реклама
разместить

Чек-лист: как не «слить» данные клиентов через рассылочные сервисы

Пять советов по защите информации от Александра Алхимова, руководителя портфеля продуктов центра digital-рекламы и информирования МТС

Чек-лист: как не «слить» данные клиентов через рассылочные сервисы

Российские компании все чаще подвергаются кибератакам. По статистике, представленной на прошедшем ПМЭФ, с февраля их количество выросло в 15 раз. По данным Банка России, только в марте было зафиксировано более 370 атак на финансовые организации.

Меняется и характер «нападений», так, Сбербанк отметил, что пережил самую мощную DDoS-атаку в своей истории, направленную на сайт банка. Ее пиковая мощность превысила 450 гигабит в секунду.

Один из самых неприятных результатов хакерских взломов – утечка клиентских данных. Сейчас практически каждую неделю в ленте появляются подобные новости.

По данным Group-IB, с мая по начало июня 2022 года в интернет «слили» более 50 баз данных российских компаний. Под угрозой оказываются персональная информация пользователей, данные о платежах, адреса и пароли от личных кабинетов с интернет-площадок и даже результаты медицинских анализов.

Ключевые последствия утечек данных для компаний – это судебные иски от пользователей, финансовые и репутационные потери.

В прошлом месяце Минцифры согласовало законопроект о новых штрафах за утечку персональных клиентских данных. Инициатива предполагает введение оборотного штрафа в 1% и увеличение его до 3%, если организация попытается скрыть инцидент.

Неочевидная «ахиллесова пята»

Не все знают, что одним из «мест» возможной утечки данных могут стать сервисы рассылок. Это те IT-продукты, которые помогают бизнесу делать sms и e-mail рассылки, отправлять push-уведомления, а также общаться с аудиторией в мессенджерах. Банки, ритейл, транспортные и другие сервисные компании повсеместно используют эти программы. Акционные предложения, данные о статусе заказа и sms о поступлении зарплаты на счет – все эти сообщения приходят благодаря сервисам рассылок.

Чаще всего такие IT-решения находятся за пределами организации, то есть, они не встроены в собственные системы. Как результат – бизнес не может контролировать, как используются и хранятся данные, а также предотвращать риски утечек. Создавая подобные сервисы, агрегаторы могут делать «как дешевле» или «как проще», при этом вопросы безопасности уходят на второй план.

Еще один большой риск в том, что агрегаторы в большинстве своем работают с несколькими клиентами, а значит – накапливают большой массив данных, которые могут быть привлекательными для мошенников. Существуют два типа компаний, предоставляющих бизнесу рассылочные сервисы. Первый – организации, у которых есть собственные каналы для предоставления услуг связи. В частности, к такому типу относится МТС, предлагающая свой собственный продукт для рассылок МТС OmniChannel. Вторые – это агрегаторы. Они перекупают существующие на рынке сервисы и предлагают их бизнесу.

Как защитить информацию

Я рекомендую всем компаниям, которые работают с программами рассылок, обратить внимание на пять ключевых факторов.

1. Страна, где хранятся данные ваших клиентов

Как может получиться так, что клиентские данные вашего сервиса оказываются в другой стране?

Часто на этапе выбора сервиса более привлекательными кажутся более дешевые и простые агрегаторы. К этой категории могут относиться и иностранные приложения. Как правило, архитектура рассылочного сервиса остается «за кадром». Проверить все нюансы могла бы служба безопасности, но, если её нет, не всегда штатные сотрудники глубоко погружаются в вопросы хранения пользовательских данных.

Есть четыре типа ЦОДов (от Tier I до Tier IV), которые отличаются по уровню безопасности и отказоустойчивости. В этой классификации самым надежным будет центр обработки данных стандарта Tier IV. Для целей бизнеса мы всегда рекомендуем использовать ЦОД не ниже Tier III.

Александр Алхимов, Руководитель портфеля продуктов центра digital-рекламы и информирования МТС

Другой вариант – компания планирует выйти на зарубежные рынки и понимает, что в этом случае данные клиентов должны храниться в ЦОДах той страны, где она будет работать. Если после проверки вы поняли, что данные хранятся за пределами РФ, рассмотрите возможность переноса их в российские ЦОДы. Сориентирую по срокам. Между «облаками» одного агрегатора (у которого ЦОДы и в нашей стране, и за рубежом) данные переносятся за два-три дня. В альтернативном случае, если переезд будет происходить из зарубежного ЦОДа одной компании в российский ЦОД другой – процесс может занять до трех месяцев.

Акцентирую внимание, что, когда вы «переезжаете» между ЦОДами разных компаний, обязательно запросите от вашего текущего подрядчика уничтожения всех имеющихся данных, текстов и статистики. Пусть он также пришлет документы, подтверждающие, что все удалено. Бывает, что по умолчанию контрагент этого не делает.

2. ЦОД, в котором находятся данные

Зачастую агрегаторы арендуют место в коммерческих центрах обработки данных. При этом более безопасны компании, у которых есть свои ЦОДы на территории страны. МТС как раз такая компания. Все данные, обрабатываемые сервисом МТС OmniChannel, хранятся в наших собственных ЦОДах.

Аренда места во внешнем ЦОДе может не влиять на качество услуг. Но помните - есть четыре типа ЦОДов (от Tier I до Tier IV), которые отличаются по уровню безопасности и отказоустойчивости. В этой классификации самым надежным будет центр обработки данных стандарта Tier IV. Для целей бизнеса мы всегда рекомендуем использовать ЦОД не ниже Tier III.

3. Лицензированное ПО

Любая агрегаторская платформа – это, по факту, IT-решение. А значит она состоит из базы данных и компонентов, некоторые из них могут использовать открытый исходный код. В числе прочих факторов это означает отсутствие должной технологической поддержки этих элементов. Такие решения могут стоить дешевле, но быть при этом небезопасными для использования. Рекомендую проверять, чтобы все компоненты ПО вашего сервиса были лицензионными с регулярными обновлениями от вендора. Хороший вариант – запросить у вендора «состав» решения – технические компоненты, на которых реализован IT-продукт. Обязательно уточните, как и с какой регулярностью происходят обновления системы. Вы также можете самостоятельно проверить наличие программного обеспечения в реестре отечественного ПО. Лучше, чтобы все эти вопросы с вендором напрямую обсуждали IT-специалист и сотрудник службы безопасности, это поможет исключить недопонимание и неправильную трактовку.

4. Сотрудники, у которых есть доступ к данным

Не всегда причиной утечки данных являются внешние атаки. Нередко в инцидентах виноваты сами сотрудники компании, которые по незнанию или неосторожности открывают хакерам доступ к информации или корпоративным ресурсам. Компания может столкнуться также и с промышленным шпионажем, когда работник специально передает кому-то данные, предназначенные для внутреннего использования, с целью получения собственной выгоды. Посмотрите, кто из сотрудников имеет доступ к рассылочным сервисам, и постарайтесь, по возможности, сократить этот список. Зачастую ограничение доступа к информации не влияет на бизнес-процессы, но повышает уровень безопасности. Также рекомендую обратить внимание на то, кто из ваших коллег к каким данным имеет доступ, возможно, список стоит обновить. Еще один совет – проведите обучающий тренинг по работе с персональными данными, расскажите сотрудникам о том, как происходят «сливы», что нужно сделать, чтобы их избежать, и какая ответственность на них возложена.

В 2022 году количество рекламных каналов сократилось - стоимость привлечения новых клиентов растет. В этой ситуации работа с текущей базой становится «новым черным». На помощь приходят сервисы для direct-маркетинга - эффективный канал для коммуникации с потребителями и работы с их лояльностью.

Александр Алхимов, Руководитель портфеля продуктов центра digital-рекламы и информирования МТС

5. Собственная функция безопасности в компании

У компаний среднего и крупного бизнеса чаще всего есть службы безопасности, задача которых – отслеживать и предотвращать возможные угрозы для бизнеса, регулярно проводить мониторинг сервисов и IT-решений, с которыми работает организация. Но даже сотрудники таких служб не всегда уделяют должное внимание изучению цифрового продукта со всех сторон, проверке его на предмет уязвимостей и рисков взлома. Я рекомендую перед тем, как выбрать сервис для бизнеса, обязательно провести аудит силами ресурсов компании. Можно также довериться организациям, работающими с чувствительными данными и на законодательном уровне соблюдающим все требования к цифровой безопасности IT-решений. К таким компаниям относятся телеком-операторы.

Помните, что для компании, оказывающей услуги агрегатора, соблюдение всех правил безопасности может дорого стоить, поэтому какими-то организация может пренебречь. Будьте внимательны, выбирая платформу для рассылки.

В 2022 году количество рекламных каналов сократилось. В оставшихся появляются ограничения, которые влияют на эффективность процессов. Как результат – растет стоимость привлечения новых клиентов. В этой ситуации работа с текущей базой становится «новым черным». И здесь на помощь приходят сервисы для direct-маркетинга, эффективный канал для коммуникации с потребителями и работы с их лояльностью. Но главное – соблюдать все требования безопасности. Для этого составьте список вопросов вендору, задав которые, вы выясните, насколько вам подходит тот или иной сервис.

И совет напоследок – сегодня, чтобы защитить свой бизнес и аудиторию, выбирайте сервисы и цифровые продукты от российских компаний. Их продукты в большинстве случаев соответствуют ключевым требованиям безопасности, а данные хранятся на территории РФ.

1010
реклама
разместить
3 комментария

Именно от менеджеров МТС приходят в почту рассылки с открытом списком адресов получателей)) Неплохо поставлена работа по защите данных =D

4

Я диджитал-маркетолог. Увидел рекламу, что за регистрацию нового клиента (кредитка или дебетка) платится по 500 или 1000 руб каждому. Решил зарегистрироваться и дальше имея свою реферальную ссылку рекламировать акцию и зарабатывать на рефералке. В итоге во время регистрации мне не одобрили кредитную карту и выдали только дебетовую. На вопрос о бонусе мне ответили, что т.к. я регистрировался по ссылке на кредитную карту, а выдали дебетовую, то бонуса не будет. А про универсальную реферальную ссылку для всех продуктов и акций, как у нормальных банков в МТС видимо малодушно не слышали. Короче вы не банк, а залупа кошачья и хуже вас только Тинькофф.

2

Очень иронично, что на подобную тему рассуждаете именно вы - совсем недавно получила несколько звонков с рекламой ваших услуг (как и звонки от других спамеров по, очевидно, слитой базе).

2
«Яндекс Драйв» снизил требования для водителей — каршеринг доступен пользователям от 18 лет и без стажа

За исключением некоторых автомобилей.

33
22
22
11
реклама
разместить
Xiaomi открыла продажи спортивного электромобиля SU7 Ultra

Пока в Китае, по цене от 529,9 тысячи юаней (около 6,2 млн рублей).

Источник здесь и далее: Xiaomi, Carnewschina
99
33
11
Как ускорить рост бизнеса: 3 совета от экспертов Школы СКОЛКОВО

«Как выйти из управленческой рутины и ускорить стабильный, но медленный рост бизнеса?» — с таким вопросом обратился один из подписчиков телеграм-канала Школы управления СКОЛКОВО. Где именно искать точки роста и что делать, если их не просматривается, рассказали эксперты СКОЛКОВО.

11
В VK никто не покупает? Клиент Vitamin.tools объясняет, что вы делаете не так

«VK пользуются все: и подростки, и пенсионеры. И среди них много платёжеспособных людей. Им можно продать почти любой продукт, если работать вдолгую: заинтересовывать, прогревать, отвечать на вопросы, напоминать о себе». — Рассказывает клиент рекламной экосистемы Vitamin.tools, возвращающей до 18% от пополнения рекламы, маркетолог Кирилл Чарушин.

В VK никто не покупает? Клиент Vitamin.tools объясняет, что вы делаете не так
3737
99
55
22
ВК дно, это такой же хладеющий труп как и однокласники.
«Абсолютно неинтересно, какие там придумывают санкции»: Герман Греф — о дивидендах «Сбера», санкциях и благодарности Apple за уход из России

Выжимка заявлений главы банка со звонка с аналитиками и инвесторами.

Источник: ТАСС
3232
1717
55
11
Отсутствие на рынке РФ качественных банковских сервисов - конечно же благо для Грефа, кто бы спорил
Главу криптокомпании Gotbit Алексея Андрюнина экстрадировали в США

26-летнего россиянина задержали осенью 2024 года в Португалии в ходе масштабной операции американских спецслужб против мошенничества на крипторынке.

Алексей Андрюнин, скриншот из видео на YouTube-канале Coindesk
1212
55
22
11
11
Как использовать ChatGPT для email-аутрича: практика и лайфхаки
Как использовать ChatGPT для email-аутрича: практика и лайфхаки

AI уже давно не просто инструмент для генерации текстов – он становится полноценным помощником в B2B-лидогенерации. В этом материале разберем, как ChatGPT можно использовать для email-аутрича: от поиска баз до написания цепочек писем.

Стартап Mark Engineering представил книжную ИИ-закладку за $129 — но пользователи не поняли, как она работает и какую проблему решает

Заодно пошутили, что устройству уготовано место рядом с «умной» брошью от Humane.

44
44
11
11
[]