Спасти утопающего: как бизнесу восстановить имидж после утечки данных клиентов
Фото: Дмитрий Духанин / Коммерсантъ / Legion-Media
За последние месяцы информационное пространство сотрясли сразу несколько бизнес-скандалов. В Сеть утекли данные десятков тысяч пользователей «Яндекс.Еды». Затем СМИ сообщили о сливе данных из «Гемотеста», а накануне карту утечки из «Яндекса» дополнили информацией о его пользователях из СДЭКа, Wildberries и других сервисов. Такие события сильно бьют по имиджу компаний — доверие к ним снижается, от них уходят клиенты, а некоторые попутно подают на своих обидчиков в суд. Как спасти свою репутацию после подобных провалов, журнал «Компания» разбирался вместе с экспертами.
1. Не молчать
Утечка данных — серьезное негативное событие в жизни компании. Это своего рода триггер, который показывает, как бренд поддерживает клиентов в тяжелые времена. «Для бизнеса утечка — это стресс-тест и проверка на открытость. Если ты ее не прошел, то в долгосрочной перспективе столкнешься с подозрительностью и недоверием», — говорит эксперт по управлению репутацией агентства Markway Жанна Власова.
По ее словам, первое, что должна сделать компания после слива данных, — это дать публичный комментарий. Желательно, чтобы это было сделано в первые часы кризиса, — компания должна показать, что она в курсе проблемы и активно ее устраняет.
«Нельзя отмалчиваться. “Яндекс.Еда” прокомментировала ситуацию только через месяц после утечки, и это худшее, что можно сделать. При этом сам кризис легко можно было предугадать», — говорит гендиректор коммуникационного агентства PR Partner Инна Анисимова.
В подобных случаях компания должна работать на опережение, продолжила эксперт. Необходимо заранее составить папку, где будут прописаны 10–20 основных кризисов и способы реагирования для них. Туда же нужно прикрепить position paper — документ со всеми заявлениями, которые будут использоваться в каждом конкретном случае.
«Неважно, по каким причинам произошла утечка, из-за халатности или технической ошибки, по каждому случаю должен быть подготовлен пример заявления, чтобы в кратчайшие сроки его можно было отправить лояльным СМИ», — говорит Анисимова.
2. Бороться со слухами
Второй важный момент — то, как информация об утечке подается в инфополе. Бизнесу нужно организовать мониторинг упоминаний в Сети и оперативно реагировать на сообщения, чтобы пресекать слухи о себе. Для этого в компании формируется целый штаб.
При этом большую роль в «образе утечки» играет и то, как на нее отреагировала сама компания. «Скажем, если вы RuTube и у вас лег сайт, нужно объяснить пользователям, что их данные останутся в сохранности и причин для паники нет, а не оставлять их в неведении. Иначе ваши клиенты завалят службу поддержки вопросами и создадут антипиар бренду, жалуясь на работу компании в соцсетях», — говорит Анисимова.
Большая ошибка, которую может совершить бизнес, — закрыться от клиентов и СМИ, добавляет Жанна Власова. Она напоминает, что из неопределенности всегда рождаются слухи, а из них — неуправляемые репутационные проблемы.
«Если компания закрывает комментарии, недовольные клиенты перемещаются на отзовики, паблики, блоги, форумы и мгновенно обрушают рейтинг. Волну недовольства нужно взять под контроль сразу же после обнародования информации об утечке», — считает эксперт.
3. Никакой жертвенности
Удержать клиентов после утечки можно несколькими способами. Первый — индивидуально отрабатывать претензии пострадавших. Так компания сможет избежать коллективных исков (чего не удалось сделать «Яндекс.Еде») и прямых убытков, связанных со штрафами за распространение персональных данных.
Второй аспект — это восстановление доверия со стороны общественности. «В ответ на кризис во все каналы коммуникации нужно нести посыл об улучшении информбезопасности. Такие сообщения должны стать частью регулярной новостной повестки», — говорит Власова.
Перебарщивать с задабриванием клиентов после утечки не стоит. «Не надо уходить в позицию жертвы и раздавать промокоды, которые сами по себе говорят “мы виноваты”. Лучше сказать, что компания направила средства на усиление службы охраны или команды, которая занимается защитой персональных данных», — говорит сооснователь Vinci Agency Александр Изряднов.
При этом не нужно говорить, что проблему решили, просто уволив причастных к утечке. «Важно привести контраргументы, в которые люди точно поверят. Например, сказать еще про одну степень защиты данных, не вдаваясь в подробности», — сказал эксперт.
4. Заняться безопасностью
Помимо пиар-усилий, огромное внимание нужно уделить корню проблемы — информационной безопасности. Начать следует с аудита работы с данными — бизнес должен понять, какие данные он собирает и для чего. «Нередко компании просят клиентов предоставить как можно больше информации о себе. Однако в реальности им это не так уж и нужно», — говорит исполнительный директор IT-компании HFLabs Константин Степанов.
После утечки бизнес обязан:
Проверить, в каких системах хранятся сведения о клиентах. В идеале их персональные данные и транзакции нужно хранить в разных местах. Тогда в случае утечки в открытом доступе не окажется полный пакет информации о человеке (его номер телефона, адрес проживания вместе с суммами покупок и магазинами, где они совершаются).
Выяснить, кто имеет доступ к персональным данным клиентов внутри компании. Современное ПО позволяет отследить, кто и когда открывал карточки клиентов.
Заново рассказать сотрудникам о мерах контроля за ними. Это лишит их соблазна нарушить закон и, к примеру, подработать на черном рынке «пробива».
Важно не хранить данные бывших клиентов и архивы старых систем, которые могли быть защищены не так хорошо, как этого требует сегодняшний день. Не делать доступ к данным клиентов слишком сложным — иначе сотрудники начнут копировать данные на свой компьютер, и риски утечек возрастут. У сотрудников должен быть доступ только к тому, что им необходимо для выполнения рабочих задач. В противном случае риск утечек и нарушения целостности данных повышается.
«Например, кто-то из работников, осведомленных о предстоящих значимых изменениях в организации, может передать сведения в СМИ или помогать знакомым, развивающим свой инвестиционный портфель. Обиженные сотрудники при увольнении могут «прихватить» с собой базу данных клиентов, поэтому однозначно не стоит оставлять без внимания конфликтные ситуации в коллективе», — говорит финансовый директор Cross Technologies Екатерина Афанасьева.
5. Знать, что утечка не конец света
После того как все эти шаги будут проделаны, компании остается выйти с еще одним заявлением — публичным комментарием по итогам разбора полетов. Важно обозначить, что было сделано, чтобы утечка не повторилась, таким образом срезюмировав итоги работ.
«Если утечка персональных данных переросла в серьезный репутационный кризис, здесь уже не обойтись простым информированием. Потребуются масштабные PR-проекты для восстановления доверия», — говорит управляющий партнер коммуникационного агентства Fresh Russian Communications Ксения Алексеева.
По ее словам, клиентам все же можно предоставить бонусы и скидки, однако неправильно делать это без извинений и реальных действий. Это создаст у клиентов впечатление, что компания не понимает всей серьезности проблемы, и, возможно, даже не планирует ее решать.
Говорить о том, что утечка — безнадежный имиджевый кризис, неправильно, считает Жанна Власова из Markway. В сознании потребителей такие вещи чаще всего не означают мгновенную потерю личных средств.
«Многие думают: "Да, вред нанесен, но абстрактный и кому-то другому". Так что вряд ли после новостей люди массово перестанут заказывать бургеры в "Яндекс.Еде" и сдавать анализы в "Гемотесте"», — заключила эксперт.
Подписывайтесь на нас:
Еще по теме
