Gestire una crisi: quando il ceo è il primo a chiedere scusa per attacchi hacker o difetti nei software. Il caso CrowdStrike

Ogni volta che leggiamo di un attacco di hacker a siti istituzionali o di imprese o di un difetto di qualche software che mette in crisi le infrastrutture critiche, la memoria va alla tremenda paralisi di alcuni sistemi Windows del 19 luglio scorso, quando un difetto nell’aggiornamento di un software per la cybersecurity mandò fuori uso aeroporti, ospedali, banche, network tv e altri servizi critici di mezzo mondo. Un drammatico incidente commerciale e reputazionale a livello planetario per un’azienda statunitense di cybersecurity (allora sconosciuta ai più) quotata in borsa.

Il ceo (e co-fondatore) di CrowdStrike, George Kurtz, a poche ore dallo scoppio della crisi si presentò di prima mattina, con aria visibilmente contrita e debitrice di molte ore di sonno, alla tv americana (Today) per scusarsi pubblicamente e profondamente per le conseguenze della crisi con tutti coloro coinvolti nel blocco dei sistemi. Il ceo chiarì che non si trattava di un attacco cyber (un messaggio decisamente importante da dare al mondo), bensì di un bug che la società aveva già identificato nei propri file e sapeva come risolvere.

Non deve essere stato facile. Si trattava di una crisi tecnologica mondiale senza precedenti (paragonabile al paventato millenium bug della fine anno 1999, che poi non si realizzò), caratterizzata anche da inattesi rovesciamenti di ruoli. CrowdStrike si era trasformata da cavaliere bianco a guastatore proprio dei sistemi informatici che intendeva proteggere. Nello stesso tempo era passata da fornitore di sistemi di sicurezza di terzi (di regola senza il contatto con il pubblico finale) ad unica responsabile di fronte al mondo della paralisi dei sistemi.

Il mea culpa dei vertici societari 

Questo mea culpa del ceo fece seguito, a dire il vero, ad un suo post su un social media dove si limitava a descrivere l’evento in modo asettico. Post che era stato travolto da commenti negativi («sembra che siamo noi a doverci scusare»). Il ceo è stato, quindi, pronto a correggere il tiro. Nel blog del sito di CrowdStrike comparve anche una sua nota di scuse che si concludeva con queste parole: «Niente è più importante per me della fiducia e della credibilità che i nostri clienti e partners hanno riposto in CrowdStrike… Mi impegno fermamente nei vostri confronti a darvi piena trasparenza su come questa situazione si è generata». Anche Shwan Henry, chief security officer della società (ed ex funzionario Fbi), fece la sua parte con un post su Linkedin: «Venerdì vi abbiamo mancato di parola e per questo sono profondamente addolorato… Abbiamo tradito proprio le persone che dovevamo proteggere e dire che sono distrutto è davvero poco».

Questa presentazione di scuse da parte di un ceo, senza deflazione di responsabilità nei confronti di terzi, è qualcosa di non comune in ambito cybersecurity e It dove le aziende sono storicamente meno preparate ad assumersi responsabilità per il software e operano in «back office». Soprattutto nel mondo occidentale, mentre si ricordano da ultimo le scuse, con inchino, del ceo della linea aerea Jeju Air per il disastro del 29 dicembre scorso in Corea del Sud. Anzi, ogni qualvolta si presenta un fatto simile, il dibattito che si sviluppa all’interno delle organizzazioni è sempre tra chi propende per il silenzio e chi per la trasparenza. Spesso con scontri aspri.

Limitare i danni reputazionali

Per una crisi, la cui magnitudo non si ricordava nella memoria più recente, le scuse pubbliche ed immediate del ceo di CroudStrike hanno dunque segnato una svolta anche nell’atteggiamento dell’opinione pubblica. Ferma la rabbia (conseguente ai gravi e persistenti disagi), si è passati dal timore di un attacco cyber su scala mondiale ad una riflessione sulla pervasività della tecnologia e sulla nostra dipendenza da essa anche per le azioni quotidiane. Le scuse sono state, ovviamente, anche un mezzo per limitare i danni reputazionali per la società: essere i primi a raccontare ai media come si sono svolti i fatti toglie significativo spazio a qualsiasi fantasiosa ricostruzione dell’incidente che subito compare sul web e sui media nel perdurare del silenzio degli attori principali.

Bastano semplici e chiare parole di scuse (non scritte in legalese) pronunziate subito e in modo proattivo per prendere la leadership della notizia e passare da colpevoli a protagonisti della risoluzione della crisi. Ciò non toglie e non aggiunge necessariamente nulla alla responsabilità della società, purché il messaggio non travalichi il buon senso e non contenga promesse non sostenibili in futuro (con la supervisione, ben inteso, di un legale).

CrowdStrike, fondata nel 2011 come fornitore di soluzioni di sicurezza, aveva costruito la propria reputazione e il proprio brand sulla fiducia dei clienti: il mondo in cui affrontava la crisi avrebbe certamente segnato il suo futuro rapporto con il mercato. E il ceo ha deciso di metterci la faccia. Solo perché era un fondatore della società? Anche. Forse. Ma l’impressione è che ci credesse. La società sta ora sperimentando una serie di cause per cui dovrà ben attrezzarsi oltre alle scuse. Ma queste ultime si stima abbiano dato un contributo prezioso per rimanere sul mercato e avere un’altra chance. (riproduzione riservata)

*docente di Strategie di Comunicazione alla Luiss Guido Carli

**avvocato esperta in corporate governance della cybersecurity