根據Netflix 最新公布的9月全球收視率排行榜中,奪下非英語影集收視冠軍的是近期熱門韓劇《非常律師禹英禑》,收看時數高達3164萬小時,十分驚人。《非常律師禹英禑》每集探討不同的法律案件,以細膩劇情牽動觀眾共尋勝訴關鍵,是近期韓劇的一大黑馬。(以下內文含部分劇情,請斟酌閱讀)
圖片來源:翻攝自Netflix
最後兩集聚焦資安事件,劇情講述電商平台羅溫因為內部人員的疏失,而點入駭客植入的惡意程式,導致該平台個資外洩。羅溫不但信譽受損,更是因此鬧上了法院。主管機關依照最新的法規懲處羅溫電商3,000億韓元,而被竊取個資的時間和企業的因應措施也成為法庭的辯論攻防。
羅溫電商遭駭不只是單一個案。在駭客入侵層出不窮、資安危機防不勝防的當代,企業不僅需要思考內部的因應措施,更是需要考慮到與外部利害關係人的溝通
圖片來源:iStock
《危機解密:從預防到修復的實戰管理》 一書中建議在危機發生的當下以DISCO原則形成決策、展開行動。DISCO 原則分別是Dual Path Process(溝通行動與管理行動雙管齊下)、Immediate Response(在第一時間對的回應)、Stakeholder(決定並判斷利益關係人的溝通優先順序)、Containment(控制發展狀況)、Ownership(負起應有的責任)
Dual Path Process 溝通行動與管理行動雙管齊下
在公關危機發生的當下,「管理」和「溝通」的雙管齊下非常重要。在管理方面,應立即成立危機應變小組,通常由事發單位的最高主管與其次一級主管組成,再由公司一級主管指揮各團隊成員進行處置。危機應變小組需了解事件成因,將通報管道、通報人員與發現事證依時間軸循序列出,一一盤點影響範圍與層面。思考如何可以將品牌的傷害降到最低,為事件止血是基本原則
在溝通方面,需與公關、法務等單位共同針對特定面向和利害關係人擬定不同的溝通內容。因為每一種利害關係人所關心的點有所不同,所以要傳遞的訊息要點也有所不同。例如對管理階層而言,可能想要了解此次危機是否直接影響企業營運或收益?範圍有多廣?恢復時間需要多久?若此事件與社會大眾有關,則需妥善發布訊息或是新聞稿。以不欺瞞的前提下,展現誠懇誠實的態度來說明此次事件對大眾所造成的影響
Immediate Response 在第一時間對的回應
以劇中情節來說,羅溫電商得知攻擊事實的時間點為01/19,報警處理的時間點為1週後的01/26,在官方網站公布被和相關訊息則是1個月後的02/20。消極、怠慢的處理態度引起法庭上的一陣譁然。
羅溫電商有點輕忽事件的嚴重程度,導致對造律師以該點作為呈堂證供。其實羅溫電商在事件發生後可以發出簡要的訊息或是聲明稿,表示有疑似資料外洩的情況,而相關人員現正在密切調查當中。至少讓外界覺得公司是在意,並且願意從管理角度採取行動。
至於發布訊息的時間點,過去教科書記載的「黃金二十四小時」已不再適用現代的危機處理。建議的時間點有可能是一小時後,甚至是馬上立刻的反應,因為在社群網路消息氾濫的現今,大眾根本沒有耐心等到二十四小時。很大的機率下,企業會需要在無法掌握所有事實之前,便與外界展開初步的回應。
當危機發生時,速度就是一切!第一時間的即時溝通,對外界觀感會產生相當大的影響。無論是以聲明稿、社群貼文,甚至是媒體採訪的方式都有助於後續的處理。
圖片來源:iStock
Stakeholder 決定並判斷與利益關係人的溝通順序
危機發生初期,判斷受牽連的利害關係人正是公關應對之必要措施。其實政府機關、合作夥伴、通路商、非營利機構等單位對於危機也有相當的影響力,企業必須當下判斷:誰是事件的利害關係人?溝通的先後順序?如何透過各部門分工合作來溝通?採進行主動或被動溝通?
釐清事件中每一方的立場和影響力,以產、官、學、宅、鄉、婉(網軍),多方角度思考,確實跳脫傳統媒體及股東等產、官、學的思考框架。此外,與員工的內部溝通也是不可忽視的環節,因為在危機的時刻,員工更需要心情上的支撐與安慰。領導人可以面對面跟員工溝通、撫慰員工的心情,員工才能藉此感受公司全力給予的支持,重振士氣
Containment 控制發展狀況
專責的危機管理小組需要預測事件未來最糟的狀況,並且評估所有可能的對策,方能控制發展狀況。如何控制危機發展?可以借鏡風險管理的四象限來因應,像是風險規避、風險轉嫁、風險降低、風險自承。
- 風險規避:如果企業能與危機來源切割,是從源頭止損的解決辦法。
- 風險轉嫁:試著找出其他單位來承擔責任,或是仰賴其他管道來負起責任,移轉風險
- 風險降低:如果避不開危機、也沒辦法轉移風險,那麼就想辦法止血、停損。坦然作出改善問題的承諾,並給出時限與負責單位,以供大眾後續追蹤。
- 風險自承:如果危機所造成的影響不大,努力防堵不見得有成效時,或許可以試著承受危機帶來的風險。
以前陣子超商、台鐵面板遭駭事件為例,其實真正被駭的,是它們的外部供應商,而非公司本身。這時品牌公關便可以發聲明澄清,轉嫁風險並說明後續處理方針。
根據危機狀況、風險程度進行沙盤推演,思考「當利益關係人持續抨擊時,我們如何讓危機管理決策更為周全」。唯有多想幾步才能有效控制危機,不被危機追著跑。
Ownership 負起應有的責任
在重大危機中,所謂的責任經常是利益關係人的價值判斷,認為企業應該負起的責任和相對應的作為。在許多情況下,企業面對情、理、法三者的難題。
- 「情」是指社會期待需負的責任,通常會牽涉到情感、觀感上的問題
- 「理」是指企業善盡完善管理應負的責任,通常會涉及合理性、邏輯性
- 「法」是指法律約束企業應負的責任。
如何思考這三者的平衡,兼顧利益關係人觀感,的確考驗危機處理的智慧。若企業願意額外付出,那危機說不定能變轉機,像是增進產業某項專業再強化、投入公益教育及弱勢協助等等。不只是從法律層面背負責任,還符合社會公義與企業社會責任,這對後續品牌的形象修護也有所幫助。
圖片來源:iStock
儘管DISCO 原則在危機處理時提供一個非常完整的架構,但防患於未然,企業仍需於平時做好危機預防。以資安風險來說,企業平時就需要透過弱點評估、滲透測試、源碼檢測、資安稽核、紅隊演練測試等方式,來找出需迫切處理的資安破口。隨著數位轉型的腳步加快,聯網裝置的趨勢提高,資安的漏洞勢必會隨之增加。如何分配資安資源的布局,降低被駭風險仍是企業的一大挑戰。
參考資料
學習國外危機處理經驗
有自知之明為IT強化之本
駭客入侵 談企業資安危機的因應之道
加拿大風險溝通的失敗案例│食安簡史17:實戰開始
官網癱瘓、看板被駭嚴重嗎?專家解析資安危機有分程度
發生公關危機怎麼辦?危機處理5大步驟,別再提油救火了
愛康衛生棉「臭鮑魚」文案辱女性挨轟!公關專家:5 原則,把危機變轉機
台灣資安出了大漏洞?裴洛西來台,從小七、台鐵面板都遭駭,真正問題出在被中國壟斷的 LED 產業!
