Top.Mail.Ru
$ 53.13
£ 65.52
¥ 39.48
 55.87
 7.97
Нефть WTI 112.53
GOLD 1825.67
РТС 1428.07
DJIA 31438.26
NASDAQ 11524.55
BTC/USD 20659.00
бизнес

Спасти утопающего: как бизнесу восстановить имидж после утечки данных клиентов

Фото: Дмитрий Духанин / Коммерсантъ / Legion-Media Фото: Дмитрий Духанин / Коммерсантъ / Legion-Media

За последние месяцы информационное пространство сотрясли сразу несколько бизнес-скандалов. В Сеть утекли данные десятков тысяч пользователей «Яндекс.Еды». Затем СМИ сообщили о сливе данных из «Гемотеста», а накануне карту утечки из «Яндекса» дополнили информацией о его пользователях из СДЭКа, Wildberries и других сервисов. Такие события сильно бьют по имиджу компаний — доверие к ним снижается, от них уходят клиенты, а некоторые попутно подают на своих обидчиков в суд. Как спасти свою репутацию после подобных провалов, журнал «Компания» разбирался вместе с экспертами.

1. Не молчать

Утечка данных — серьезное негативное событие в жизни компании. Это своего рода триггер, который показывает, как бренд поддерживает клиентов в тяжелые времена. «Для бизнеса утечка — это стресс-тест и проверка на открытость. Если ты ее не прошел, то в долгосрочной перспективе столкнешься с подозрительностью и недоверием», — говорит эксперт по управлению репутацией агентства Markway Жанна Власова.

По ее словам, первое, что должна сделать компания после слива данных, — это дать публичный комментарий. Желательно, чтобы это было сделано в первые часы кризиса, — компания должна показать, что она в курсе проблемы и активно ее устраняет.

«Нельзя отмалчиваться. “Яндекс.Еда” прокомментировала ситуацию только через месяц после утечки, и это худшее, что можно сделать. При этом сам кризис легко можно было предугадать», — говорит гендиректор коммуникационного агентства PR Partner Инна Анисимова.

В подобных случаях компания должна работать на опережение, продолжила эксперт. Необходимо заранее составить папку, где будут прописаны 10–20 основных кризисов и способы реагирования для них. Туда же нужно прикрепить position paper — документ со всеми заявлениями, которые будут использоваться в каждом конкретном случае.

«Неважно, по каким причинам произошла утечка, из-за халатности или технической ошибки, по каждому случаю должен быть подготовлен пример заявления, чтобы в кратчайшие сроки его можно было отправить лояльным СМИ», — говорит Анисимова. 

2. Бороться со слухами

Второй важный момент — то, как информация об утечке подается в инфополе. Бизнесу нужно организовать мониторинг упоминаний в Сети и оперативно реагировать на сообщения, чтобы пресекать слухи о себе. Для этого в компании формируется целый штаб.

При этом большую роль в «образе утечки» играет и то, как на нее отреагировала сама компания. «Скажем, если вы RuTube и у вас лег сайт, нужно объяснить пользователям, что их данные останутся в сохранности и причин для паники нет, а не оставлять их в неведении. Иначе ваши клиенты завалят службу поддержки вопросами и создадут антипиар бренду, жалуясь на работу компании в соцсетях», — говорит Анисимова.

Большая ошибка, которую может совершить бизнес, — закрыться от клиентов и СМИ, добавляет Жанна Власова. Она напоминает, что из неопределенности всегда рождаются слухи, а из них — неуправляемые репутационные проблемы.

«Если компания закрывает комментарии, недовольные клиенты перемещаются на отзовики, паблики, блоги, форумы и мгновенно обрушают рейтинг. Волну недовольства нужно взять под контроль сразу же после обнародования информации об утечке», — считает эксперт. 

3. Никакой жертвенности

Удержать клиентов после утечки можно несколькими способами. Первый — индивидуально отрабатывать претензии пострадавших. Так компания сможет избежать коллективных исков (чего не удалось сделать «Яндекс.Еде») и прямых убытков, связанных со штрафами за распространение персональных данных.

Второй аспект — это восстановление доверия со стороны общественности. «В ответ на кризис во все каналы коммуникации нужно нести посыл об улучшении информбезопасности. Такие сообщения должны стать частью регулярной новостной повестки», — говорит Власова.

Перебарщивать с задабриванием клиентов после утечки не стоит. «Не надо уходить в позицию жертвы и раздавать промокоды, которые сами по себе говорят “мы виноваты”. Лучше сказать, что компания направила средства на усиление службы охраны или команды, которая занимается защитой персональных данных», — говорит сооснователь Vinci Agency Александр Изряднов.

При этом не нужно говорить, что проблему решили, просто уволив причастных к утечке. «Важно привести контраргументы, в которые люди точно поверят. Например, сказать еще про одну степень защиты данных, не вдаваясь в подробности», — сказал эксперт. 

4. Заняться безопасностью

Помимо пиар-усилий, огромное внимание нужно уделить корню проблемы — информационной безопасности. Начать следует с аудита работы с данными — бизнес должен понять, какие данные он собирает и для чего. «Нередко компании просят клиентов предоставить как можно больше информации о себе. Однако в реальности им это не так уж и нужно», — говорит исполнительный директор IT-компании HFLabs Константин Степанов.

После утечки бизнес обязан:

  • Проверить, в каких системах хранятся сведения о клиентах. В идеале их персональные данные и транзакции нужно хранить в разных местах. Тогда в случае утечки в открытом доступе не окажется полный пакет информации о человеке (его номер телефона, адрес проживания вместе с суммами покупок и магазинами, где они совершаются).

  • Выяснить, кто имеет доступ к персональным данным клиентов внутри компании. Современное ПО позволяет отследить, кто и когда открывал карточки клиентов.

  • Заново рассказать сотрудникам о мерах контроля за ними. Это лишит их соблазна нарушить закон и, к примеру, подработать на черном рынке «пробива».

Важно не хранить данные бывших клиентов и архивы старых систем, которые могли быть защищены не так хорошо, как этого требует сегодняшний день. Не делать доступ к данным клиентов слишком сложным — иначе сотрудники начнут копировать данные на свой компьютер, и риски утечек возрастут. У сотрудников должен быть доступ только к тому, что им необходимо для выполнения рабочих задач. В противном случае риск утечек и нарушения целостности данных повышается.

«Например, кто-то из работников, осведомленных о предстоящих значимых изменениях в организации, может передать сведения в СМИ или помогать знакомым, развивающим свой инвестиционный портфель. Обиженные сотрудники при увольнении могут «прихватить» с собой базу данных клиентов, поэтому однозначно не стоит оставлять без внимания конфликтные ситуации в коллективе», — говорит финансовый директор Cross Technologies Екатерина Афанасьева.

5. Знать, что утечка не конец света

После того как все эти шаги будут проделаны, компании остается выйти с еще одним заявлением — публичным комментарием по итогам разбора полетов. Важно обозначить, что было сделано, чтобы утечка не повторилась, таким образом срезюмировав итоги работ.

«Если утечка персональных данных переросла в серьезный репутационный кризис, здесь уже не обойтись простым информированием. Потребуются масштабные PR-проекты для восстановления доверия», — говорит управляющий партнер коммуникационного агентства Fresh Russian Communications Ксения Алексеева.

По ее словам, клиентам все же можно предоставить бонусы и скидки, однако неправильно делать это без извинений и реальных действий. Это создаст у клиентов впечатление, что компания не понимает всей серьезности проблемы, и, возможно, даже не планирует ее решать.

Говорить о том, что утечка — безнадежный имиджевый кризис, неправильно, считает Жанна Власова из Markway. В сознании потребителей такие вещи чаще всего не означают мгновенную потерю личных средств.

«Многие думают: "Да, вред нанесен, но абстрактный и кому-то другому". Так что вряд ли после новостей люди массово перестанут заказывать бургеры в "Яндекс.Еде" и сдавать анализы в "Гемотесте"», — заключила эксперт.

Еще по теме