В отрасли кибербезопасности есть одна расхожая фраза. Ей почти 13 лет, но ее до сих пор цитируют на конференциях и в презентациях. Роберт Мюллер, тогдашний директор ФБР, сказал на RSA Conference в 2012 году: «Существуют только два типа компаний: те, которые были взломаны, и те, которые будут взломаны».
Ретроспективу, выводы и уроки этого антикризисного лета для читателей Sostav разбирает Ника Комарова, консультант по стратегическим коммуникациям и антикризису в ИТ и кибербезопасности, автор канала PR machine.
Лето 2025 стало проверкой на прочность не только инфраструктур компаний, но и готовности PR-служб к антикризисным коммуникациям киберинцидентов — от первого стейтмента до финального Postmortem.
Кейсов хватило бы на отдельный учебник. Фэшн, ритейл, телеком, фармацевтика и национальный авиаперевозчик — новости о кибератаках с июня по август не сходили с полос СМИ, а публичное реагирование компаний превратились в серию мастер-классов (и антимастер-классов) для всех специалистов по коммуникациям.
Postmortem — термин из IT и кибербезопасности. Буквально «посмертный разбор», но используется он для анализа инцидента уже после завершения: что произошло, почему и какие уроки вынесли. В PR эта стадия называет посткризис, когда аудитории объясняют, какие выводы сделала компания и как усилила защиту.
«Орион Телеком»: месяц в осаде
В ночь с 11 на 12 июня крупнейший провайдер Сибири «Орион Телеком» столкнулся с кибератакой. Первое антикризисное заявление: «Это DDoS, восстановимся за сутки». На деле — «легло все» в четырех регионах и 13 городах России. Полное восстановление растянулось на месяц.
Компания извинилась, выпустила более 40 апдейтов, использовала формат Q&A, дала два интервью прессе, стараясь открыто объяснить ситуацию. Но при этом, видимо, не справившись с лавиной негодования пользователей, провайдер без объяснений отключает комментарии в Telegram, тогда как во ВКонтакте они остаются открытыми. Там и разгорелась критика, подхваченная СМИ. Позже комментарии закроют и здесь.
Нарратив менялся: сначала DDoS, потом «взлом», затем «политически мотивированная атака», но данные клиентов не затронуты. Через месяц компания признала: риск утечки все же есть, советовала сменить пароли, хотя сделать это без доступа в личный кабинет было невозможно. При этом устранять последствия инцидента провайдеру помогали локальные игроки рынка и даже бывшие сотрудники, которые волонтерами ходили по домам и настраивали Интернет.
Вывод по кейсу: обилие апдейтов и открытые интервью — плюс. Подчеркнутая роль команды и объединение вокруг проблемы — тоже. Но внезапно закрытые комментарии, противоречивые версии и несоответствие слов реальности (клиенты оставались без интернета неделями, а компенсаций и перерасчетов на момент сдачи материала произведено не было) эскалировали кризис.
12Storeez: карточки, распродажа и честность
16 июня fashion-бренд сообщил об кибератаке разместив… серию карточек в социальных сетях. На фоне спорной цветовой гаммы — простые тексты, легкий ToV, а спикер — сам CEO, заявивший: переговоров с вымогателями на 20 млн в крипте не будет.
Компания приносит извинения и признает проблему («самая мощная атака, очереди в примерочных, кассы не работали»). Правда одновременно в карточке мелькает «SALE-40% продолжается». Бизнес-бизнесом, но с маркетинговыми акциями как будто можно было подождать.
В июле компания выпустила постмортем, правда не на специализированном ресурсе по кибербезопасности, как обещала, а в своем блоге Teletype. Она признала отсутствие 2FA в 1С, опубликовала рекомендации по безопасности для компаний и сотрудников, назвала ущерб (48 млн руб.). И хоть методику расчёта убытка эксперты называют спорной, сам факт раскрытия цифр и деталей кибератаки редок и ценен.
Вывод по кейсу: смелость CEO, честность и последовательность сделали этот антикризис одним из референсов для PR-отрасли. Опуская маркетинговые вставки, отметим, что у компании всё же было 7 дней на подготовку выхода в паблик, обычно так везет немногим и об инциденте становится известно значительно раньше.
«ВинЛаб»: от «техработ» до кредитного рейтинга
15 июля сайт материнской компании «ВинЛаба» объявил о недоступности из-за «технических работ» и «оптимизации в целях повышения качества обслуживания». Через сутки пресс-служба сообщила: речь о кибератаке, которая остановила работу 2100 точек алко-маркета. Попытка скрыться за формулировкой с техсбоем, когда про атаку уже заговорили эксперты, тактика не лучшая.
Дальше коммуникация становится более зрелой: компания сообщила о восстановлении первой сотни точек, подтянула тон, добавила акцент на «категорически не платим выкуп». Финал — связка PR и IR: сообщение о высоком кредитном рейтинге материнской компании и посткризисное заявление о выводах, принятых мерах модернизации систем информационной безопасности и снова — с извинениями.
Вывод по кейсу: антикризис не стоит начинать с попытки скрыть реальное положение вещей, это вопрос доверия. Любой киберинцидент — поначалу это всегда работа с неполными данными. Но даже после не самого удачного старта коммуникации можно выправить и достроить стратегическим сигналом инвесторам.
«Аэрофлот»: особый режим для КИИ
28 июля — отмена более 50 рейсов. Компания заявила о «сбое», без упоминания атаки. Параллельно самообъявились политически мотивированные хакеры, которые приписали себе «20 Тб украденных данных» и якобы более года присутствия в сети нацперевозчика. «Аэрофлот» не выходил в СМИ, ограничиваясь Telegram-каналом пресс-службы, в котором в течение всего дня выпускал апдейты по ситуации, концентрируясь на безопасности пассажиров и разгрузке аэропорта.
Стратегия — единый источник информации, только свой канал, без комментариев в СМИ. Для коммерческой компании такой подход выглядел бы закрытым. Но для национального перевозчика и объекта критической инфраструктуры, который является частью обороноспособности страны, это почти единственный возможный вариант: слишком высока цена ошибки.
Вывод по кейсу: нельзя равнять кризисы «обычных» коммерческих компаний и организаций, относящихся к критической информационной инфраструктуре (КИИ). Здесь публичность ограничена, на первом месте — безопасность людей и защита объекта. PR-решения всегда подчинены этим приоритетам.
«Аптеки Столички»: быстро и символично
28 июля сеть аптек сначала, уже по летней традиции, заявила о «технических причинах» остановки работы, но на следующий день признала кибератаку. Половина аптечных точек к этому моменту уже заработала, а к 8 августа восстановление завершилось полностью.
Финал — баннер с матрешкой в корпоративных цветах и лозунгом «Нас не сломаешь!». Хороший аккорд, выполненный в digital-версии и в печатном виде в точках продаж, работающий и на поднятие духа внутренней команды, и на внешний посыл.
Кстати, ранее этим же летом (вероятно, вы уже не удивлены) к антикризисной коммуникации с элементами юмора прибег и «Спортмастер». Когда московские ливни затопили его дата-центр, компания написала, что сайт и мобильное приложение «закрыты на просушку». Эта легкая самоирония выглядела уместной именно в их привычном ToV.
Вывод по кейсу: скорость восстановления плюс символический финал — удачный кейс. Но юмор — инструмент осторожного применения: он может сработать, если органично встроен в ToV бренда, но перебор превратит кризис в фарс, а аудитории в такие моменты обычно не до шуток.
Лето, прекрати: какие уроки для PR во время киберинцидента мы выучили?
Лучше не прячьтесь за «техническими работами». Если они — причина сбоя, вы сможете это подтвердить, если нет — подстелите соломку и напишите, что причины сбоя устанавливаются. Скрытность всегда играет против вас.
Обещаете апдейты — давайте их. Не только скорость, но и последовательность в случае коммуникаций киберинцидента критичны. Не забывайте, что доверие строится на честности. Этим вы помогаете не только себе и своим клиентам, но и индустрии.
Трижды подумайте вставлять ли юмор или маркетинговые ходы в антикризис, сейчас приоритет — безопасность бизнеса и ваших клиентов.
Не плодите версии, чтобы не пришлось опровергать самих себя. Лучше честное «расследуем», чем скачки от сбоя к атаке и от DDoS ко взлому и геополитике.
Если комментарии представляют для вас риски, крайняя мера — прозрачно коммуницировать причину отключения и перевести их в управляемый канал. Но не лишать пользователей возможности обратиться за поддержкой.
И самое главное — готовьте антикризисный план заранее. Перефразируя цитату представителя ФБР: антикризис, связанный с кибератакой, это вопрос времени, а не вероятности.
Сама кибератака — это не только технический инцидент, но и коммуникационный экзамен. Лето 2025 показало: доверие сохраняют те, кто ведёт честный диалог с аудиторией, признает слабые места и выполняет обещания