Kyberbezpečnost se pořád často bere jako téma „někde vedle“ – ideálně u IT. Jenže když se něco stane, první, kdo to schytá, není server ani administrátor. Je to značka. Lidé totiž neřeší, jak přesně vznikl problém. Řeší, jestli vám mohou věřit. A důvěra je v komunikaci a marketingu ten nejdražší artikl.
Většina kyber incidentů navíc nezačne dramaticky. Spíš nenápadně. Někdo založí falešný profil s vaším logem. Přes reklamu se začne šířit „soutěž“, která s vámi nemá nic společného. Z vašeho jména přijde e-mail, který vypadá jako běžná zpráva zákaznické péče, jen v něm někdo „potvrzuje objednávku“ nebo „vrácení peněz“. A než si toho všimnete, máte plný inbox dotazů, komentáře na sítích a v lepším případě několik naštvaných lidí, kteří si řeknou, že příště radši nakoupí jinde.
Tohle není strašení. To je realita digitálního prostředí, kde se značka dá napodobit rychleji než kdy dřív. A v době, kdy vypadá profesionálně i podvod, je důvěryhodnost vaší komunikace formou bezpečnosti. Stejně jako zámek na dveřích není „designový prvek“, ale základní jistota.
Proč to není „jen technika“
Technická část incidentu se obvykle dá vyřešit. Účet se obnoví, heslo se změní, přístup se zablokuje, doména se zkontroluje. Jenže reputace je mnohem pomalejší. Lidé si pamatují pocit. Pamatují si, že „od vás něco přišlo“ nebo že „na vašem profilu byla nějaká divná věc“. A i když jim později vysvětlíte, že šlo o podvod, v hlavě zůstane drobné zaváhání. A marketing ví, co udělá se značkou zaváhání: snižuje ochotu kliknout, nakoupit, vyplnit formulář, přihlásit se k newsletteru. Zkrátka zvyšuje odpor v každém dalším kroku.
Proto je kyberbezpečnost z velké části komunikační disciplína. Ne v tom smyslu, že ji má marketing „řešit“. Ale v tom smyslu, že marketing je často první na ráně – a měl by mít základní kontrolu nad tím, jak značka vystupuje, kde všude má účty, kdo k nim má přístup a jak vypadá „oficiální“ komunikace.
Kde to nejčastěji praskne
Nejčastější slabina paradoxně nebývá technologie, ale lidská rutina. V týmech se sdílí přístupy, protože je to rychlé. Hesla se posílají ve zprávách, protože „je to jen na chvíli“. Externista dostane přístup „na všechno“, protože je jednodušší to neřešit. A když někdo odejde, přístupy se často „nějak“ neodpojí. Přitom právě tyhle drobnosti jsou pozvánka pro problém.
Stejně tak doména a e-mailing bývají dlouho považované za samozřejmost. Dokud se jednoho dne nezačne stávat, že newsletter končí ve spamu, transakční e-maily nedochází a část komunikace se rozpadne. V tu chvíli je to už nejen deliverability problém, ale zákaznická zkušenost a reputace v přímém přenosu. Protože když lidem nedojde potvrzení objednávky nebo odpověď z formuláře, nevnímají to jako „technickou chybu“. Vnímají to jako chaos.
A pak jsou tu sociální sítě. Pokud vám někdo hackne Instagram a během pár minut se v stories objeví podvodný link nebo „investiční tip“, škoda není jen v trapasu. Je v tom, že lidé uvidí, že značka nemá kontrolu ani nad vlastním hlasem. A jestli je něco, na čem stojí moderní značka, je to konzistence a jistota.
Co s tím může udělat marketing (dřív než bude pozdě)
Dobrá zpráva je, že spousta věcí se dá zlepšit bez velkých investic. Jde hlavně o pořádek, jasné role a pár rutinních kontrol. Nepotřebuješ se stát IT specialistou. Potřebuješ se stát člověkem, který si hlídá, že značka není zbytečně zranitelná.
Začni tím, že si uděláš jasno v přístupech. Kdo je vlastníkem klíčových účtů (Meta Business Manager, Google účet, newslettering, doména)? Kdo má jaké role? Kde se používá dvoufázové ověření? A hlavně: používá se všude? Pokud někde 2FA není, je to přesně ten typ „drobnosti“, která se jednou promění ve velký problém.
Druhá věc je práce s externisty. Je naprosto běžné, že tým spolupracuje s grafikem, PPC specialistou nebo vývojářem. Jen je dobré, aby to běželo přes role a přístupová oprávnění, ne přes sdílené loginy. Sdílený login totiž není spolupráce. Sdílený login je riziko, které se jen tváří prakticky.
Třetí téma jsou falešné profily a napodobení značky. Tady často pomůže i jednoduchý princip: udělat pro lidi snadné rozpoznat, co je oficiální. Odkazy na webu, konzistentní naming, jednotné bio a jasná síť „oficiálních kanálů“ zkrátka snižují šanci, že někdo naletí. Ne proto, že by to podvod úplně zastavilo, ale protože to zkracuje dobu zmatku. A doba zmatku je to, co ubližuje.
Čtvrtá oblast je e-mailing a doména. Ano, je to technika. Ale důsledky jsou čistě marketingové. SPF, DKIM a DMARC nejsou zkratky pro ajťáky. Jsou to brzdy proti tomu, aby se někdo za vás vydával. A zároveň nástroje, které pomáhají tomu, aby vaše e-maily vůbec docházely. Pokud značce nechodí e-maily, nemá to jen dopad na výkon – má to dopad na důvěru.
Co udělat do 48 hodin
Když to máš vzít opravdu prakticky, tak první krok je přestat doufat, že „se to nestane“. A druhý krok je udělat malé minimum, které výrazně sníží riziko.
Během dvou dnů můžeš zkontrolovat, že všude běží 2FA, že přístupy nejsou sdílené přes jedno heslo, že máš přehled, kdo má k čemu role, a že existuje jeden člověk, který je „owner“ kritických účtů. Stejně tak můžeš s někým z IT ověřit stav domény z hlediska e-mailových záznamů a alespoň si potvrdit, že deliverability nestojí na štěstí.
A vedle toho je dobré připravit si jednoduchou krizovou větu. Ne pro PR apokalypsu, ale pro běžnou realitu: „Objevil se falešný profil / podvodný e-mail. Toto je náš jediný oficiální kanál. Na žádné odkazy neklikejte. Situaci řešíme.“ Když tohle máš připravené, získáš to nejcennější: rychlost a klid. A klid je v krizi zbraň.
Závěr: bezpečnost jako součást značky
Značka dnes není jen to, co říká. Je to i to, jak bezpečně a předvídatelně se s ní dá fungovat. Když lidé cítí, že máte věci pod kontrolou, nejsou opatrní. Když cítí chaos, začnou se chránit. A chránit se znamená nekoupit, nekliknout, nevyplnit, neodpovědět.
Kyberbezpečnost proto není strašák ani úkol „někoho jiného“. Je to součást důvěry. A s důvěrou se pracuje nejlíp dřív, než bude za pět minut dvanáct.
