31-10-05 13:15
Kako javnost obavijestiti o gubitku osobnih podataka?
piše ALEKSANDRA ŠTINGL
Priče o krađama osobnih podataka koje su se dogodile u najmoćnijim svjetskim bankama, prestižnim američkim sveučilištima, poznatim osiguravateljskim kućama i filmskim kompanijama već godinama pune novinske stupce. Stručnjaci smatraju da je broj provala puno veći od onoga što se prikazuje u medijima, samo se neke priče vrlo vješto skrivaju od novinara.
Kako smo i na portalu u posljednjih nekoliko mjeseci objavili niz tema o krađi osobnih podataka, ovaj je članak zamišljen kao svojevrsan vodič o tome kako se postaviti prema medijima kada netko provali u bazu osobnih podataka vaših klijenata ili zaposlenika.
Scott Sobel, potpredsjednik washingtonske kompanije Levic Strategic Communication smatra kako tvrtke više ne mogu samo slegnuti ramenima i reći: «Isuse, bio je to nesretan slučaj!» On drži kako su danas ljudi puno više upoznati s IT procesima, pa s pravom mogu početi vjerovati da je kontrola zakazala zbog nečije nemarnosti ili zlobnosti. Zbog toga je, kaže, važno pravovremeno odgovoriti na provalu u sigurnosni sustav neke tvrtke ili organizacije.
Da bi se na taj način reagiralo na provalu u sistem kompanije potrebno je, smatraju stručnjaci, organizirati tim koji bi pratio ustanovljena pravila i protokol u takvim situacijama.
Iskustvo pokazuje kako više nije dovoljno uvesti «vruću telefonsku liniju» na koju se javljaju osobe kojima su ukradeni osobni podaci, a s druge im strane već istrenirani pojedinci pripremaju odgovore, ovisno o prirodi problema.
Jednako tako, nije dobro da na sigurnosnim incidentima, poput krađe osobnih podataka, izolirano rade isključivo IT stručnjaci ili samo osobe zadužene za odnose s javnošću. Protokol o tome koje sve razine treba proći informacija unutar pojedine tvrtke da bi u medije izašla što kvalitetnija, jednostavno treba ranije ustanoviti. «Ako doista želite sagledati dubinu i širinu problema morate uključiti IT službu, pravnu službu te osobe za kontakt s medijima. Dok vi pokušavate razumjeti gdje je došlo do problema, neka vaši odvjetnici započnu s izbjegavanjem rizika od tužbi, dok istovremeno pr-ovci počnu pripremati priopćenja za javnost», slažu se stručnjaci.
No, s priopćenjima ne treba žuriti. «S objavom ne možete čekati dva dana, ali dvadeset minuta možete pričekati. U kriznim situacijama morate pratiti točno određenu proceduru tako da osoba koja se nalazi za mikrofonom zna kako su informacije tekle od trenutka otkrivanja provale u bazu osobnih podataka zaposlenika», ističe Peter Gregory, šef sigurnosne strategije u VantagePoint Security LLC in Bellevue u Washingtonu.
Iz tvrtke mora izaći pametno i logično priopćenje te strategija borbe protiv kradljivaca osobnih podataka, jer će ona biti objavljena u medijima diljem cijele zemlje.
Optužbe da niste reagirali dovoljno brzo da riješite problem mogu se izbjeći pozivanjem konzultanta za IT forenziku, smatraju stručnjaci. «Savjetnika za forenziku pozovite čak i ako o svom IT osoblju mislite da je dovoljno talentirano da učinkovito analizira web logove i ostale zapise. Ovaj potez pokazuje da stvar shvaćate ozbiljno, a dobro je i sa stajališta odnosa s javnošću. Naime, ako vas netko tuži za nanesenu štetu uvijek možete reći da ste iste sekunde kada je provaljeno u bazu podataka unajmili stručnjaka i poduzeli sve što je bilo u vašoj moći», smatra Diana McKenzie, voditeljica IT odjela u pravnoj firmi Neal, Gerber & Eisenberg LLP.
Ako se dogodi da od vas policija zatraži da nikakve informacije ne plasirate u javnost, jer bi to moglo imati negativan utjecaj na istragu, uvijek od policije zatražite dokumentiran zahtjev o tome. Na taj način ćete izbjeći incidente koji bi mogli izbiti kasnije.
Jednako tako, poželjno je odmah uključiti opciju snimanja svakog poteza koji je poduzeo sigurnosni tim. Logovi bi tako trebali uključivati točno vrijeme kada ste poduzimali bilo koji potez. Poželjno je zapisati i sve ljude s kojima ste kontaktirali u rješavanju problema. Na taj je način lakše svima objasniti što se dogodilo, te koliko ste brzo reagirali.
I na kraju, uvijek u kontaktima sa svojim zaposlenicima i klijentima budite razumljivi i umirite ih, jer osobe koje su pogođene ovakvim incidentima često osjete nedostatak empatije za situaciju koja ih je snašla. Susretljiv i zabrinut stav može smanjiti količinu sudskih tužbi i druga svadljiva ponašanja ljudi sklonih parničenju.
Kad se dogodi sigurnosna katastrofa neki bi mogli posumnjati ili izgubiti povjerenje u sposobnost tvrtke da nastavi normalno poslovanje. Zbog toga je najvažnije nastupiti s dobro promišljenim odlukama koje medijima i vašim zaposlenicima daju sliku da vi kontrolirate situaciju i da se s njom znate nositi.
|