×
Россия +7 (495) 139-20-33

Кибербезопасность систем, используемых в маркетинге

Россия +7 (495) 139-20-33
Шрифт:
0 3126

Современный маркетинг практически полностью перешел в «цифру». Наружная реклама, радио и ТВ не дают лидов и конверсии в отличие от инструментов digital-маркетинга: автоматические чат-боты и консультации, формы обратной связи на сайтах, CRM-системы, платформы для таргетинга и рекламных кампаний. 

Однако чем выше цифровизация, тем больше риски кибератак на цифровые сервисы и программное обеспечение, используемые в продвижении товаров и услуг. Ведь там аккумулируется самое «вкусное» для хакеров – клиентские базы и личные данные профилей пользователей.

О том, как можно снизить риски кражи данных при маркетинговой активности, рассказал Павел Яшин, руководитель службы информационной безопасности iiii Tech.

В 2022 году после обострения геополитической ситуации многие представители российского бизнеса столкнулись с кражей данных. При этом кибератаки коснулись не только экономически значимых отраслей, таких как банковская сфера, но и медицинских учреждений, служб доставки посылок и еды, представителей сфер образования и телекоммуникаций. 

Например, в феврале текущего года сервис Яндекс Еда сообщил об утечке персональной информации – имя, фамилия, номер телефона, адрес доставки – из почти 50 миллионов заказов. В итоге материальные убытки компании составили около 260 000 рублей, включая штрафы Роскомнадзора за потерю персональных данных. Помимо этого, в отношении компании заведено уголовное дело из-за отсутствия безопасности сохранности конфиденциальной информации. 

Таким образом, ненадежная защита персональных данных несет компании не только финансовые, но и репутационные риски, а также потерю лояльных клиентов. Большинство кибератак совершаются с целью получения выгоды: шантаж, продажа баз данных. 

Наиболее уязвимыми местами для атак становятся маркетинговые инструменты по сбору данных и рассылки коммерческих или акционных предложений – например, сервисы для автоматической отправки электронных писем по клиентской базе. Несмотря на то, что все они предоставляют подписанное соглашение о неразглашении персональных данных, которые дает отдел маркетинга заказчика рассылки, от кибератак полностью никто не защищен. 

Следующее уязвимое место – формы обратной связи или подписок, которые можно встретить на любом интернет-ресурсе. Там пользователь добровольно заполняет всю персональную информацию и ставит галочку, соглашаясь на ее обработку, зачастую даже не читая условия. Таким образом, контакты и другие данные могут попасть не только на тот ресурс, где пользователь их оставил, но и к третьим лицам. А это – спам-звонки, навязчивые пуш-уведомления, мошенничество. 

В нашей компании тоже используются формы обратной связи, регистрации на мероприятия. Данные из этих форм сохраняются в CRM и используются исключительно для email-рассылок, но только в том случае, если пользователь становится нашим постоянным клиентом. Таким образом, в нашей компании CRM выступает в качестве справочника контактов, она не интегрирована ни с какими другими сервисами и программами, соответственно, риск кражи данных минимален. 

Распространенными каналами утечки данных являются средства коммуникации. Большинство деловых переписок, обмен файлами и корпоративными документами бизнес стихийно перевел в распространенные, но не защищенные сервисы для общения, где отсутствует двойное шифрование данных, дополнительные функции защиты обмена данными, а информация сохраняется на серверах или в облаке. 

Таким образом, конфиденциальные данные попадают, как минимум, в руки разработчиков софта и приложений для общения, которые могут передать ее третьим лицам, либо стать объектом хакерской атаки, в результате которой данные пользователей становятся достоянием третьих лиц. Это подтверждают и последние новости о масштабных утечках персональных данных и коммерческой информации из корпоративных аккаунтов компаний в мессенджерах, соцсетях, игровых и банковских сервисов. 

Например, Zoom стал ответчиком по иску о нарушении приватности пользователей в США – люди жаловались на передачу их персональных данных в Facebook*, на утечки видеозаписей и личной контактной информации. Бизнес мгновенно отреагировал на потерю репутации самой востребованной в мире площадки для видеоконференцсвязи – от пользования Zoom отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат Америки. В 2022 году в мессенджере WhatsApp нашли уязвимости, позволяющие взламывать смартфоны на Android.

Несмотря на то, что общение в мессенджерах удобно для клиентов, в нашей компании такая практика отсутствует. Мы ориентированы на В2В-направление, поэтому взаимодействие происходит по электронной почте или через телефонные звонки. При этом компания также не застрахована от рисков утечки данных: сбор контактов наших потенциальных клиентов происходит в открытых источниках и мы не можем знать, кому принадлежат адреса электронной почты: нашим потенциальным клиентам или же это ящик для сбора контактов, принадлежащий злоумышленникам. Это может быть поддельный почтовый ящик, фейковый аккаунт, платформа для фишинга, которая выдает себя за известную компанию, например. 

Таким образом, уязвимости для атак существуют во всех каналах коммуникации, в том числе, и при телефонных переговорах. 

Серверы, на которых обычно хранятся клиентские базы данных, имеют «точки входа», через которые хакеры могут проникнуть, закрепиться и выбрать время для атаки. Серверы условно можно разделить на внутренние, которые используются исключительно во внутренней защищенной сети, и внешние, например, куда стекаются данные из форм обратной связи. Именно последние имеют бОльшую уязвимость к типичным видам кибератак. 

Попасть во внутренний сервер компании хакеру гораздо сложнее: пройти защиту, «замаскироваться» под какую-то из корпоративных программ, долгое время искать уязвимости, чтобы использовать их. При этом не будем забывать, что практически во всех современных компаниях существует служба или специалист по информационной безопасности – в штате или на аутсорсе. 

Именно он выстраивает схему защиты от внедрения извне: досконально знает свой ландшафт, сокращает поверхность атаки и делает ее невыгодной за счет защитных мер. Например, специалист по ИБ знает, какие инструменты для сбора и хранения контактов использует отдел маркетинга в компании. Именно на входе в них он выстраивает такую защиту, чтобы хакеру понадобилось больше времени на внедрение, маскировку, поиск уязвимости, таким образом, чтобы трудозатраты мошенника превысили потенциальную прибыль.  

Логичный вопрос: на каком этапе внедрения и использования маркетинговых инструментов необходимо выстраивать защиту? На этапе выбора тех цифровых сервисов, которые планируется интегрировать в корпоративную IT-инфраструктуру. Поэтому служба информационной безопасности проводит своеобразный тендер: собирает все предложения от поставщиков цифровых продуктов и изучает их уязвимости. 

Обычно разработчики сами прописывают защитные меры в презентациях или коммерческих предложениях, предоставляют сертификаты международных проверок кибербезопасности или демоверсии продукта для тестирования. Кроме того, у каждой компании есть собственные требования к подобным продуктам. Например, в нашей компании использование двухфакторной аутентификации и двойного шифрования является обязательным. Не все поставщики предлагают системы с такими опциями, однако, бывают и те, кто готовы дополнить ими свой продукт. 

Специалисты по информационной безопасности обычно просматривают материалы, предоставленные поставщиком, а также проводят собственную проверку их надежности: рейтинги, отзывы, проверки уязвимости в открытых источниках. Иногда даже в даркнете никто лучше взломщиков не расскажет о защищенности того или иного сервиса. Чем полноценнее будет собранная информация, тем проще будут впоследствии выстроить защиту. 

Таким образом, задача службы информационной безопасности выбрать наиболее защищенный и эффективный инструмент для маркетинга, продумать его дополнительную защиту и обосновать его преимущества. Дальнейшее решение – за собственником или руководителем бизнеса. 

*Meta признана в России экстремистской организацией и запрещена; владеет Facebook, Instagram, WhatsApp.

(Голосов: 5, Рейтинг: 5)
Читайте нас в Telegram - digital_bar

Есть о чем рассказать? Тогда присылайте свои материалы Марине Ибушевой


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
13 инструментов для SEO-специалиста, актуальных в 2022 году
Саша
6
комментариев
0
читателей
Полный профиль
Саша - кажись какой-то британец
Продуктовый подход в SEO: новая эпоха поисковой оптимизации
Борис
1
комментарий
0
читателей
Полный профиль
Борис - Почитал и спич очень близок к тому, что гугловоды говорят у себя на курсере. К комменту ниже: инклюзивность, доступность - это часть маркетинга и seo становится. Удивился даже, что в снг о таком слышали)))))
Скоринг запросов: почему он необходим при сборе семантического ядра
Илья Горбачев
3
комментария
0
читателей
Полный профиль
Илья Горбачев - Сбор сезонности в последней версии находится на вкладке "Парсинг" и вызывается кликом по иконке с графиком на черном фоне. Только он собирает общую частоту, поэтому лучше собирать данные с фраз (маркеров), которые не пересекаются в реальных запросах.
Альманах фатальных ошибок b2b-сайта: как владельцы бизнеса обрекают сайты на бесславное существование. Часть первая
Сергей Ерофеев
3
комментария
0
читателей
Полный профиль
Сергей Ерофеев - Спасибо за комментарий! Вы правы, если за CMS следит заинтересованный профессионал - риски минимальны. Но мы же с вами понимаем, что: а) Не каждый разработчик делает все, как "для себя". б) После создания сайта разработчик редко остается на проекте в) Часто разработчик не является маркетологом. В этом случае принцип "функционал работает и этого достаточно" может быть на первом месте. Мы тоже видели большое количество хороших и качественных проектов на бесплатных CMS, но проблемных проектов мы видели сильно больше. Просто статистика.
Почему не стоит отказываться от SEO на этапе разработки
Максимус
3
комментария
0
читателей
Полный профиль
Максимус - Я уже сделал и сегодня в первый класс отвёл!
Как автоматизировать мессенджеры для бизнеса в CRM-системе
Алиналина
1
комментарий
0
читателей
Полный профиль
Алиналина - Кстати да. Но мы зарегались, CRMка реально интересная
Санкции поисковых систем: как узнать, что сайт попал под фильтры. Обзор главных инструментов
Volodyka Filipov
6
комментариев
0
читателей
Полный профиль
Volodyka Filipov - Нужно не крутить, а по честному развивать)))
Белые и серые методы продвижения. Тренды 2023
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Я тоже заметил. Если встать в 5 утра и шёпотом сказать 3 раза Ажгибесов. Сайт в гугле растёт.
Как попасть в топ-10 Яндекса и Google при продвижении сайта на регион Молдовы
Гость
7
комментариев
0
читателей
Полный профиль
Гость - "В первое время наши работы продолжали давать результат (сайт несколько месяцев рос), а потом начал постепенно терять позиции. По этой причине заказчик решил возобновить сотрудничество и вернулся в июле 2022. Мы еще ведем работы по восстановлению утраченных результатов." Хитрожопый клиент.
О важности коммерческих факторов в SEO. Кейс
Геннадий Sape Agency
3
комментария
0
читателей
Полный профиль
Геннадий Sape Agency - Спасибо, Костя!
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
385
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
115
Комментариев
100
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
63
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!