Red warning light, alarm light

勒索软件攻击期间的危机沟通:紧急情况下的信息管理

Janka Kreißl

Janka Kreißl ist Partnerin bei Dunkelblau in Leipzig.
10月 01 , 2025

一次点击,一个加密系统--您的公司突然陷入瘫痪。紧急情况是真实存在的。勒索软件攻击不再只针对跨国公司。中型公司和小型组织也越来越多地成为攻击目标。其结果是:从这一刻到下一刻,几乎没有任何东西能起作用。

内容

当一切陷入停顿

生产停顿。供应链中断。发票无法开具。工资无法支付。在发生重大网络安全事件时,甚至连电话都会瘫痪。这种失控对任何公司来说都是一种冲击,迫使高层管理人员在极短的时间内做出关键决策。

在这种情况下,有一件事变得至关重要:清晰、有条理的内部和外部沟通。简而言之:应急通信。

为什么智能通信在网络攻击期间至关重要?

"当他人将危机视为危机时,危机就存在了"。这句话直指问题的核心:无论是员工、客户、供应商还是公众,所有利益相关者都期望在发生安全漏洞时能有清晰的认识和领导能力。如果不能满足这些期望,后果可能会很严重:员工可能会考虑辞职,利益相关者可能会失去信心,客户可能会一走了之。

很快就会有人指责:"这家公司没有控制住局面"。这是否属实最初并不重要,重要的是人们的看法:"他们没有沟通计划"。

这正是危机公关的作用所在。危机公关可以减少不确定性,提供方向,展现领导力。即使在危机中,那些避免发出自相矛盾的信息并始终如一地进行沟通的公司也能保持信任。

紧急情况下的危机沟通--原则和措施

平衡透明与谨慎

勒索软件攻击需要技巧。过多的技术细节或关于潜在赎金支付的评论会造成混乱,甚至激怒攻击者。另一方面,完全保持沉默会显得回避。透明并不意味着什么都说,而是要可信地表明情况已得到控制,并正在采取适当的行动。

优先考虑利益相关者

  1. 员工:他们必须是第一批获知信息的人。明确的信息传递可以防止谣言,让他们放心工作时间、责任和工资支付。
  2. 客户、合作伙伴和供应商:提供切合实际的评估,说明中断可能会持续多久以及预期会产生哪些影响。
  3. 公众和媒体:信息空白会导致猜测。积极主动的沟通可以让您控制事态的发展。
Mountaineers celebrate their ascent to the summit at sunset by clapping their hands.

结构和时间安排

在危机中,结构化的时间表非常宝贵。即使最初无法做出准确的预测,大致的时间表也能提高透明度。与过度承诺和令人失望相比,频繁、较小范围地更新信息会更好。一句诚实的 "我们仍在调查中,不久将向您提供最新信息 "比过早的声明更可信。

为内部团队规划固定的更新、预定的新闻发布会和协调的沟通渠道,以确保对信息流的控制。

工具和模板

为团队配备有用的资源:准备好的常见问题、发言样本、发言稿和电子邮件模板。这些工具可以节省宝贵的时间,并确保对内对外信息传递的一致性。

准备而不是即兴发挥

最重要的启示是:危机沟通应在勒索软件实际攻击之前就开始。提前建立沟通结构和流程可以在最关键的时候节省宝贵的时间。

  • 成立危机小组:具有明确决策权的跨职能团队
  • 明确责任:谁负责内部沟通?对外?谁批准最终信息?
  • 确定系统的优先级:了解哪些系统和流程至关重要
  • 进行情景演练:进行实际演练
  • 建立基础设施:应急热线、安全文件存储、指定联系人

定期演练危机情景的公司不会惊慌失措,他们会有计划地应对危机。

危机沟通是关键

勒索软件攻击是一种高风险的紧急事件,很快就会成为生死存亡的问题。在这种时刻,强有力的危机沟通不是可有可无的,而是必不可少的。它可以提供导向,帮助维护信任,并保持组织的行动能力。

好消息是:危机公关可以提前准备。有了正确的结构、模板和角色,您将在危机中获得最宝贵的财富:时间、清晰度和可靠性。

我们的实用建议:著名的信息安全管理标准 ISO 27001明确要求企业确定内部和外部沟通的内容、时间、方式和对象(第 7.4 节)。其中特别关注与安全相关的主题:
这样,ISO 27001 不仅有助于风险管理,还能确保每个人都知道在关键时刻该做什么。

结论:紧急情况下的危机沟通

准备工作为何重要

勒索软件攻击并不总是可以预防的。但是,您的组织在发生勒索软件攻击时的沟通方式决定了事件是变成一场灾难还是一个可控的局面。

提前准备好危机沟通策略的组织能够更好地保护信任、保持运营并更有力地恢复。

ISO/IEC 27001为危机公关提供了一个结构化框架--明确了责任、沟通途径和升级程序。这为有效应对紧急情况提供了所需的清晰度和应变能力。

questions-answers-dqs-question mark on wooden dice on table

有问题?

我们随时提供帮助。

想知道 ISO/IEC 27001 认证需要付出多少努力?我们很乐意告知您。

请与我们联系。 我们不承担任何义务,也不收取任何费用。

我们期待您的来信

您可以从 DQS 得到什么

DQS 是您在管理体系和业务流程审核和认证方面的专业合作伙伴。凭借 40 多年的经验和由 2,500 名审核员组成的全球网络,我们可在信息安全的所有领域提供可靠的认证服务。

我们的承诺
DQS审核员从各种规模和行业的组织中积累了多年的实践经验这可确保您的审核员了解您的具体情况和企业文化。

让我们联系起来--我们为您服务。

信任和专业知识

我们的所有内容均由我们的标准专家或资深审核员编写。如果您对本博文或我们的服务有任何疑问,请随时发送电子邮件至iris.yang@dqs.de

:为便于阅读,我们使用通用的男性形式。不过,在适用的情况下,所有性别身份也同样包含在内。

免责声明:本文仅提供一般性指导。任何安全或事件响应措施的实施都应符合贵组织的法律、监管和运营环境。

作者

Janka Kreißl

相关文章和事件

你可能也对这个感兴趣
博客

整合您的数据安全系统:将 ISO 42001 与 ISO 27001 和 ISO 27701 相结合

阅读更多
博客

解锁值得信赖的人工智能:您需要了解的 ISO/IEC 42001 认证知识

阅读更多
博客

安全编码 - 信息安全的挑战

阅读更多