Об эксперте: Александр Изряднов, основатель PR-агентства Vinci, которое специализируется в том числе на антикризисных коммуникациях ИТ-сектора.
Первое и самое главное, что нужно запомнить: узнали о взломе очередной базы данных — меняйте пароли. Это нудно, но просто и эффективно. Причем менять желательно все пароли на всех порталах и сервисах, где может храниться хоть сколько-нибудь значимая информация о вас, ваших счетах и личной жизни. Если кто-то всерьез заинтересуется вами, он пойдет по цепочке от менее к более защищенным ресурсам, отправляя запросы на восстановление данных для входа и анализируя связки логин–пароль, постепенно продвигаясь к наиболее ценным данным.
Второй этап — более общий и, на самом деле, принципиальный. Попробуйте вспомнить: вам когда-нибудь звонили люди с тревожными голосами и внушали уверенность, что с вашей карты что-то переводят? Ну, или химчистки, стоматологии, остеопаты и юристы, приглашающие на бесплатный сеанс, осмотр, диагностику? Если нет, то вся информация дальше не для вас — можете ознакомиться с ней для общего развития. Но вряд ли такие люди найдутся.
А если вы из большинства людей, которым поступали такие звонки, то следующее задание — для вас, и оно «со звездочкой». Попробуйте посчитать, сколько раз и где вы оставляли как минимум телефон, имя и, возможно, адрес электронной почты. В тех же автосервисах, на автомойке, частной поликлинике, салоне красоты. А теперь, вне зависимости от получившегося числа, запомните две важные вещи.
- Во-первых, вы уже давно и настолько активно делитесь сокровенным, что ваша «конфиденциальность» существует только в вашем же воображении, а на деле она ограничена исключительно техническими возможностями мошенников разной степени вредности.
- Во-вторых, попробуйте спокойно оценить стоимость утечки. Предположим, вы из тех, чьи личные данные стали общественным достоянием из-за слитой базы «Яндекс.Еды». Не вы одни, а наравне с сотнями тысяч других имен и фамилий. Прикиньте, кому нужны вы, именно как личность, а не как строка в массиве данных?
Учтите, если вы представляете реальный интерес для очень «заряженных» злоумышленников, они в любом случае узнают все, что им нужно, — технологии и инструменты персональной охоты лежат далеко за пределами баз данных, утекших в сеть из-за уволившегося сотрудника, решившего отомстить своему начальству. Ну а большую часть того, что выплескивается с очередной базой данных, может выяснить о вас вообще любой уверенный пользователь сети Интернет. Росреестр, Росимущество, контакты на сайте вашей компании — если покопаться, то несложно завладеть увлекательной, но в целом абсолютно бесполезной информацией.
Как вообще могут быть использованы данные из ворованных баз?
Есть критические случаи — это касается номеров счетов, карт и паролей от банковских сервисов. Тут, очевидно, не обойдется без финансовых потерь. Правда, если хакеры умные, то вы их и не заметите: лучше снять по полтора доллара с миллиона пользователей в течение полугода и сделать это по-тихому, чем стащить все до копейки и спровоцировать немедленную активизацию служб безопасности всех уровней.
Но чаще всего (и все последние крупные сливы в Рунете были именно такими) речь идет об очередной базе данных для обзвонов, «посевов», то есть для банального спама. Вреда от него чуть больше чем пользы, но это не смертельно и никак не бьет по кошельку.
Теперь поговорим о репутации и оценим действия компании, упустившей эти данные. Можно ли ей доверять после случившегося и стоит ли оставаться ее клиентом? В этом смысле важны несколько параметров.
Кто первым сообщил о происшествии и почему это важно?
Худший сценарий — инсайдер из самой компании. Это говорит о том, что внутри нее есть разобщенность и отсутствует контроль: часть сотрудников ворует, другая ищет справедливости на стороне при полном бездействии начальства. Иначе как объяснить то, что к аудитории обратился не CEO и не директор по безопасности, а безымянный доброхот?
Чуть лучше, когда сообщение приходит от аналитиков, экспертов — в общем, от третьих лиц. Это значит, что с большой долей вероятности в компании знают о случившемся и что-то делают, чтобы устранить последствия или залатать дыру, через которую произошла утечка. Но почему-то не хотят честно рассказать о проблемах. Это скорее не плохо, а глупо.
Наиболее предпочтительный вариант — проактивная реакция руководства сервиса, публичное обращение к пользователям, подробная и многоступенчатая коммуникация, которая включает несколько разделов. Для клиента тут важен сам факт обращения.
На мой взгляд, самый неподходящий и проигрышный вариант — приносить извинения и говорить, что у всего коллектива аж лбы покраснели, так они страдают за пользователей. Повинная немного абсурдна еще и потому, что из нее следует простой вывод: до самого момента происшествия о безопасности особо не думали, работали над ней плохо и теперь приходится просить прощения за экономию средств и недостаток компетенций. Но я полагаю, вставая на место ИТ-компании, что дела там обстояли иначе?
Дополнительные факторы, которые делают подачу информации через признание вины бессмысленной, — особенности российского рынка и психологии людей. Первый весьма монополизирован, и у клиентов крайне редко есть реальная возможность убежать к конкурентам: пользователи все равно останутся, извинится перед ними компания или нет. С точки зрения психологии, забыть и простить человеку будет тем проще, чем честнее и последовательнее ведет себя виновник разочарования.
Идеальная схема поведения компании
Итак, об утечке данных сообщает сама компания, а не молчит до тех пор, пока весь рынок не покажет на нее пальцем (и еще немного после этого). Второе: главная тема коммуникации — меры, которые предприняты, чтобы предотвратить повторный инцидент. Тут может быть даже сообщение о переносе серверов в труднодоступные районы, хоть на Луну, все равно никто не проверит (но Луна все же должна вызвать сомнения, если не в искренности, то во вменяемости).
По мере работы над проблемой компания должна оповещать пользователей о проделанной работе и спокойно рассказывать, где кто и что усилит, упрочит и почему от этого всем будет хорошо. А устраивать чиновничью порку — проводить показательные увольнения на потеху толпе или в назидание подчиненным — мера настолько крайняя и экстраординарная, что к ней лучше не прибегать. В любом случае она будет истолкована негативно: мол, все это время за ценные данные отвечали олухи, которых, видимо, наняли те, кто не сильно лучше, а следовательно никаких гарантий отсутствия новых проблем еще долго никто не даст, и вообще неизвестно, что там творилось все эти годы.
Промокоды и скидки в знак извинения
Как специалист по PR-кампаниям, я бы советовал не прибегать к подобной практике. А как пользователь — пользователям советую относиться к таким дарам раздраженно-настороженно. Есть целый пласт не самых приятных выводов, которые можно сделать из как бы материальных извинений. Начать с того, что по сути они ничего не стоят — это не деньги, а в лучшем случае отказ от части прибыли.
Допустим, все же у них есть ценность, но тогда почему эти средства не пошли на укрепление систем безопасности? И да, предположим, отступные реальны, но насколько они соответствуют нанесенному урону? Будь он действительно большой, несколько сотен рублей ему не соответствуют, даже моральный ущерб в суде — это, как правило, 10 тысяч и выше. Но, как мы договорились в начале, он почти наверняка невелик, так что пусть лучше компания потратит ресурсы на собственное развитие. В конечном счете, от этого выиграют все, в том числе и пользователи.