непременно нужно пояснить, какие проблемы ожидают в случае такой утечки, и что требуется предпринять для того, чтобы таких проблем не последовало. Необходимо также создать максимально подробную (оптимальнее всего даже иллюстрированную) инструкцию, понятную каждому. Для примера – в том случае, если «утекли» пароли от сайта, необходимо разослать специальное предупреждение, призывающее пользователей сайта сменить свои пароли.

Помимо инструкции, клиентам необходимо предложить и некоторую компенсацию за причиненные неудобства. Не стоит делать такую компенсацию большой: тут даже важнее психологический фактор, когда клиенту компания может предложить что-то за то, из-за чего он может пострадать. Можно предоставить некоторую скидку на новую покупку у предприятия, или же увеличить период действия уже приобретенной клиентом услуги – тут всё зависит от того, чем компания занимается. Как показала практика, очень большая часть клиентов впоследствии быстро забывает о полученной как компенсация скидке – она важна им непосредственно в момент получения.

Некоторое внимание нужно уделить работе со СМИ, ведь они, если компания достаточно известная, могут проявить интерес к инциденту. Тут также важно держаться позиции «да, ошибка была допущена, однако сейчас мы прикладываем все силы к устранению ее последствий». «Жареного» материала при данной позиции компании у СМИ не получится, а значит, и резонанса, возможно, удастся избежать.

Подводя итог, можно сказать, что не сообщать клиентам о случившейся утечке информации было бы для самой компании гораздо хуже, чем сообщать. И намного лучше, если клиент получит информацию об утечке из самой компании, чем узнает о ней из СМИ или сети интернет.
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.