网络事件中有效沟通的指南

支持各种规模的组织在网络安全事件之前、期间和之后管理其沟通策略。

本指南的背景

网络安全事件每周都会影响英国的组织，因此做好准备非常重要。

在事故发生时，组织通常优先考虑技术响应，而将沟通放在次要位置。但与员工、利益相关者、客户和媒体的有效沟通对于塑造组织形象至关重要。

适合谁？

本指南支持各种规模的组织在网络安全事件之前、期间和之后管理其沟通策略。 

即使您的组织没有专业的沟通团队，本指南仍然有助于您制定发生事件时应实施的策略。

原则

该指南概述了需要遵循的三项核心原则：

1. 提前制定沟通策略

虽然您无法预测网络事件发生的时间和性质，但有效的准备将帮助您的通信团队减轻有害影响。

概述角色、职责和沟通协议 

• 为各种沟通场景起草预先批准的模板，包括媒体请求、内部更新和客户通知。模板应该能够适应不同的类型和攻击严重程度。

• 定义明确的程序来通知内部利益相关者（包括员工和董事会成员）以及外部各方（如客户和利益相关者）。

• 在发生事件时，确定组织中的个人作为官方发言人。确保他们接受过危机沟通方面的培训，并且了解您的事件信息传递策略。

外部拓展

• 确定您需要告知事件及其造成的任何干扰的关键利益相关者。

• 了解可用的沟通渠道，以帮助您联系利益相关者。这可能包括邮件列表、内部通讯、社交媒体渠道和记者联系人。

• 为了帮助您了解公众的看法，请建立系统来监控媒体和社交媒体的报道。这也有助于您及时回应错误信息或谣言。

测试并审查计划

• 定期进行桌面练习和模拟，以测试策略的有效性并确定需要改进的地方。这也有助于每个人了解他们在危机中的角色和责任。 

• 定期审查和更新您的沟通策略，以吸收从桌面演习、威胁形势的变化和监管要求的任何变化中得到的经验教训。

设置替代通讯方式

• 在网络事件发生期间，您通常的沟通渠道可能无法使用。您可能需要建立其他方式与员工、利益相关者和客户保持联系，例如使用电话线、消息应用程序或社交媒体平台。

• 如果可能影响到大量人，那么可能值得建立专门的客户支持热线、电子邮件地址或平台，以便客户提出问题、获得帮助和接收更新。 

2. 与各方清晰沟通，并根据需要定制信息

在发生事故时，最佳做法是提供利益相关者、客户和媒体需要知道的清晰信息，同时注意不要泄露可能增加组织或客户风险的信息。

一个组织通常需要考虑多个不同的群体，其中可能包括员工、客户、利益相关者和媒体。您的沟通应该解决每个群体的具体问题和需求，同时确保核心观点在各个群体之间保持一致。

与关键员工建立定期内部会议并在可能的情况下邀请通讯团队成员参加这些会议可能会很有用，或者至少将通讯作为常设议程项目，以提供意见和态势感知更新。

管理您自己的通讯

• 您的沟通应清晰、一致、权威、易懂且及时。尽可能确保您正在采取正确的步骤来应对攻击。

• 透明度有助于与利益相关者建立信任和信誉。致力于与利益相关者进行透明沟通，并及时更新事件、其影响和您的响应。 

• 提供有关影响的准确信息，避免夸张。

• 避免说出以后可能需要收回的话。例如，业务部门可能会施加内部压力，要求保证一切都在掌控之中，但要小心，不要歪曲或淡化事件，以免造成未来的困难。例如，如果这种理解在以后的调查中发生变化，那么声称对员工或个人数据没有已知影响可能会在以后带来问题。

• 利用可用资源。如果您需要客户或合作伙伴采取某种行动，请提供适当的指引，例如，引导客户参阅 NCSC 关于管理数据泄露影响的指导。

• 如果个人可能受到直接影响，请在您的沟通中反映这一点。例如，对医疗保健提供者的攻击应该承认对服务用户的实际影响，例如取消预约，而不仅仅是事件的技术方面。

管理外部因素 

• 谨慎处理媒体的推测性报道，例如关于影响的不准确报道或暗示个人数据已被泄露（但事实并非如此）。通过主动管理沟通，您可以控制事件的叙述。强调响应工作、为防止未来发生事件而采取的措施以及对维护利益相关者利益的承诺。
  

• 避免损害监管机构或执法机构未来调查的完整性。您仍然可以提供符合事实且与调查进展一致的更新，而无需透露敏感细节。您还应避免对事件的原因或程度或幕后黑手进行猜测或过早得出结论。

• 虽然有些团体比其他团体需要有关该事件的更详细信息，但您应该意识到这些信息可能被泄露给媒体的风险。

提前准备好答案和声明

除了准备一份正式的媒体声明外，您还可以制定一份问答文件，考虑如果事件公开，记者可能会问什么。这将有助于您与利益相关者保持信任，并避免潜在的声誉损害。示例问题可能包括：

• 哪些服务受到影响？

• 什么时候恢复服务？

• 此次袭击的幕后黑手是谁？

• 这是勒索软件攻击吗？

• 是否已通知相关监管机构，例如信息专员办公室？

3. 中长期善后工作

网络事件的影响可能类似于地震。网络事件刚发生时，通常会立即产生冲击波，因为受害组织会急于找出技术原因，并在与员工、利益相关者和媒体的沟通中解决运营影响。

根据事件的不同，恢复时间可能从几天到几个月不等。您应该在沟通响应中考虑到这一点。

当您在中长期内开发消息传递和沟通时，请考虑：

• 定期更新事件响应工作的进展情况，包括已实现的里程碑和预计的解决时间表。在初始阶段之后，外部因素（例如被盗数据泄露到暗网或监管机构发出处罚）可能会再次浮出水面，因此您应该为这些可能性做好准备。 

• 传达您对影响的评估更新，包括潜在数据泄露的程度、恢复状态和补救措施。

• 继续与主要利益相关方保持联系，提供最新信息、解决问题并在整个恢复过程中保持透明度。这也有助于重建与利益相关方的信任和信誉。

• 保持与媒体的开放沟通渠道，及时透明地提供最新信息并回应询问，以应对负面宣传和错误信息。

• 分享从事件响应过程中获得的见解和经验教训，以及为增强未来事件的恢复力和准备而采取的行动。NCSC 鼓励通过透明度来增强英国的集体恢复力。例如，大英图书馆在2023年10月发生勒索软件攻击后发布了一份“经验教训”报告。虽然并非所有组织都愿意分享这种程度的细节，但它是一个很好的例子，说明了可以做些什么来支持他人的恢复力和理解力。

事件发生后，应该检查沟通响应并更新策略以反映需要做出的任何更改。这可以包括与内部和外部的利益相关者交谈，以了解消息的接收情况以及可以改进的地方。

编译自：英国NCSC

— 欢迎关注