5 шагов к безопасности: как компании предотвратить утечку данных через рассылочные программы

Одно из главных последствий кибератак для компаний — утечка пользовательских данных. Опасности подвергаются персональная информация клиентов, сведения об оплатах банковскими картами, пароли от личных кабинетов на сайтах и в социальных сетях.

Для компаний это может обернуться репутационными рисками, судебными разбирательствами и финансовыми потерями.

Сегодня на законодательном уровне для компаний обозначен штраф за утечку персональной информации пользователей в размере до 500 тыс. рублей. Однако обсуждается возможность введения оборотных штрафов для бизнеса.

То есть если по вине компании происходит утечка персональных данных, штраф для нее будет в размере доли от годовой выручки компании на территории России.

Читайте по теме:

Как подружить разработку и безопасность в рамках одной компании?

5 крупных случаев утечки информации и как их можно было избежать

Где может скрываться опасность

Одно из уязвимых мест среднего и крупного бизнеса — рассылочные сервисы, с помощью которых компании осуществляют sms- и email-рассылки, отправляют push-уведомления и сообщения в мессенджерах. Так банки, ритейлеры, сервисные компании информируют о статусе заказа, акциях, высылают одноразовые пароли, данные по банковским транзакциям и др.

В большинстве случаев такие программы находятся за периметром организации, а значит, бизнес не может контролировать надежность хранения данных и предотвращать их возможные утечки.

При этом при создании сервиса агрегаторы могут ориентироваться на экономическую составляющую и удобство эксплуатации системы, а не на вопросы безопасности. Кроме того, подобные сервисы работают с несколькими компаниями, что гарантирует большой объем клиентских данных для мошенников.

Можно выделить два типа компаний, который предоставляют бизнесу подобные программы.

• Первые — отраслевые компании, имеющие собственные каналы по предоставлению услуг связи: отправка sms-, email- и push-уведомлений, сообщений в мессенджерах.
• Второй тип — агрегаторы, которые занимаются перекупкой существующих на рынке сервисов и предложением их бизнесу.

Как уберечь данные

Бизнесу, который работает с рассылочными программами, я рекомендую обратить внимание на несколько важных аспектов.

Шаг 1. Проверьте, где хранятся данные ваших клиентов: в России или за рубежом

Зачастую на этапе выбора подрядчика компании при прочих равных отдают предпочтение агрегатору, который дешевле и проще в эксплуатации. Иногда рассылочную платформу выбирают, ориентируясь на будущие планы выхода на международные рынки.

В случае работы с клиентами из других стран необходимо, чтобы данные пользователей хранились на территории этих государств. В большинстве случаев архитектура компании-агрегатора уходит из поля зрения, и, если у бизнеса нет собственной службы безопасности, штатные сотрудники организации могут просто не знать всех тонкостей.

В случае, если клиентские данные, которые находятся в рассылочном сервисе, хранятся не в России, стоит задуматься о переносе их в российские ЦОДы.

Читайте также:

6 технологических гигантов, которые были взломаны хакерами LAPSUS$

Как правило, перенос данных между «облаками» одного агрегатора (если у агрегатора есть свои ЦОДы и в России, и за рубежом) занимает в среднем 2-3 дня. Если у компании-агрегатора собственного ЦОДа в России нет, то переезд в коммерческий ЦОД или центр обработки данных другого агрегатора может занимать до 3 месяцев.

Важный момент — в случае смены ЦОДа или поставщика услуг рассылки сообщений необходимо попросить текущего подрядчика удалить все данные, тексты сообщений и статистику. Пусть агрегатор предоставит доказательства этого в удобном для обеих сторон формате.

Шаг 2. Проверьте ЦОД, в котором находятся данные

Как правило, компании, предоставляющие агрегаторские услуги, арендуют место в коммерческих ЦОДах. Однако организации, у которых есть собственный центр обработки данных, более безопасны. В целом это не влияет на предоставление услуг, но важно понимать, ЦОД какого уровня безопасности и отказоустойчивости используется.

Существует стандарт Uptime Institute, в котором прописана классификация ЦОДов по уровню надежности.

Так, существует 4 уровня, где Tier I — самый низкий уровень надежности, а Tier IV — ЦОД с полностью отказоустойчивой инфраструктурой.

Мы рекомендуем использовать ЦОД не ниже Tier III.

Шаг 3. Проверьте ПО на наличие лицензий

Как и любой IT-продукт, агрегаторская платформа состоит из базы данных и компонентов, часть из которых может использовать открытый исходный код (open-source) без должной поддержки.

Такие решения могут быть более дешевыми, но менее безопасными. Стоит проверить, чтобы все используемые элементы ПО были лицензионными, а их обновление официально поддерживалось вендорами.

Можно также запросить у вендора состав ПО, на котором реализован сервис, спросить, каким образом оно поддерживается и обновляется, проверить наличие программного обеспечения в реестре отечественного ПО. Желательно, чтобы эти вопросы задавал IT-специалист или сотрудник службы информационной безопасности.

Читайте по теме:

Зачем нужен реестр российского ПО и как туда попасть

Шаг 4. Пересмотрите штат сотрудников, имеющих доступ к сервисам рассылки

Утечка данных пользователей может произойти не только из-за внешних атак. Часто причиной инцидентов становится человеческий фактор.

Сотрудники компаний могут сами не подозревая «открыть» хакерам доступ к данным. Еще хуже, когда работники делают это осознанно с целью получения прибыли, как, например, в случаях промышленного шпионажа.

Поэтому я рекомендую по возможности сузить круг сотрудников, имеющих доступ к программам рассылок, усилить контроль за доступом работников к данным, а также провести специальные отдельное обучение по обработке персональных данных, в котором подробно рассказать о причинах утечки данных пользователей, последствиях для бизнеса и лично каждого сотрудника.

Шаг 5. Усильте функцию безопасности

В большинстве случаев у крупных компаний есть собственные службы информационной безопасности, которые решают задачи по противодействию возникающим угрозам.

В целом рекомендуется регулярно проводить мониторинг уязвимости систем. Но даже специалисты таких служб не всегда могут предугадать все риски, которые несут в себе различные цифровые продукты.

Поэтому, выбирая сервис для рассылок, нужно всегда комплексно оценивать, насколько велик риск его «взломать». Можно или самостоятельно провести аудит решения, или довериться компаниям, которые по закону должны уметь работать с чувствительными данными и гарантировать должный уровень безопасности. К таким игрокам относятся, например, операторы сотовой связи.

Для агрегаторов соблюдение всех правил безопасности — это затраты, которые увеличивают стоимость решения, не принося при этом явного эффекта. Поэтому при выборе платформы для рассылки нужно быть особенно внимательным.

Вывод

Сегодня эффективное взаимодействие с собственной базой — это новый тренд, так как рекламных каналов становится все меньше, и это влияет на увеличение стоимости привлечения новых клиентов. За счет этого повышается спрос на работу компании с уже имеющимися данными.

Сервисы рассылок — действенный инструмент для direct-маркетинга, который при соблюдении всех требований безопасности становится еще и надежным каналом коммуникации с потребителями. Поэтому на этапе выбора такого сервиса стоит составить чек-лист вопросов, которые помогут вам понять, насколько безопасен тот или иной вендор.

Чтобы защитить свою компанию и клиентов, рекомендуем выбирать решения крупных российских компаний, чьи продукты полностью соответствуют цифровым сертификатам безопасности, а все данные о взаимодействиях с клиентами хранятся в надежных хранилищах.

Фото на обложке: Shutterstock / vs148