Behoud het vertrouwen: communicatie tijdens een cyberincident

Een van de belangrijkste risico’s voor organisaties bij een cyberincident is reputatieschade. Tijdige en correcte communicatie richting de juiste personen en instanties na een incident kan bijdragen om de schade te beperken en het publieke vertrouwen in de organisatie terug te winnen. Dit artikel gaat in op dat scenario en bespreekt enkele tips voor communicatiestrategieën voor organisaties op het moment dat een cyberincident heeft plaatsgevonden.

De doelgroep van cybercrisiscommunicatie hangt grotendeels af van het type incident dat heeft plaatsgevonden. Een cyberincident kan bijvoorbeeld een datalek, uitval van IT-systemen, een natuurlijke oorzaak of een onbedoelde fout omvatten.

Het is verstandig om in een crisiscommunicatieplan vast te leggen welke instanties of groepen standaard benaderd moeten worden om sneller de schade te beperken. Daarbij kunnen ook persona’s worden opgesteld voor elke doelgroep, waarbij de belangen, informatiebehoeften, reputatierisico’s, wettelijke verplichtingen en communicatiemiddelen per persona worden aangegeven. Bij het up-to-date houden van doelgroepen is het belangrijk om de consistentie van de verschillende berichten bewaren. 

Het zorgvuldig kiezen en documenteren van de communicatiemiddelen belangrijk om de verschillende doelgroepen zo goed mogelijk te bereiken. Denk bijvoorbeeld aan:

• Intranet: om interne groepen van actieve berichtgeving te voorzien.
• E-mail: om selecte groepen te informeren.
• Sociale media: om doelgroepen op grote schaal actief over de ontwikkelingen van het incident te blijven informeren.
• Crisiscommunicatieteam: om grip te houden op de stemming van betrokkenen, vragen via kanalen tijdig te beantwoorden en advies te geven wanneer doelgroepen zelf actie moeten ondernemen.

Een doelgroepen-middelenmatrix geeft schematisch sneller duidelijkheid over welke communicatiemiddelen voor welke communicatiedoelgroepen worden ingezet. Bijvoorbeeld:

Een activiteitenplanning kan opgesteld worden als overzicht voor communicatieactiviteiten en onder andere de bijbehorende doelgroep en verantwoordelijke. Een voorbeeld, afgeleid van een activiteitenplanning van de CERT voor gemeenten (IBD):

Om de betrokken doelgroepen positief te stimuleren is het zinvol om bij de communicatieaanpak zowel de feiten te communiceren als een vertaalslag te maken naar de werksituatie en belevingswereld van de doelgroep. Een mogelijke boodschapsstructuur die organisaties kunnen handhaven:

• Wat is er gebeurd? Deel enkel de feiten over een incident en beaam de realiteit van de situatie.
• Wat is de oorzaak? Als een incident net is ontdekt, kan de oorzaak nog onduidelijk zijn. De berichtgeving kan de doelgroep dan voorzien van procesinformatie om hen op de hoogte te houden van het onderzoek.
• Wat zijn de effecten voor de doelgroep? Indien het incident mogelijk impact heeft op de doelgroep van het bericht, moet de organisatie aangeven welke effecten dat zijn.
• Hoe gaat de organisatie het incident oplossen? Onderstreep dat de organisatie de expertise in huis heeft of heeft ingeschakeld om het incident aan te pakken.
• Wat kan de doelgroep nu doen? Vermeld een contactpunt voor mogelijke vragen en zorgen of bied de doelgroep meer zekerheid en vertrouwen door concrete stappen aan te reiken.

Ook bij het formuleren van een boodschap kan het voor organisaties een uitkomst zijn om standaard­boodschappen per doelgroep te documenteren om berichtgeving te versnellen.

Cyberincidenten komen in elke sector voor en de gevolgen daarvan kunnen significant zijn. Daarom is het raadzaam voor een organisatie om een crisiscommunicatiestrategie voor te bereiden om reputatieschade tijdens en na een cyberincident zo veel mogelijk te mitigeren. In dit artikel is uiteengezet welke eerste stappen een organisatie kan zetten bij het communiceren van een cyber-incident, hoe een organisatie de doelgroep en communicatiekanalen kan bepalen, en op welke elementen gelet kan worden bij het opstellen van een goede boodschap. Wanneer deze elementen al zijn vastgesteld in de crisiscommunicatiestrategie wint de organisatie tijd die waardevol is voor het aanpakken van het cyberincident. Dit kan bijdragen aan het behouden van zoveel mogelijk vertrouwen van de klant. Streef ernaar om deze strategie periodiek (minstens één keer per jaar) te actualiseren en de betrokken personen periodiek te trainen en bewust te maken van hun rollen en verantwoordelijkheden.