В 1985-м году Лиза Белкина опубликовала в The New York Times занятную статью о том, как Procter & Gambles боролась с инцидентом ИБ с негативом в отношении себя. В 1982-году в США кто-то стал распространять слухи о том, что в шоу то ли Мерва Гриффина, то ли Фила Донахью, P&G признала, что поддерживает организацию "Церковь Сатаны". И листовки об этом были разосланы по многим американцам, 15 тысяч из которых позвонили в P&G с гневными заявлениями.

В 1985-м году история повторилась. Кто-то стал распространять слухи о том, что P&G не только скрыто поддерживает сатанистов, но и открыто пропагандирует свою связь с дьяволом. Логотип содержит перевернутое число 666, на нем изображены рога Сатаны и присутствует 13 звезд, складывающихся в тоже число 666. Компания также стала получать звонки тысячами, что привело к принятию целого ряда экстренных решений:
🧻 Был организован бесплатный телефонный номер, чтобы перенаправить на него звонки вместо основного номера компании
🧻 Наняла два детективных агентства, которые провели расследование инцидента и попытались найти источник распространения слухов
🧻 Созвала пресс-конференцию, на которой было рассказано, что логотип известен еще с 1882 года, что 13 звезд - это 13 колоний и т.п.
🧻 Призвала на помощь религиозных лидеров, которые в своих проповедях утверждали, что это все слухи и неправда.

После этого несколько виновников распространения слухов были задержаны и переданы правоохранительным органам, которые и возбудили дела против них. Но только после того, как были реализованы первые экстренные шаги, снявшие первую негативную реакцию и позволившие взять ситуацию под контроль.

К чему эта долгая прелюдия и причем тут кибербез? Все просто. Замените "слухи о поддержке сатанистов" на "сведения об утечке ПДн клиентов" и вы поймете, как вам надо выстраивать антикризисный PR в такой же ситуации:
🔤 Первая реакция должна быть незамедлительной, в течение 2-4 часов после публикации данных об инциденте. Необязательно говорить/писать что-то очень много и детально. Достаточно просто показать, что в курсе и что вы начали разбираться в ситуации. Лучше аудитория ждет вашего следующего шага, чем верит анонимным Telegram-каналам и СМИ, использующим непроверенные "факты".
🔤 Второй контакт с внешним миром должен быть более развернутым. В нем надо показать, что вы отнеслись к фактам, пусть и пока непроверенным, серьезно. Что топ-менеджмент в курсе происходящего и вовлечен в решение проблемы. Что вы привлекли внешних экспертов, которые помогают вам в расследовании. Что мы открыты и ничего не скрываем.
🔤 Третий контакт может быть уже после проведенного вами расследования с раскрытием всех деталей, которые показывают вашу невиновность или вину. В первом случае вы делитесь деталями расследования и найденным виновником всех проблем (если он есть). Во втором случае стоит объяснить причины произошедшего, извлеченные уроки и действия по недопущению схожих инцидентов впредь.

Учите основы PR - это тоже зона внимания руководителя ИБ.

Интересное исследование тут нашел, в котором опрашивали CISO по разным темам и вопросам. И вот один из них касался тех проблем, с которыми сталкиваются руководители ИБ и которые не имеют адекватного или достаточного количества решений сегодня на рынке. Управление рисками взаимодействия с третьими лицами (1️⃣) и борьба с внутренним человеческим фактором (2️⃣) - конечно топчик и уже не первый и даже не второй год. По мнению НКЦКИ атаки через подрядчиков, особенно ИТ и ИБ, - сегодня прямо бич какой-то. Безопасность искусственного интеллекта (3️⃣) относительно новая, но тоже понятная проблема. Одно дело применять ИБ в ИИ и совсем другое обеспечивать ИБ в ИИ 🧠

Замыкает "великолепную семерку":
4️⃣ Дашборды для руководства по вопросам ИБ
5️⃣ Оптимизация затрат на SecOps
6️⃣ Безопасность open source
7️⃣ SOCи следующего поколения.

Так что если вы решили ворваться на рынок кибербеза или развить свой портфель решений по ИБ, то вам точно не надо пилить свой NGFW, NTA, WAF, VM или SIEM...