Антикризисный план Шредингера: 80% признают его важность, но его нет у 40%

Информационная безопасность и PR часто пересекаются там, где речь идет о защите репутации. А что насчет совместного антикризисного планирования? Об этом — наше исследование.

О кибератаках, парализовавших работу алкомаркетов, сети аптек, авиа-хабов, Интернет-провайдеров в 2025-м году, наверняка, читала даже ваша бабушка. Хорошие и не очень примеры того, как компании защищали свою репутацию в публичном поле, я детально разбирала на Sostav.ru. Главный вывод: 2025-й год показал, что в чат стремительно заходят антикризисные коммуникации при киберинцидентах.

Этой темой я плотно занимаюсь последние 7 лет, но, пожалуй, впервые в 2025-м она начала робко обсуждаться на PR-площадках и довольно громко звучать на крупных конференциях по кибербезопасности, таких как PhDays, SOC-форум, CyberCamp и других.

Сочиняя доклад для одной из них, я не нашла исследований готовности российских компаний к киберинциденту с точки зрения коммуникаций. Как автор канала PR machine — телеграм-гаража, где препарируются кризисные кейсы из мира ИТ и кибербеза — я решила провести мини-исследование сама. И вот что из этого вышло.

Исследование базировалось на опросе про антикризисный план. Без него говорить о какой-либо готовности к реагированию на киберинцидент — это либо самонадеянность, либо что-то еще. Аудитория моего канала, в основном, делится на пиарщиков/коммуникаторов и специалистов из сфер ИТ и кибербезопасности. Поэтому срез должен был быть вполне показательным — техническая и репутационная защита в случае кибератаки это комбо.

К мини-переписи телеграм-населения присоединились коллеги и друзья: опрос в своих каналах поддержали Алексей Лукацкий, Дима Беляев и Настя, а также чат коммьюнити CyberCamp, за что всем им огромная благодарность.

Итак, серия из 5 опросов. Минимум 225 человек проголосовали. Не все отвечали на каждый вопрос. В итоге получилась интересная картина: на уровне убеждений почти все молодцы, на уровне готовности — все как обычно.

На первый вопрос о наличии антикризисного плана по киберинциденту, учитывающего внешние и внутренние коммуникации, ответили 218 респондентов. Самая большая их доля 39% признают честно: плана нет. Еще 22%, видимо, представителей ИТ\ИБ направлений отвечают «технический план есть, но без коммуникационного блока».

В итоге большая часть опрошенных — 61% — либо без плана, либо с планом без коммуникаций. То есть “технари” будут делать свое дело, а пиарщиков, если и привлекут, то вероятнее всего, когда пожар уже разгорится. Предположу, эти команды не имели совместного кризисного опыта, а значит риск совершить ошибку в публичном поле присутствует у более чем половины опрошенных.

«Да, план есть» — этот ответ набирает 26%. Но и здесь ложка дегтя — только 9% его регулярно отрабатывают, а 17% признаются, что тренингов не проводили никогда. И это ключевая развилка: бумажный план без тренировок очень быстро превращается в архивные записи. У меня была ситуация, когда во время аудита антикризисного плана, я с удивлением обнаружила фамилии и имена давно не работающих сотрудников. А часть полей, которые должны были быть заполнены в плане, включая контакты, так и остались никем не тронутыми.

А вот это интересно: самое большое количество респондентов — 225 — отвечают на вопрос про важность антикризисного плана утвердительно.

На слайде — идеальная симметрия: 40% считают это вопросом репутации, еще 40% говорят, что коммуникации важны, «но сначала — техническое восстановление». В сумме 80% признают важность спланированных коммуникаций при киберинциденте. На этом фоне особенно выразительно смотрится разрыв между нам «важно», чтоб план был (40%), но его нет (39%). То есть признание ценности есть, но до дела так и не дошло.

Нет вопроса сбивающего с толку больше, чем ответственность. На вопрос о том, кто отвечает за подготовку антикризисного плана мнением поделились всего 139 респондентов. Но ответам я, честно говоря, порадовалась: 39% считают, что это совместная зона ответственности CISO (руководитель по кибербезопасности) и PR, 27% считают, что только CISO, 12% видят владельцем PR, 14% голосуют за ответственность некоего «руководства».

Кстати, HR получил 0%, что, с одной стороны, понятно: эта опция скорее была рассчитана на понимание предмета. Но с другой стороны этот момент подчеркивает, что внутренние коммуникации и работа с сотрудниками в киберкризис все еще воспринимаются как нечто экзотично-редкое, а не как часть управления инцидентом, вероятность которого 2025-й год обозначил предельно четко.

Оставшиеся 6% честно признаются, что не знают, кто отвечает за антикризисный план. Это тоже симптом: когда нет назначенного владельца, план не появляется сам по себе, даже если очень попросить вселенную. А вот инцидент произойти может, и тут вселенная — не самый оперативный помощник.

Самый практичный вопрос про первые часы после инцидента, показывает, почему мы часто видим несвоевременные коммуникации в паблике.

Ровно 40% выбирают сценарий «сначала разбираемся технически, потом думаем о коммуникации». Еще 18% готовы ждать указаний сверху, от CEO.

Если объединить оба ответа, получится, что у нас уже 58% специалистов, которые закладывают задержку коммуникаций по умолчанию. На этом фоне 23% «как только зафиксировали аномалии, сразу сообщаем PR» и 11% «в первый час сообщаем PR» выглядит прогрессивным меньшинством, которое понимает: коммуникации не конкурируют с расследованием, они управляют рисками в публичном поле, охраняя репутацию пока расследование идет.

Финальный вопрос о причинах, почему в компании может не быть антикризисного плана, показывает грустную картину. Рациональных объяснений этому не нашли 30%. Они так и отвечают «честно, не знаю, почему его нет». При этом 28% говорят про нехватку специалистов и ресурсов, 17% не знают, с чего начать и как делать, 13% «не думали раньше», и 12% сознательно считают план не приоритетным.

Если опираться на эти данные, главная проблема, как обычно, в организационной неразберихе и владельце процесса — если его нет, то нет понятного первого шага, нет ресурса, нет понимания с чего начать.

Согласно исследованию Cost Of Data Breach 2025: наличие плана по реагированию на кибератаку — это прямая экономия на стоимости утечки. Организации, которые имеют сформированную IR-команду (Incident Response) и регулярно тестируют свой план, включая коммуникации, несут убытки от утечек данных в среднем на $1,5 млн меньше, чем компании, не имеющие такого плана и не проводящие тестирований.

Наш опрос, пусть и с микро-выборкой, на мой взгляд, дал показательный срез. Рынок в массе согласен, что коммуникационный план на случай киберинцидента нужен, но продолжает жить в мире, где до коммуникаций доходят после того, как все уже понятно, или после того, как «скажут сверху». В киберинцидентах это означает одно: публичное поле без четкой позиции пострадавшей компании по-прежнему наполняется импровизациями тех, кто уже успел сформировать свое мнение пока компания думала, что сказать.

Именно поэтому, самый очевидный и прагматичный шаг со стороны бизнеса — задуматься, что он будет делать, если завтра столкнется с кибератакой. Для этого не нужно писать большой документ, который затеряется где-то в архивах. Лучше начать с назначения владельца процесса, сбора рабочего скелета плана, понимания, кто входит в антикризисный штаб, и старта тренировки в режиме “мирного времени”. Иначе антикризисный план появится в лучшем случае уже после того неприятного момента, когда он на самом деле был нужен.

Спасибо, что добрались до финала! Залетайте в мой канал, пока еще в телеге 😎