Рассказы об утечках данных уже набили оскомину. Они стали любимой темой многих СМИ, не проходит дня, чтобы в сети не появилось новости с громким заголовком «Стало известно про новый тип мошенничества». И долгое время утечки информации не были реальной проблемой для организаций, которые допустили утечку. Потому что закон, будем честны, не слишком требователен к операторам персональных данных (а это, считайте, все, кто просит у клиента хоть какую-то личную информацию для оформления карты лояльности, например).

Как торговая сеть ловила «крота»



Но в этом году Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ РФ (а это главный поставщик информации об актуальных угрозах и мошеннических схемах) подтвердил очевидное: существует четкая взаимосвязь между утечкой информации и следующей за ней фишинговой атакой на клиентов. Специалисты по информационной безопасности об этом знали всегда, но сейчас, что называется, подтверждено официально и даже отрисовано – в виде красивого графика.

Социальная инженерия (а это и всем известные «звонки из службы безопасности», и фальшивые сайты, мимикрирующие под известные бренды) – главная угроза для пользователей интернета со стороны мошенников. За два года число таких атак выросло на 88%.

Вот главные разновидности угрозы:
• Мошеннические звонки. 84% всех атак мошенники проворачивают по телефону. В 98% случаях притворяются сотрудниками банков, а источник этих телефонных номеров – утечки данных, в том числе из торговых сетей.
• Фишинговые сайты на актуальную тему. Мошенники активно паразитируют на именах известных брендов, крупных событиях: распродаж, праздниках, запусках рекламных кампаний.
• Доски объявлений. По данным ФинЦЕРТ в 83% случаев мошенники стараются выманить жертву за пределы площадки и предлагают обсуждать сделку в СМС, мессенджерах. И уже здесь выманивают деньги.

В результате только за 2019 год ФинЦЕРТ насчитал 576 566 операций по счетам без согласия клиентов на общую сумму в 6426,5 млн руб. 69% из этого числа пришлось на «разводы»: когда люди сами сообщали мошенникам платежные данные или переводили им средства.

Почем наказание за утечку данных клиентов



Такие последствия уже невозможно игнорировать, риск репутационных рисков становится слишком велик: приходится объясняться со СМИ, но главное – с клиентами. Но ретейлеры в этой истории несут не только косвенные убытки. Например, утечка персональных данных клиентов грозит тем, что мошенники будут махинировать с картами лояльности, присваивая баллы клиентов.

О таком виде мошенничества было известно всегда, но в 2019-м число попыток списания выросло в разы – ретейлеры подтверждали, что убытки достигают 2-3 млн рублей в месяц.


И это, не говоря о том, что желания у клиентов пользоваться такими программами лояльности нелояльно снижается.

Поэтому хочу перечислить основные мероприятия, которые необходимо реализовывать в компании, чтобы снизить риск утечек.

1

Защищайте данные клиентов

1) Предоставьте доступ к конфиденциальной информации только ключевым сотрудникам.
2) Пользуйтесь только шифрованными каналами передачи данных (https, ftps, VPN-сервисами).
3) Своевременно обновляйте все ПО, установленное в компании, избегайте устаревших приложений.
4) Регулярно делайте резервные копии данных.
5) Установите DLP-систему для защиты от утечек и сливов.

2

Обучайте сотрудников

Расскажите о фишинге, о рисках для самого сотрудника и его личных финансов, об ответственности перед работодателем, законодательством. Введите политику безопасных паролей, объясните почему важно блокировать свой сеанс на компьютере или ноутбуке, уходя с рабочего места.

Многие обучающие материалы есть бесплатно в свободном доступе. Вот, например, тест, созданный google для тренировки внимания к фишингу. Желательно регулярно проверять знания персонала в области информационной безопасности, имитировать фишинговые атаки, например.

3

Следите за фишинговой активностью с использованием имени вашего бренда

Мониторьте интернет на предмет упоминания вашего бренда третьими лицами, регистрации доменов (например, через ресурс domains.ihead.ru). Существуют и специальные платные сервисы, которые помогут вам выстроить эту работу профессионально и в автоматизированном формате. 

4

Если утечка случилась – уведомляйте

Подавляющее число компаний не уведомляют клиентов об утечках их данных. Но это в конечном счете играет против имиджа организации, потому что скрыть утечки уже невозможно. Поэтому, как только стало понятно, что случился инцидент, рассылайте уведомление по клиентам, пишите сообщение на сайте. Дайте полезные рекомендации, как клиентам обезопасить себя, если позвонят мошенники – так вы снизите уровень раздражения и критики в свой адрес и продемонстрируете клиентоориентированность.

Решение проблемы утечек персональных данных пока напоминает игру в «горячую картошку». Но, если продолжать эту аллегорию, обжигает она уже всех участников. У организаций еще есть время, чтобы настроить свои бизнес-процессы безопасным образом – пока законы еще относительно лояльны, а клиенты по зарубежному примеру не научились отстаивать свои права на защищенность данных с гражданским иском в руках.

Как ретейлерам уберечься от хакеров