Как бизнесу избежать утечек данных из программ почтовой рассылки

Чем грозит утечка данных?

Основной риск для компаний, подвергшихся кибератакам, — утечка данных пользователей: имена и фамилии клиентов, платёжные реквизиты, данные карт, адреса, контакты, пароли от различных сервисов другие сведения.

Для организации, которая по какой-то причине потеряет эту информацию, дело может обернуться не только потерей репутации и судом с пользователями, но и крупными убытками. Российское законодательство предусматривает штраф до 500 000 рублей для компаний, допустивших утечку персональных данных пользователей, причём в скором времени наказание могут ужесточить.

В чём опасность рассылочных сервисов

Банки, магазины и другие организации сообщают клиентам об акциях, информируют о статусах заказов, высылают одноразовые пароли и т. д. Рассылочные сервисы, которые используются для отправки таких SMS- и email-рассылок, push-уведомлений и сообщений в мессенджерах, — уязвимое место для любой компании. Проверить их надёжность и предотвратить возможные утечки бывает проблематично.

Сервисы рассылок работают со множеством клиентов одновременно, и большой объём клиентских данных делает их ещё более привлекательными для злоумышленников.

Есть два типа компаний, предоставляющих бизнесу услуги по рассылке сообщений:

1. Отраслевые организации, которые оказывают услуги связи. Чаще всего это сотовые операторы. У них уже есть собственные предложения по предоставлению услуг связи: SMS-сообщения, оповещения в мессенджерах и приложения, почтовая рассылка и так далее.
2. Агрегаторы, то есть фирмы, которые покупают существующие на рынке услуги и предлагают их бизнесу на определённых условиях.

На что стоит обратить внимание бизнесу при работе с сервисами рассылки

Александр Алхимов считает, что бизнесу, которому нужны рассылочные сервисы для работы и коммуникации с клиентами, при выборе подходящей программы нужно руководствоваться следующими критериями:

1. Где будут храниться данные — в России или за её пределами.

При выборе подрядчика компании часто отдают предпочтение агрегаторам, с которыми проще и дешевле работать. Но некоторые рассчитывают масштабировать бизнес и со временем выйти на международный рынок. Таким фирмам может быть важно, чтобы данные клиентов из другой страны хранились на территории его государства. Но когда архитектура компании-агрегатора выходит из поля зрения бизнеса, становится сложнее её контролировать, невозможно понять, в каких именно центрах хранятся данные клиентов организации.

Снизить риски в этом случае поможет перенос информации в российские центры обработки данных (ЦОД). Процедура займёт два-три дня, при условии что у компании есть филиал в России. В противном случае переход может затянуться на срок до трёх месяцев.

2. Уровень надёжности центра обработки данных.

Компании-агрегаторы чаще всего арендуют место в коммерческих центрах данных. Но предпочтение следует отдавать тем сервисам, у которых есть собственные ЦОДы, они более безопасны.

При выборе нужно обращать внимание на такой специальный показатель, как уровень надёжности центра по стандарту Uptime Institute. Выделяют четыре типа, где Tier I — самый низкий, а Tier IV — максимальный. Рекомендуется использовать ЦОД с уровнем надёжности от Tier III и выше.

3. Наличие лицензий.

Сервис рассылки состоит из баз данных и других компонентов, при создании которых может быть использован исходный код без необходимых лицензий. Такие решения считаются более дешёвыми, но могут быть небезопасными. Поэтому при выборе подрядчика стоит убедиться, что у всех используемых элементов есть лицензия и они регулярно получают обновления.

4. Безопасность.

По статистике чаще всего утечки данных происходят не из-за внешних атак, а из-за человеческого фактора — недобросовестным сотрудникам ничего не стоит слить мошенникам данные. Поэтому круг людей, которые будут иметь доступ к программам рассылок, лучше сузить до минимума. Также будет полезно провести обучающие семинары, на которых сотрудникам расскажут, как правильно обрабатывать персональные данные и чем грозит их утечка компании.

Даже самые лучшие специалисты по информационной безопасности не всегда могут правильно оценивать риски цифровых продуктов. Регулярный мониторинг всех систем тоже может быть не всегда эффективен. Поэтому лучше сотрудничать с крупными компаниями, которые умеют работать с чувствительными данными и гарантировать их безопасность. Например, с операторами сотовой связи.

Резюме

Новых каналов привлечения клиентов становится всё меньше, а старые перестают работать из-за блокировок популярных соцсетей. Так что работа с собственной клиентской базой с помощью почтовых рассылок, SMS- и push-уведомлений всё более востребована.