Sain pyynnön avustaa isoa pörssiyritystä kybertilanteessa. Yritykseltä oli anastettu suuri määrä dataa, jonka joukossa oli arkaluontoisia henkilötietoja. Ensiarvion mukaan kybertilanteen vaikutukset ulottuivat useaan maahan ja maanosaan.
Ensimmäisessä kriisipalaverissa johtoryhmän edustaja kysyi minulta ”Mitä meidän pitäisi nyt tehdä?”
Vastasin hänelle, ”Teidän pitää nimetä henkilö johtamaan kriisitoimia. Kriisijohtaja nimeää kriisiryhmän, joka kokoontuu tekemään ensiarvion tilanteesta. Sen jälkeen päätetään mitä toimia pitää tehdä ja missä järjestyksessä.”
Kaikissa kriiseissä tekeminen pitää aloittaa perusasioista eikä oikotietä niiden ohi ole. Ensin pitää varmistaa oman organisaation toimintakyky ja sen jälkeen analysoida tilanne erittäin rehellisesti. Päätökset pitää tehdä parhaan mahdollisen tiedon avulla ja seurata päätösten vaikutuksia. Tapahtumista kerrotaan tärkeille sidosryhmille ja pyritään laittamaan asiat oikeisiin mittasuhteisiin.
Kriiseistä selvitään varmalla perussuorittamisella, jossa pyritään välttämään sooloilua ja yllätyksiä.
Kriisitilanteen hoitaminen on parhaimmillaan rauhallista ja määrätietoista puurtamista.
Perusasioiden tekeminen riittävän hyvin riittää, koska samat toimintamallit pätevät niin isoissa kuin pienissäkin kriiseissä. Määrätyt asiat pitää tehdä aina ja määrättyjä asioita ei pidä missään nimessä tehdä.
Toisaalta kriisien anatomia vaihtelee kriisistä toiseen eikä mitään pidä ottaa itsestäänselvyytenä. Joskus kriisi kiinnostaa mediaa kovasti, kun taas joskus isoltakaan vaikuttava kriisi ei nouse lainkaan otsikoihin. On paljon ulkopuolisia tekijöitä, jotka vaikuttavat kriisin kulkuun.
Yrityksen kriisiryhmän ensimmäinen tehtävä kaikissa poikkeuksellisissa tilanteissa on laatia riittävän kattava tilannearvio, jossa määritellään, onko yrityksen toimintakyky, maine tai luottamus akuutissa vaarassa. Jos on, tilannetta pitää käsitellä kriisinä. Siinä missä yrityksen normaaliin toimintaan liittyvää poikkeuksellista tilannetta voi hoitaa päivittäisillä toimintamalleilla, kriisissä yrityksen toiminta muuttuu.
Kriisitilanteen hoitamisessa ei pidä koskaan hätiköidä, mutta kiire kuitenkin on. Mitä pidemmälle kriisi etenee, sitä enemmän yrityksen aloitekyky heikkenee ja kriittiset päätökset joudutaan tekemään reaktiivisesti. Samalla tilanteen hoitamisen hintalappu saattaa kasvaa hallitsemattomasti. Kriisitoimilla pyritään kuitenkin laittamaan vastaan mahdollisimman paljon. Varsinkin viestinnässä pitää aloite saada nopeasti takaisin, jotta muut eivät laita sanoja yrityksen suuhun.
Kriisijohtaja on nyt yrityksen tärkein työntekijä ja hän on tiukassa paikassa. Hänellä pitää olla riittävät ja jatkuvasti päivittyvät tiedot koko tilanteesta. Kriisijohtajan tärkeimpiä tehtäviä on tehdä päätöksiä, joiden avulla yritys selviää kriisistä. Kriisijohtaja katsoo lähelle ja kauas, tähän hetkeen ja tulevaisuuteen. Kriisiryhmän jäsenten pitää puolestaan kyetä keskittymään omaan tehtäväänsä stressaavassa tilanteessa eikä kokonaiskuvan tarvitse olla samalla tavalla kirkas kuin kriisijohtajalla.
Viestintää hoitava henkilö on johtajan kanssa käsi kädessä heti tilanteen alusta lähtien. Tärkeimmät kriisiin liittyvät päätökset kannattaa käydä läpi yhdessä, jotta väärillä sanavalinnoilla ei vahingossa pahenneta tilannetta. Hyvä yhteys johdon ja viestinnän välillä pitää säilyttää koko kriisin ajan, jotta yrityksen maine ei kärsi turhaan viestinnän hitaudesta. Jos johtaja hallitsee itse viestinnällisetkin asiat eikä viestintäihmistä ole talossa, pitää jonkun kuitenkin auttaa johtajaa viestinnän teknisessä tekemisessä.
Kriisitilanteissa syyllisten etsiminen voi alkaa nopeasti. Varsinkin kybertilanteissa huomio kiinnittyy yrityksen johdon toimintaan, yrityksen tietoturvapolitiikkaan, teknisiin suojaustoimiin ja ylipäätään yrityksen toiminnan vastuullisuuteen. Jos tilanteesta jää vaikutelma, että virheitä on tehty, syyttävä sormi osoittaa helposti. Vaikka rikollinen on tehnyt rikoksen viemällä yrityksen hallussa olleita tietoja ja yritys on rikosoikeudellisesti asianomistaja eli uhri, ei yritys voi tuoda omaa uhriasemaansa juurikaan esille viestinnässä. Todellisia uhreja näissä tilanteissa ovat ne henkilöt, joiden tietoja on päätynyt yrityksen virheellisen toiminnan vuoksi vääriin käsiin.
Yritys selviää kriisistä tekemällä oikeita asioita ja kertomalla niistä. Viestinnällä ei voi muuttaa mustaa valkoiseksi eikä tehdä tehtyä tekemättömäksi. Mutta viestinnällä voi laittaa kriisin oikeisiin mittasuhteisiin ja osoittaa, että yritys on tehnyt sen, mitä siltä voidaan kohtuudella edellyttää. Mitä vastuullisemmin yritys toimii, sitä pienemmin vaurioin se kriisistä selviää.
Kriisiviestinnän peruskivi on kirjallinen viestintä ja siihen kannattaa panostaa. Pienissä yrityksissä voi ottaa käyttöön toimintamalleja, jotka tehostavat ja nopeuttavat viestintää. Yksi niistä on kolmiosainen kirjallinen viestintä. Tämä toimii hyvin kirjallisissa tiedotteissa, mutta samaa periaatetta voi käyttää myös muuhun viestintään.
Ensin kirjoitetaan ulkoinen tiedote, jossa kerrotaan mitä on tapahtunut, mitä EI ole tapahtunut, miten asia huomattiin, miten asia vaikuttaa yrityksen toimintaan sekä miten ja milloin asia aiotaan korjata.
Kun ulkoinen tiedote on valmis, sitä ei lähetetä vielä. Sen perusteella kirjoitetaan toinen versio sisäiseksi tiedotteeksi käyttäen yrityksen omaa kieltä ja huomioidaan oman henkilöstön tiedon tarpeet. Tällaisia voivat olla esimerkiksi kuka kriisiä hoitaa ja miten tilanne vaikuttaa yrityksen henkilöstön toimintaan. Mitään salassa pidettävää ei tiedotteeseen voi laittaa, mutta tyylin ja sanaston pitää olla yrityksen oma. Tiedotteesta voi kirjoittaa samalla tavalla vielä kolmannen version yhteistyökumppaneille ja muille tärkeille sidosryhmille.
Jokaisessa kolmessa tiedotteessa on nyt sama sisältö, mutta kerrottuna hiukan eri näkökulmista. Pääviesti pysyy samanlaisena jokaiselle kohderyhmälle, mutta sisältöä on muokattu helpommin omaksuttavaksi.
Ensimmäiseksi lähetetään tiedote omalle henkilöstölle. Pienen tauon jälkeen lähetetään tiedote sidosryhmille ja lopuksi vielä ulkoinen tiedote medialle. Näin asioista on kerrottu oikeassa järjestyksessä ja pidetty kiinni kaikkien viestintäohjeiden periaatteesta, että oma henkilöstö saa tietää asioista ensin.
Kriisin pitkittyessä tärkeille kohderyhmille pitää tehdä kohdennetumpaa viestintää, mutta kriisin alkuvaiheessa viestintä kannattaa pitää mahdollisimman yksinkertaisena.
Kuten toisessa kirjoituksessani poikkeustilanteisiin varautumisesta mainitsinkin, parhaan kivijalan yrityksen kriisivarautumiselle antaa vastuullinen liiketoiminta. Kriisiviestinnässä on helppo olla avoin ja nopea, jos omat jauhot ovat puhtaat. Vastuullisesti toimivan yrityksen maine saattaa jopa parantua kriisin takia ja tuoda lisäbisnestä mukanaan.
Petri Launiainen työskenteli pitkään poliisin operatiivisissa tehtävissä ja erikoistui yhdistämään kriisiviestinnän tilanteiden johtamiseen.
Virkauransa jälkeen Petri on auttanut yrityksiä varautumaan erityisesti kybertilanteisiin konsultoimalla ja kouluttamalla.
Kurssin tuottaa Kyberturvan tulevaisuus Kymenlaaksossa hanke, jota rahoittaa Kymenlaakson liitto Euroopan unionin Oikeudenmukaisen siirtymän rahastosta (JTF). Hanketta toteuttaa Kaakkois-Suomen ammattikorkeakoulu (Xamk).
Pysy ajan tasalla – tilaa kyberturvan uutiskirje. Ei spämmiä!
Kyberasema Kymenlaakso kokoaa yhteen kymenlaaksolaisille yrityksille suunnatut, Xamkin tuottamat kyber- ja tietoturvapalvelut, sisällöt, koulutukset ja tapahtumat Kuten Kybertuska-päivä.
Ota yhteyttä: kyberkymi@xamk.fi
