Чек-лист: как не «слить» данные клиентов через рассылочные сервисы

Пять советов по защите информации от Александра Алхимова, руководителя портфеля продуктов центра digital-рекламы и информирования МТС

Российские компании все чаще подвергаются кибератакам. По статистике, представленной на прошедшем ПМЭФ, с февраля их количество выросло в 15 раз. По данным Банка России, только в марте было зафиксировано более 370 атак на финансовые организации.

Меняется и характер «нападений», так, Сбербанк отметил, что пережил самую мощную DDoS-атаку в своей истории, направленную на сайт банка. Ее пиковая мощность превысила 450 гигабит в секунду.

Один из самых неприятных результатов хакерских взломов – утечка клиентских данных. Сейчас практически каждую неделю в ленте появляются подобные новости.

По данным Group-IB, с мая по начало июня 2022 года в интернет «слили» более 50 баз данных российских компаний. Под угрозой оказываются персональная информация пользователей, данные о платежах, адреса и пароли от личных кабинетов с интернет-площадок и даже результаты медицинских анализов.

Ключевые последствия утечек данных для компаний – это судебные иски от пользователей, финансовые и репутационные потери.

В прошлом месяце Минцифры согласовало законопроект о новых штрафах за утечку персональных клиентских данных. Инициатива предполагает введение оборотного штрафа в 1% и увеличение его до 3%, если организация попытается скрыть инцидент.

Неочевидная «ахиллесова пята»

Не все знают, что одним из «мест» возможной утечки данных могут стать сервисы рассылок. Это те IT-продукты, которые помогают бизнесу делать sms и e-mail рассылки, отправлять push-уведомления, а также общаться с аудиторией в мессенджерах. Банки, ритейл, транспортные и другие сервисные компании повсеместно используют эти программы. Акционные предложения, данные о статусе заказа и sms о поступлении зарплаты на счет – все эти сообщения приходят благодаря сервисам рассылок.

Чаще всего такие IT-решения находятся за пределами организации, то есть, они не встроены в собственные системы. Как результат – бизнес не может контролировать, как используются и хранятся данные, а также предотвращать риски утечек. Создавая подобные сервисы, агрегаторы могут делать «как дешевле» или «как проще», при этом вопросы безопасности уходят на второй план.

Еще один большой риск в том, что агрегаторы в большинстве своем работают с несколькими клиентами, а значит – накапливают большой массив данных, которые могут быть привлекательными для мошенников. Существуют два типа компаний, предоставляющих бизнесу рассылочные сервисы. Первый – организации, у которых есть собственные каналы для предоставления услуг связи. В частности, к такому типу относится МТС, предлагающая свой собственный продукт для рассылок МТС OmniChannel. Вторые – это агрегаторы. Они перекупают существующие на рынке сервисы и предлагают их бизнесу.

Как защитить информацию

Я рекомендую всем компаниям, которые работают с программами рассылок, обратить внимание на пять ключевых факторов.

1. Страна, где хранятся данные ваших клиентов

Как может получиться так, что клиентские данные вашего сервиса оказываются в другой стране?

Часто на этапе выбора сервиса более привлекательными кажутся более дешевые и простые агрегаторы. К этой категории могут относиться и иностранные приложения. Как правило, архитектура рассылочного сервиса остается «за кадром». Проверить все нюансы могла бы служба безопасности, но, если её нет, не всегда штатные сотрудники глубоко погружаются в вопросы хранения пользовательских данных.

Другой вариант – компания планирует выйти на зарубежные рынки и понимает, что в этом случае данные клиентов должны храниться в ЦОДах той страны, где она будет работать. Если после проверки вы поняли, что данные хранятся за пределами РФ, рассмотрите возможность переноса их в российские ЦОДы. Сориентирую по срокам. Между «облаками» одного агрегатора (у которого ЦОДы и в нашей стране, и за рубежом) данные переносятся за два-три дня. В альтернативном случае, если переезд будет происходить из зарубежного ЦОДа одной компании в российский ЦОД другой – процесс может занять до трех месяцев.

Акцентирую внимание, что, когда вы «переезжаете» между ЦОДами разных компаний, обязательно запросите от вашего текущего подрядчика уничтожения всех имеющихся данных, текстов и статистики. Пусть он также пришлет документы, подтверждающие, что все удалено. Бывает, что по умолчанию контрагент этого не делает.

2. ЦОД, в котором находятся данные

Зачастую агрегаторы арендуют место в коммерческих центрах обработки данных. При этом более безопасны компании, у которых есть свои ЦОДы на территории страны. МТС как раз такая компания. Все данные, обрабатываемые сервисом МТС OmniChannel, хранятся в наших собственных ЦОДах.

Аренда места во внешнем ЦОДе может не влиять на качество услуг. Но помните - есть четыре типа ЦОДов (от Tier I до Tier IV), которые отличаются по уровню безопасности и отказоустойчивости. В этой классификации самым надежным будет центр обработки данных стандарта Tier IV. Для целей бизнеса мы всегда рекомендуем использовать ЦОД не ниже Tier III.

3. Лицензированное ПО

Любая агрегаторская платформа – это, по факту, IT-решение. А значит она состоит из базы данных и компонентов, некоторые из них могут использовать открытый исходный код. В числе прочих факторов это означает отсутствие должной технологической поддержки этих элементов. Такие решения могут стоить дешевле, но быть при этом небезопасными для использования. Рекомендую проверять, чтобы все компоненты ПО вашего сервиса были лицензионными с регулярными обновлениями от вендора. Хороший вариант – запросить у вендора «состав» решения – технические компоненты, на которых реализован IT-продукт. Обязательно уточните, как и с какой регулярностью происходят обновления системы. Вы также можете самостоятельно проверить наличие программного обеспечения в реестре отечественного ПО. Лучше, чтобы все эти вопросы с вендором напрямую обсуждали IT-специалист и сотрудник службы безопасности, это поможет исключить недопонимание и неправильную трактовку.

4. Сотрудники, у которых есть доступ к данным

Не всегда причиной утечки данных являются внешние атаки. Нередко в инцидентах виноваты сами сотрудники компании, которые по незнанию или неосторожности открывают хакерам доступ к информации или корпоративным ресурсам. Компания может столкнуться также и с промышленным шпионажем, когда работник специально передает кому-то данные, предназначенные для внутреннего использования, с целью получения собственной выгоды. Посмотрите, кто из сотрудников имеет доступ к рассылочным сервисам, и постарайтесь, по возможности, сократить этот список. Зачастую ограничение доступа к информации не влияет на бизнес-процессы, но повышает уровень безопасности. Также рекомендую обратить внимание на то, кто из ваших коллег к каким данным имеет доступ, возможно, список стоит обновить. Еще один совет – проведите обучающий тренинг по работе с персональными данными, расскажите сотрудникам о том, как происходят «сливы», что нужно сделать, чтобы их избежать, и какая ответственность на них возложена.

5. Собственная функция безопасности в компании

У компаний среднего и крупного бизнеса чаще всего есть службы безопасности, задача которых – отслеживать и предотвращать возможные угрозы для бизнеса, регулярно проводить мониторинг сервисов и IT-решений, с которыми работает организация. Но даже сотрудники таких служб не всегда уделяют должное внимание изучению цифрового продукта со всех сторон, проверке его на предмет уязвимостей и рисков взлома. Я рекомендую перед тем, как выбрать сервис для бизнеса, обязательно провести аудит силами ресурсов компании. Можно также довериться организациям, работающими с чувствительными данными и на законодательном уровне соблюдающим все требования к цифровой безопасности IT-решений. К таким компаниям относятся телеком-операторы.

Помните, что для компании, оказывающей услуги агрегатора, соблюдение всех правил безопасности может дорого стоить, поэтому какими-то организация может пренебречь. Будьте внимательны, выбирая платформу для рассылки.

В 2022 году количество рекламных каналов сократилось. В оставшихся появляются ограничения, которые влияют на эффективность процессов. Как результат – растет стоимость привлечения новых клиентов. В этой ситуации работа с текущей базой становится «новым черным». И здесь на помощь приходят сервисы для direct-маркетинга, эффективный канал для коммуникации с потребителями и работы с их лояльностью. Но главное – соблюдать все требования безопасности. Для этого составьте список вопросов вендору, задав которые, вы выясните, насколько вам подходит тот или иной сервис.

И совет напоследок – сегодня, чтобы защитить свой бизнес и аудиторию, выбирайте сервисы и цифровые продукты от российских компаний. Их продукты в большинстве случаев соответствуют ключевым требованиям безопасности, а данные хранятся на территории РФ.