Кибербезопасность
в клиентском сервисе:
стратегии и технологии

Еще в 2006 году математик Клайв Хамби произнес мысль, которая стала одной из главных в 21 веке: «Данные — это новая нефть». Имелось в виду, что, как и горючее ископаемое, данные ценны не сами по себе, а благодаря тому, что с их помощью можно создать востребованные продукты, которые будут приносить прибыль.

По этой причине сегодня почти каждая компания собирает данные о своих клиентах. И конечно, эта информация привлекательна для злоумышленников: ее продают и используют для разного рода мошенничества. Например, с 2016 г. по 2021 г. в результате кибератак деловой почты было похищено $43,31 млрд.

Поясним, что когда говорят о клиентских данных, имеют в виду персональную информацию, указывающую на конкретного человека. Это могут быть: имя, имейл, местоположение, IP-адрес, номер телефона, банковские данные и другие сведения.

В интересах компаний, чтобы информация о клиентах оставалась конфиденциальной, поскольку:

• Этого требуют законы. Они отличаются в разных странах и, что важно, применяются в локации пользователя, который поделился своими данными. Так, российские компании, которые собирают информацию о клиентах, могут столкнуться не только с Законом о персональных данных в РФ, но также с GDPR (Общим регламентом защиты персональных данных для граждан ЕС), CCPA (Законом Калифорнии о защите персональных данных потребителей) и другими нормативными актами. Нарушение правил приведет к штрафам.
  

• Падает и доверие клиентов, и репутация компании. Конечно же, пользователи не хотят, чтобы их данные оказывались в руках злоумышленников. И на утечку информации реагируют негативно. Нередки случаи, когда клиенты подавали на компании коллективные иски. Например, после утечки данных в Яндекс.Еде более 700 человек потребовали моральную компенсацию.
  

• Трата времени и средств. Если произойдет инцидент, бизнесу придется тратить ресурсы на расследование, установление причин и устранение последствий. Из-за этого основная работа компании может идти гораздо медленнее или вовсе остановиться. В целом, по оценкам IBM Security, утечка данных обходится бизнесу в среднем в $4,24 млн.

Проанализируйте возможные угрозы

Прежде всего, нужно понимать, с какими угрозами вы в принципе можете столкнуться: DDoS-атаки, SQL-инъекции, вирусы, инсайдерские утечки, человеческий фактор. Также старайтесь отслеживать, какие новые угрозы возникают в сфере кибербезопасности – об этом мы отдельно расскажем далее.

Поскольку угрозы проявляются не самостоятельно, а через наличие уязвимостей, важно определить и их. Они могут быть связаны с несовершенством программного обеспечения, неточностью протоколов обмена информацией и интерфейса, сложностью условий расположения данных и другими факторами.

Если вы определите и пропишите все угрозы и уязвимости, то сможете понять, какие меры помогут лучше защитить данные клиентов.

Собирайте лишь ту информацию, которая нужна

Если вы сосредоточитесь на сборе только тех данных, которые действительно важны для достижения целей компании, это позволит:

• уменьшить внешнюю ценность ваших данных;
  

• повысить доверие потребителей.

Злоумышленники с меньшей вероятностью будут красть информацию, которая не представляет большой ценности. Например, если вы храните только список email-адресов, они могут даже не пытаться их заполучить.

Но если вы собираете имена, номера телефонов, информацию о местоположении и доходе, ваши данные становятся более ценными. Кроме того, и сами пользователи начинают задаваться вопросом, для чего они вам и действительно ли вы честно с ними обращаетесь.

Чтобы оценить, какая информация действительно важна для развития компании, регулярно просматривайте каждый фрагмент данных и задавайте себе вопрос: «Если бы у нас не было этой информации, каковы были бы результаты нашей работы?».

Аудит данных стоит проводить хотя бы раз в год, так как со временем вы начнете собирать ненужные данные, даже не осознавая этого. Также регулярно анализируйте источники этих данных. Вы можете обнаружить неочевидные места вроде инструментов аналитики и офлайн-магазинов.

Избегайте разрозненности данных

Когда данные клиентов хранятся в разных местах и форматах, ими не только сложнее управлять, но также повышается их уязвимость:

• данные могут располагаться в незащищенных приложениях;
  
  
• из-за большего количества точек доступа к данным они сильнее подвержены кибератакам;
  
  
• вы можете забыть, где находятся определенная информация, и в случае утечки даже не подозревать об этом.
  

Чтобы устранить разрозненность, старайтесь хранить информацию о клиентах в одном месте. Также создайте план управления данными. В нем пропишите, какая информация где расположена.

Используйте защитные технологии

Защищать данные клиентов помогают такие инструменты, как:

• Антивирусные программы. Они позволяют обнаруживать и устранять вирусы. Есть несколько видов таких ПО: сканеры, ревизоры, доктора, детекторы и другие.
  

• Брандмауэры (межсетевые экраны). Решение, которое позволяет контролировать и фильтровать сетевой трафик.
  

• DLP-системы (от англ. Data Loss Prevention – предотвращение потери данных). Инструмент, который мониторит действия пользователей, фильтрует потоки информации и контролирует ее перемещение.
  

• Модули доверенной загрузки. Позволяют предотвращать несанкционированный доступ к данным благодаря тому, что запуск ОС осуществляется исключительно с доверенных носителей.
  

• Системы обнаружения вторжений. Устройство или ПО, которое помогает выявить несанкционированную или вредоносную активность.
  

• Прокси-сервер. Это сервер, который выступает посредником между интернет-ресурсом и пользователем. Он позволяет обеспечить клиенту анонимность в сети, скрывая его IP-адрес. Также он может блокировать нежелательные ресурсы и вредоносное ПО.
  

• CSPM (от англ. Cloud Security Posture Management – управление положением облачной безопасности). Системы или комплекс технологий, которые позволяют контролировать безопасность облачных ресурсов.
  

• Системы SIEM (от англ. Security Information and Event Management – управление событиями и информационной безопасностью). Этот инструмент собирает информацию о работе корпоративной структуры.
  

• Системы шифрования. Позволяют переводить конфиденциальные данные в недоступный для чтения вид. Просмотреть их можно будет только при наличии ключа. Если зашифрованные данные будут украдены, злоумышленники не смогут их прочитать.

Выбирайте те технологии, которые больше всего отвечают требованиям компании и регулярно обновляются. Для полноценной защиты использовать их нужно в комплексе.

Тут же отметим, что важно на забывать обновлять программы на устройствах. Операционные системы и приложения постоянно подвергаются угрозам безопасности. Когда какая-либо уязвимость появляется в открытом доступе, разработчики выпускают обновления с устранением слабых мест.

Внимательно выбирайте инструменты для работы

Компании часто используют инструменты, которые помогают упростить работу с клиентами и сделать их более лояльными: CRM-системы, сервис-дески, сервисы email-рассылок, инструменты аналитики и получения обратной связи. Сюда же можно отнести и почтовые сервисы.

Эти инструменты обычно хранят персональные данные клиентов, поэтому важно внимательно относиться к их выбору. Обращайте внимание на проверенные решения, которые давно присутствуют на рынке. Промониторьте, случались ли у выбранной системы утечки данных и какие организации используют ее в настоящий момент.

Также обратите внимание, что такие системы могут иметь облачную и коробочную версии, например, сервис-деск Admin24 предлагает и тот, и другой вариант. Принято считать, что коробочная версия более надежна, так как все данные организация хранит на собственных серверах. Однако в некоторых случаях может быть безопаснее выбрать «облако», например, если компания небольшая и не может полноценно обеспечить их защиту.

Ограничьте круг лиц для доступа к данным клиентов

Не каждому сотруднику стоит иметь доступ ко всем клиентским данным. А кому-то они и вовсе не нужны. Чем сильнее вы сузите круг лиц, которым будет доступна та или иная информация, тем менее уязвимой она будет.

Если ранее вы не заключали с сотрудниками договор NDA (соглашение о неразглашении конфиденциальной информации), то пришло время это сделать. Пропишите в нем, какая информация будет считаться конфиденциальной, ответственность сторон, порядок обмена доступами к данным, каналы передачи информации и сроки действия соглашения.

Также не забывайте после ухода сотрудников менять пароли и деактивировать их аккаунты, например, в CRM-системе или сервис-деске. Это элементарное правило, однако компании часто им пренебрегают.

Обучите сотрудников

Каждый сотрудник в компании должен быть проинформирован о правилах кибербезопасности.

Объясните команде, какая информация является конфиденциальной, чем грозит слив баз данных и к кому обратиться в случае любых подозрений на кибератаку.

Также расскажите, какие угрозы кибербезопасности существуют. В первую очередь о тех, которые непосредственно их касаются. Например, о схеме фишинга, когда злоумышленники под маской известного бренда предлагают пройти по ссылкам и ввести свои данные.

Назначьте ответственных за безопасность данных

Наймите DPO (Data Protection Officer) – специалиста, который будет отвечать за защиту персональных данных клиентов, сотрудников, поставщиков и других лиц. Он также будет вести реестр операций по обработке данных, оценивать воздействие на их защиту и вести коммуникацию с регулирующими органами.

Не будет лишним и отдельный специалист по кибербезопасности – тот, кто обеспечит защиту данных от взлома. Такой сотрудник будет искать уязвимые места, быстро реагировать на кибератаки и сбои, анализировать их при возникновении.

Конечно, найм новых людей – дополнительные траты. Однако вы потратите гораздо больше в случае утечки данных.

Если данные клиентов все-таки оказались в чужих руках, то нужно в течение 24 часов сообщить об инциденте в Роскомнадзор. В случае, если к вам применимы другие нормальные акты, например, GDPR, то необходимо предупредить соответствующие надзорные структуры.

Далее придется разбираться, в чем причина утечки данных. В этом могут помочь DLP-системы, о которых мы писали ранее, а также опрос сотрудников и проверка камер видеонаблюдения. После того, как виновный будет найден, ему назначают меру наказания.

Также в этой ситуации следует предупредить и клиентов. Стоит не только сообщить о самом факте утечки данных, но также информировать их о ходе расследования и о том, какие меры принимаете, чтобы инцидент не повторился. Чем более открыто вы будете действовать, тем меньше будет отток клиентов и тем быстрее вы сможете вернуть их доверие.

В последние годы технологии развиваются наиболее активно. И конечно, злоумышленники используют их, чтобы получить доступ к данным. Такие инструменты, как искусственный интеллект и 5G позволяют им организовывать более опасные атаки. Однако эти же технологии можно использовать и для повышения уровня киберзащиты.

• Искусственный интеллект. С его помощью киберпреступники создают вредоносное ПО, которое способно пробить даже мощную защиту. В то же время ИИ способен прогнозировать кибератаки и в режиме реального времени обнаруживать подозрительную активность. По мнению Максута Шадаева, главы Минцифры РФ, в ближайшие 6 лет основным направлением развития ИИ в России станет как раз кибербезопасность.
  

• Системы 5G. Пятое поколение мобильной связи тоже открывает новые возможности для кибератак, в том числе уязвимые конечные точки в виде IoT-устройств. В то же время эта технология позволяет реализовывать более мощные способы защиты, а также быстрее находить уязвимости и принимать меры.
  
  

Помимо этого, важно учитывать такие новые угрозы, как дипфейки и бесфайловые вредоносные программы:

• Дипфейки. Это файл-подделка, часто – видео или аудио, созданный с помощью искусственного интеллекта. Киберпреступники используют дипфейки, чтобы обманным путем заполучить данные или средства. Чтобы бороться с ними, обсуждайте такой вид угрозы с сотрудниками. Об этом стоит предупредить и клиентов, особенно если у вашей компании есть официальный амбассадор. Также в распознавании дипфейков могут помочь решения на основе ИИ.

• Бесфайловые вредоносные программы. Такое ПО очень сложно обнаружить, поскольку оно не оставляет никаких следов на диске. И в настоящее время они представляют для компаний наиболее серьезную угрозу. Чтобы снизить риски, используйте надежные антивирусные программы и регулярно их обновляйте. Некоторые решения уже обещают защитить от бесфайловых вредоносных программ. Со временем их методы будут совершенствоваться.
  

Какие еще киберугрозы будут подстерегать бизнес в будущем – определить трудно. Но вы уже сейчас можете снизить риски, используя наши рекомендации и известные способы защиты.

Также учтите, что сегодня компании просто вынуждены следить, какие новые угрозы возникают, и быть проактивными в сфере киберзащиты. Это поможет быстро адаптироваться под новые методы атак и успешно их отражать.