Системы кибербезопасности, используемые в маркетинге

Павел Яшин

Начальник службы информационной безопасности III Технология

Современный маркетинг почти полностью ушел в цифру. Наружная реклама, радио и ТВ не дают лидов и конверсий, в отличие от инструментов цифрового маркетинга: автоматических чат-ботов и консультаций, форм обратной связи на сайтах, CRM-систем, площадок для таргетинга и рекламных кампаний.

Однако чем выше цифровизация, тем выше риски кибератак на цифровые сервисы и программное обеспечение, используемое при продвижении товаров и услуг. Ведь там скапливается самое «вкусное» для хакеров — клиентские базы и персональные данные профилей пользователей.

Павел Яшин, руководитель отдела информационной безопасности iiii Tech, рассказал о том, как снизить риски кражи данных во время маркетинговых активностей.

В 2022 году после обострения геополитической ситуации многие представители российского бизнеса столкнулись с кражей данных. При этом кибератаки затронули не только экономически значимые отрасли, такие как банковский сектор, но и медицинские учреждения, службы доставки посылок и еды, представителей сферы образования и телекоммуникаций.

Например, в феврале этого года сервис «Яндекс Еда» сообщил об утечке личной информации — имени, фамилии, номера телефона, адреса доставки — почти из 50 млн заказов. В результате материальные убытки компании составили около 260 000 рублей, включая штрафы Роскомнадзора за утерю персональных данных. Кроме того, против компании возбуждено уголовное дело из-за отсутствия защиты конфиденциальной информации.

Таким образом, ненадежная защита персональных данных несет компаниям не только финансовые, но и репутационные риски, а также потерю лояльных клиентов. Большинство кибератак совершаются с целью получения прибыли: шантаж, продажа баз данных.

Наиболее уязвимыми местами для атак являются маркетинговые инструменты для сбора данных и рассылки коммерческих или рекламных предложений — например, сервисы для автоматической отправки электронных писем по клиентской базе. Несмотря на то, что все они предоставляют подписанное соглашение о неразглашении информации, которое выдает отдел маркетинга заказчика рассылки, полностью от кибератак не застрахован никто.

Следующая уязвимость формы обратной связи или подписки, который можно найти на любом интернет-ресурсе. Там пользователь добровольно заполняет всю личную информацию и ставит галочки, соглашаясь на ее обработку, часто даже не читая условий. Таким образом, контакты и другие данные могут попасть не только на тот ресурс, где их оставил пользователь, но и к третьим лицам. А это спам-звонки, навязчивые push-уведомления и мошенничество.

Наша компания также использует формы обратной связи, регистрацию на мероприятия. Данные из этих форм сохраняются в CRM и используются исключительно для email-рассылок, но только в том случае, если пользователь станет нашим постоянным клиентом. Таким образом, в нашей компании CRM выступает в роли справочника контактов, она не интегрирована ни с какими другими сервисами и программами, соответственно риск кражи данных минимален.

Распространенными каналами утечки данных являются средства связи. Большая часть деловой переписки, обмена файлами и корпоративными документами, бизнес стихийно переносится на обычные, но не защищенные услуги связи, где нет двойного шифрования данных, дополнительных функций защиты обмена данными, а информация хранится на серверах или в облако.

Таким образом, конфиденциальные данные попадают, как минимум, в руки разработчиков программного обеспечения и приложений для связи, которые могут передать их третьим лицам, либо стать объектом хакерской атаки, в результате которой пользовательские данные становятся собственностью третьих лиц. стороны. Это подтверждают последние новости о масштабных утечках персональных данных и коммерческой информации с корпоративных аккаунтов компаний в мессенджеры, социальные сети, игровые и банковские сервисы.

Например, Zoom был ответчиком в судебном процессе о конфиденциальности пользователей в США — люди жаловались на передачу их личных данных в Facebook*, на утечку видео и личной контактной информации. Бизнес моментально отреагировал на потерю репутации самого популярного в мире сайта для видеоконференций — SpaceX, Apple, Google, NASA, Пентагон и Сенат США отказались от использования Zoom. В 2022 году в мессенджере WhatsApp были обнаружены уязвимости, позволяющие взломать Android-смартфоны.

Несмотря на то, что общение в мессенджерах удобно для клиентов, в нашей компании такая практика отсутствует. Мы ориентированы на B2B, поэтому взаимодействие происходит по электронной почте или по телефону. При этом компания также не застрахована от рисков утечки данных: контакты наших потенциальных клиентов собраны в открытых источниках и мы не можем знать, кому принадлежат адреса электронной почты: нашим потенциальным клиентам или это ящик для сбора контактов принадлежат злоумышленникам. Например, это может быть поддельный почтовый ящик, поддельный аккаунт, фишинговая платформа, выдающая себя за известную компанию.

Таким образом, уязвимые места для атак существуют во всех каналах связи, включая телефонные разговоры.

Серверы, на которых обычно размещаются клиентские базы данных, имеют «точки входа», через которые хакеры могут проникнуть, закрепиться и вовремя атаковать. Серверы условно можно разделить на внутренние, которые используются исключительно во внутренней защищенной сети, и внешние, например, куда перетекают данные из форм обратной связи. Именно последние более уязвимы для типичных видов кибератак.

Хакеру гораздо сложнее проникнуть на внутренний сервер компании: пройти защиту, «замаскироваться» под какую-то корпоративную программу, долго искать уязвимости, чтобы их использовать. При этом не будем забывать, что практически во всех современных компаниях есть служба или специалист по информационной безопасности — в штате или на аутсорсе.

Именно он выстраивает схему защиты от внедрения извне: досконально знает свой ландшафт, уменьшает поверхность атаки и делает ее невыгодной за счет защитных мер. Например, специалист по информационной безопасности знает, какие инструменты использует отдел маркетинга в компании для сбора и хранения контактов. Именно на входе в них он выстраивает такую ​​защиту, что хакеру нужно больше времени на проникновение, маскировку, поиск уязвимостей, чтобы трудозатраты мошенника превышали потенциальную прибыль.

Логичный вопрос: на каком этапе внедрение и использование маркетинговых инструментов необходимо для создания защиты? На этапе выбора тех цифровых сервисов, которые планируется интегрировать в корпоративную ИТ-инфраструктуру. Поэтому служба информационной безопасности проводит своего рода тендер: собирает все предложения от поставщиков цифровых продуктов и изучает их уязвимости.

Обычно разработчики сами прописывают защитные меры в презентациях или коммерческих предложениях, предоставляют сертификаты международных аудитов кибербезопасности или демо-версии продуктов для тестирования. Кроме того, у каждой компании есть свои требования к такой продукции. Например, в нашей компании обязательно использование двухфакторной аутентификации и двойного шифрования. Не все вендоры предлагают системы с этими опциями, однако есть те, кто готов добавить их в свой продукт.

Специалисты по информационной безопасности обычно просматривают предоставленные поставщиком материалы, а также проводят собственную проверку их достоверности: рейтинги, обзоры, проверки уязвимостей в открытых источниках. Иногда даже в даркнете никто лучше хакеров не расскажет о безопасности того или иного сервиса. Чем полнее собранная информация, тем проще будет впоследствии выстроить защиту.

Таким образом, задача службы информационной безопасности – выбрать наиболее безопасный и эффективный маркетинговый инструмент, продумать его дополнительную защиту и обосновать его преимущества. Дальнейшее решение остается за собственником или руководителем бизнеса.

*Мета признана в России экстремистской организацией и запрещена; владеет Facebook, Instagram, WhatsApp.