Кибербезопасность систем, используемых в маркетинге

Павел Яшин

Руководитель службы информационной безопасности iiii Tech

Однако чем выше цифровизация, тем больше риски кибератак на цифровые сервисы и программное обеспечение, используемые в продвижении товаров и услуг. Ведь там аккумулируется самое «вкусное» для хакеров – клиентские базы и личные данные профилей пользователей.

О том, как можно снизить риски кражи данных при маркетинговой активности, рассказал Павел Яшин, руководитель службы информационной безопасности iiii Tech.

В 2022 году после обострения геополитической ситуации многие представители российского бизнеса столкнулись с кражей данных. При этом кибератаки коснулись не только экономически значимых отраслей, таких как банковская сфера, но и медицинских учреждений, служб доставки посылок и еды, представителей сфер образования и телекоммуникаций. 

Например, в феврале текущего года сервис Яндекс Еда сообщил об утечке персональной информации – имя, фамилия, номер телефона, адрес доставки – из почти 50 миллионов заказов. В итоге материальные убытки компании составили около 260 000 рублей, включая штрафы Роскомнадзора за потерю персональных данных. Помимо этого, в отношении компании заведено уголовное дело из-за отсутствия безопасности сохранности конфиденциальной информации. 

Таким образом, ненадежная защита персональных данных несет компании не только финансовые, но и репутационные риски, а также потерю лояльных клиентов. Большинство кибератак совершаются с целью получения выгоды: шантаж, продажа баз данных. 

Наиболее уязвимыми местами для атак становятся маркетинговые инструменты по сбору данных и рассылки коммерческих или акционных предложений – например, сервисы для автоматической отправки электронных писем по клиентской базе. Несмотря на то, что все они предоставляют подписанное соглашение о неразглашении персональных данных, которые дает отдел маркетинга заказчика рассылки, от кибератак полностью никто не защищен. 

Следующее уязвимое место – формы обратной связи или подписок, которые можно встретить на любом интернет-ресурсе. Там пользователь добровольно заполняет всю персональную информацию и ставит галочку, соглашаясь на ее обработку, зачастую даже не читая условия. Таким образом, контакты и другие данные могут попасть не только на тот ресурс, где пользователь их оставил, но и к третьим лицам. А это – спам-звонки, навязчивые пуш-уведомления, мошенничество. 

В нашей компании тоже используются формы обратной связи, регистрации на мероприятия. Данные из этих форм сохраняются в CRM и используются исключительно для email-рассылок, но только в том случае, если пользователь становится нашим постоянным клиентом. Таким образом, в нашей компании CRM выступает в качестве справочника контактов, она не интегрирована ни с какими другими сервисами и программами, соответственно, риск кражи данных минимален. 

Распространенными каналами утечки данных являются средства коммуникации. Большинство деловых переписок, обмен файлами и корпоративными документами бизнес стихийно перевел в распространенные, но не защищенные сервисы для общения, где отсутствует двойное шифрование данных, дополнительные функции защиты обмена данными, а информация сохраняется на серверах или в облаке. 

Таким образом, конфиденциальные данные попадают, как минимум, в руки разработчиков софта и приложений для общения, которые могут передать ее третьим лицам, либо стать объектом хакерской атаки, в результате которой данные пользователей становятся достоянием третьих лиц. Это подтверждают и последние новости о масштабных утечках персональных данных и коммерческой информации из корпоративных аккаунтов компаний в мессенджерах, соцсетях, игровых и банковских сервисов. 

Например, Zoom стал ответчиком по иску о нарушении приватности пользователей в США – люди жаловались на передачу их персональных данных в Facebook*, на утечки видеозаписей и личной контактной информации. Бизнес мгновенно отреагировал на потерю репутации самой востребованной в мире площадки для видеоконференцсвязи – от пользования Zoom отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат Америки. В 2022 году в мессенджере WhatsApp нашли уязвимости, позволяющие взламывать смартфоны на Android.

Несмотря на то, что общение в мессенджерах удобно для клиентов, в нашей компании такая практика отсутствует. Мы ориентированы на В2В-направление, поэтому взаимодействие происходит по электронной почте или через телефонные звонки. При этом компания также не застрахована от рисков утечки данных: сбор контактов наших потенциальных клиентов происходит в открытых источниках и мы не можем знать, кому принадлежат адреса электронной почты: нашим потенциальным клиентам или же это ящик для сбора контактов, принадлежащий злоумышленникам. Это может быть поддельный почтовый ящик, фейковый аккаунт, платформа для фишинга, которая выдает себя за известную компанию, например. 

Таким образом, уязвимости для атак существуют во всех каналах коммуникации, в том числе, и при телефонных переговорах. 

Серверы, на которых обычно хранятся клиентские базы данных, имеют «точки входа», через которые хакеры могут проникнуть, закрепиться и выбрать время для атаки. Серверы условно можно разделить на внутренние, которые используются исключительно во внутренней защищенной сети, и внешние, например, куда стекаются данные из форм обратной связи. Именно последние имеют бОльшую уязвимость к типичным видам кибератак. 

Попасть во внутренний сервер компании хакеру гораздо сложнее: пройти защиту, «замаскироваться» под какую-то из корпоративных программ, долгое время искать уязвимости, чтобы использовать их. При этом не будем забывать, что практически во всех современных компаниях существует служба или специалист по информационной безопасности – в штате или на аутсорсе. 

Именно он выстраивает схему защиты от внедрения извне: досконально знает свой ландшафт, сокращает поверхность атаки и делает ее невыгодной за счет защитных мер. Например, специалист по ИБ знает, какие инструменты для сбора и хранения контактов использует отдел маркетинга в компании. Именно на входе в них он выстраивает такую защиту, чтобы хакеру понадобилось больше времени на внедрение, маскировку, поиск уязвимости, таким образом, чтобы трудозатраты мошенника превысили потенциальную прибыль.  

Логичный вопрос: на каком этапе внедрения и использования маркетинговых инструментов необходимо выстраивать защиту? На этапе выбора тех цифровых сервисов, которые планируется интегрировать в корпоративную IT-инфраструктуру. Поэтому служба информационной безопасности проводит своеобразный тендер: собирает все предложения от поставщиков цифровых продуктов и изучает их уязвимости. 

Обычно разработчики сами прописывают защитные меры в презентациях или коммерческих предложениях, предоставляют сертификаты международных проверок кибербезопасности или демоверсии продукта для тестирования. Кроме того, у каждой компании есть собственные требования к подобным продуктам. Например, в нашей компании использование двухфакторной аутентификации и двойного шифрования является обязательным. Не все поставщики предлагают системы с такими опциями, однако, бывают и те, кто готовы дополнить ими свой продукт. 

Специалисты по информационной безопасности обычно просматривают материалы, предоставленные поставщиком, а также проводят собственную проверку их надежности: рейтинги, отзывы, проверки уязвимости в открытых источниках. Иногда даже в даркнете никто лучше взломщиков не расскажет о защищенности того или иного сервиса. Чем полноценнее будет собранная информация, тем проще будут впоследствии выстроить защиту. 

Таким образом, задача службы информационной безопасности выбрать наиболее защищенный и эффективный инструмент для маркетинга, продумать его дополнительную защиту и обосновать его преимущества. Дальнейшее решение – за собственником или руководителем бизнеса. 

*Meta признана в России экстремистской организацией и запрещена; владеет Facebook, Instagram, WhatsApp.