数据泄露危机管理最佳实践(上)

近年来，许多公司的机密信息接连遭受非法访问， 令这些公司深陷危机，焦头烂额。除了数据泄露外，各大企业或许还面临其他危机。新冠疫情爆发后，各大企业不得不启动危机管理计划;若此前无相应计划，就只得立即制定。设想一下，如果媒体突然报道，您有一家重要客户与某一恐怖组织或不为人知的组织存在直接联系，试图洗钱。您之前已经采取了所有预防措施，但结果会如何?毫无疑问，您的“了解您的客户”和风险管理流程均将受到严格审查。此外，新闻一旦公之于众，又将带来何种影响?

数据泄露事件代价巨大。Ponemon研究院的一份报告指出，数据泄露事件的平均总成本高达386万美元，其中包括:检测与升级成本111万美元、业务损失成本152万美元、通知成本24万美元、事后响应成本99万美元。^[1]当中与“收入损失”相关的成本占比最高，约占总成本的40%。同一份报告还指出，如果企业设有事件响应团队，并预先开展事件响应预演，则平均成本会降低200万美元左右。

本文分为上、下两篇，旨在介绍危机管理的最佳实践，并探讨一些值得钻研的数据。文中提及的最佳实践，或许可以用于多种危机管理，但本文的关注重点是非法访问数据泄露危机。

专家们在某些方面意见一致，在某些方面却争论不休。他们的首要认识是 : 必须未雨绸缪，做好准备。俗话说得好:防患于未然。重点不是此等数据泄漏事件是否会发生，而是何时会发生。

针对数据泄露的风险敞口，必须实施信息安全、计算机安全控制措施、隐私政策、培训课程等举措。事实上，成功打造出安全文化至关重要。 ^[2]本文对上述维度绝非置之不理，只是希望重点探讨危机管理流程的其他相关方面。

预防措施(危机前)

危机预防措施涉及多个方面、众多部门，自然也涉及高级管理层。有些预防措施偏重技术层面(适当的管理控制措施，或者特定的IT安全措施)，有些偏重财务层面(购买网络保险^[3])，有些则偏重战略管理层面(整体风险管理与合规)。

以下是危机预防的最佳实践:

• 建立危机管理团队

• 制定危机管理计划

• 制定公关计划

建立危机管理团队

如需进行危机管理，首要的预防举措之一，就是建立一支多领域危机管理团队，并提前考虑到成员出差、度假等因素的影响，确定好后备力量。^[4]要实现此目标，需要明确每位团队成员的职能与责任，并确定好负责人。^[5]这支团队的主要任务是:^[6]

• 制定(或更新)危机管理计划

• 针对危机管理计划，为团队成员和所有员工提供培训

• 模拟不同的危机情境

鉴于危机管理具有重要的战略意义，应在团队里安排一名高级管理人员。^[7]此人除了能够从高级管理层的角度给予支持以外，也能成为团队与高管及董事会成员的联系人。Experian强调:“高管层的参与，很大程度上决定了数据泄露响应计划能否成功地……打造出网络安全文化。”^[8]

危机管理团队应由哪些人组成，相关人士的观点不一。不过，由于本文探讨的是数据泄露，因此团队中至少应有:

• 一位高级管理人员

• 一名IT(或安全)专家

• 一名法律顾问

• 一位公共关系专家

• 一名人力资源负责人

此外，团队应拥有可自由裁量的预算，能够视情况咨询或聘用外部资源。若危机真的发生，绝无时间协调相关资源，苦苦等待批复。

制定危机管理计划

完成职能与责任的分配之后，下一步就是制定危机管理计划。正如Experian所述:“危机管理计划是一切企业网络安全战略的重要组成部分。^[9]危机管理计划不仅能够指引组织内部成员的行动，还有助于减少响应时间，降低财务影响。^[10]由于威胁因素、经济环境等瞬息万变，相关技术日新月异，危机管理计划需要定期更新。^[11]

危机管理计划的主要构成如下:^[12]

• 危机管理团队成员的姓名与职能，后备人员、负责人的身份信息

• 危机管理团队成员的职能与责任

• 需要遵循的规程

• 外部利益相关者(如:征信机构、执法人员、监管机构、外部法律顾问、专门从事数据泄漏调查的调查公司、可能受影响的业务合作伙伴等)的联系人

• 公关计划(见下文)

• 业务连续性应急方案

鉴于商业勒索有增无减，企业机构应针对此类威胁制定危机管理计划，并对可能面临此类情况的员工开展培训。^[13]此外，建议开设加密货币账户，因为加密货币是此类犯罪的首选支付方式。^[14]

上述所有步骤，均有助于组织机构节省宝贵时间，尽快恢复正常运作。最后，还需确定几处战略性位置，并要求危机管理团队成员在该等位置保存危机管理计划的若干份复印件，因为若网络黑客发起阻断服务攻击，组织机构内部人员有可能长时间无法进入系统。

制定公关计划

最重要的预防措施之一，是预先准备好公关演讲文稿，以便组织机构发言人在数据泄漏事件发生后发表。[15]文稿的措辞、语调，以及组织机构发表响应的速度，均具备重大战略意义。在这些方面做得妥帖，有助于保护组织机构的声誉，而且有可能减少财务影响。

公关计划至少应包含:

• 公关团队成员、后备人员和负责人的姓名与职能组织机构的官方发言人 (应为公共关系专家)

• 公关团队成员的任务与职责

  公关计划还应包括的要素 :^[16]

• 设立一个危机网站，并预先获取批准。若发生危机，启用、完善并更新该网站

• 准备好高级管理层新闻稿草案，并预先获取批准。若发生危机，根据具体情况进行相应修订，再行发布

• 准备好符合监管合规要求的(监管)公告，并预先获取批准

• 组织危机应对模拟简报会，帮助组织机构内成员做好应对危机的准备。正如Communispond首席执行官Bill Rosenthal所言:“做好准备，才能从容回答棘手问题。”^[17]

公关计划需要规定，若发生数据泄露危机，应如何通知组织机构员工、可能已遭信息泄露的个人用户、媒体、相关机构和业务合作伙伴，包括主要征信机构(Equifax、Experian,TransUnion 等):

• 如需联系员工，最好通过内网联系。若发生危机，应尽快通知员工，尤其是客服中心的员工。^[18]根据Coombs的说法，“了解情况的员工，就如同一条额外的公关渠道，可以通过这些员工联系其他利益相关者。”^[19]此外，还可以通过内网联系业务合作伙伴。

• 至于(疑似和潜在)受害者，可采取多种途径通知:新启用的网站、其当前账户、电子邮件、个人信件、传统媒体、社交媒体等。建议“采取[所有]必要措施，维护客户的信任度和忠诚度。”^[20]

总之，数据泄露代价高昂，其影响难以消弭。本文(上)至此接近尾声。本篇主要阐明，组织机构须为数据泄露事件做好准备。要想实现这一目标，就需建立一支职责明确的危机管理团队，制定健全的危机管理计划(包含公关计划与应急计划，列清程序、外部联系人等)并适时更新。

本文(下)将介绍应对数据泄露危机的最佳实践，探讨跟进措施并给出几点建议。

参考文献