5 шагов к безопасности: как компании предотвратить утечку данных через рассылочные программы
Где может скрываться опасность и что сделать, чтобы вовремя ее распознать
Корпоративные системы подвергаются все большему числу кибератак. По данным исследования Check Point Research, в 2021 году в мире было зафиксировано на 50% больше атак, чем в 2020 году. А с начала весны количество нападений вирусов-шифровальщиков на российские компании утроилось.
Что стоит сделать компаниям, чтобы предотвратить утечку информации через рассылочные программы, рассказал Александр Алхимов, руководитель портфеля продуктов центра digital-рекламы и информирования МТС.
Одно из главных последствий кибератак для компаний — утечка пользовательских данных. Опасности подвергаются персональная информация клиентов, сведения об оплатах банковскими картами, пароли от личных кабинетов на сайтах и в социальных сетях.
Для компаний это может обернуться репутационными рисками, судебными разбирательствами и финансовыми потерями.
Сегодня на законодательном уровне для компаний обозначен штраф за утечку персональной информации пользователей в размере до 500 тыс. рублей. Однако обсуждается возможность введения оборотных штрафов для бизнеса.
То есть если по вине компании происходит утечка персональных данных, штраф для нее будет в размере доли от годовой выручки компании на территории России.
Читайте по теме:
Как подружить разработку и безопасность в рамках одной компании?
5 крупных случаев утечки информации и как их можно было избежать
Где может скрываться опасность
Одно из уязвимых мест среднего и крупного бизнеса — рассылочные сервисы, с помощью которых компании осуществляют sms- и email-рассылки, отправляют push-уведомления и сообщения в мессенджерах. Так банки, ритейлеры, сервисные компании информируют о статусе заказа, акциях, высылают одноразовые пароли, данные по банковским транзакциям и др.
В большинстве случаев такие программы находятся за периметром организации, а значит, бизнес не может контролировать надежность хранения данных и предотвращать их возможные утечки.
При этом при создании сервиса агрегаторы могут ориентироваться на экономическую составляющую и удобство эксплуатации системы, а не на вопросы безопасности. Кроме того, подобные сервисы работают с несколькими компаниями, что гарантирует большой объем клиентских данных для мошенников.
Можно выделить два типа компаний, который предоставляют бизнесу подобные программы.
- Первые — отраслевые компании, имеющие собственные каналы по предоставлению услуг связи: отправка sms-, email- и push-уведомлений, сообщений в мессенджерах.
- Второй тип — агрегаторы, которые занимаются перекупкой существующих на рынке сервисов и предложением их бизнесу.
Как уберечь данные
Бизнесу, который работает с рассылочными программами, я рекомендую обратить внимание на несколько важных аспектов.
Шаг 1. Проверьте, где хранятся данные ваших клиентов: в России или за рубежом
Зачастую на этапе выбора подрядчика компании при прочих равных отдают предпочтение агрегатору, который дешевле и проще в эксплуатации. Иногда рассылочную платформу выбирают, ориентируясь на будущие планы выхода на международные рынки.
В случае работы с клиентами из других стран необходимо, чтобы данные пользователей хранились на территории этих государств. В большинстве случаев архитектура компании-агрегатора уходит из поля зрения, и, если у бизнеса нет собственной службы безопасности, штатные сотрудники организации могут просто не знать всех тонкостей.
В случае, если клиентские данные, которые находятся в рассылочном сервисе, хранятся не в России, стоит задуматься о переносе их в российские ЦОДы.
Читайте также:
6 технологических гигантов, которые были взломаны хакерами LAPSUS$
Как правило, перенос данных между «облаками» одного агрегатора (если у агрегатора есть свои ЦОДы и в России, и за рубежом) занимает в среднем 2-3 дня. Если у компании-агрегатора собственного ЦОДа в России нет, то переезд в коммерческий ЦОД или центр обработки данных другого агрегатора может занимать до 3 месяцев.
Важный момент — в случае смены ЦОДа или поставщика услуг рассылки сообщений необходимо попросить текущего подрядчика удалить все данные, тексты сообщений и статистику. Пусть агрегатор предоставит доказательства этого в удобном для обеих сторон формате.
Шаг 2. Проверьте ЦОД, в котором находятся данные
Как правило, компании, предоставляющие агрегаторские услуги, арендуют место в коммерческих ЦОДах. Однако организации, у которых есть собственный центр обработки данных, более безопасны. В целом это не влияет на предоставление услуг, но важно понимать, ЦОД какого уровня безопасности и отказоустойчивости используется.
Существует стандарт Uptime Institute, в котором прописана классификация ЦОДов по уровню надежности.
Так, существует 4 уровня, где Tier I — самый низкий уровень надежности, а Tier IV — ЦОД с полностью отказоустойчивой инфраструктурой.
Мы рекомендуем использовать ЦОД не ниже Tier III.
Шаг 3. Проверьте ПО на наличие лицензий
Как и любой IT-продукт, агрегаторская платформа состоит из базы данных и компонентов, часть из которых может использовать открытый исходный код (open-source) без должной поддержки.
Такие решения могут быть более дешевыми, но менее безопасными. Стоит проверить, чтобы все используемые элементы ПО были лицензионными, а их обновление официально поддерживалось вендорами.
Можно также запросить у вендора состав ПО, на котором реализован сервис, спросить, каким образом оно поддерживается и обновляется, проверить наличие программного обеспечения в реестре отечественного ПО. Желательно, чтобы эти вопросы задавал IT-специалист или сотрудник службы информационной безопасности.
Читайте по теме:
Зачем нужен реестр российского ПО и как туда попасть
Шаг 4. Пересмотрите штат сотрудников, имеющих доступ к сервисам рассылки
Утечка данных пользователей может произойти не только из-за внешних атак. Часто причиной инцидентов становится человеческий фактор.
Сотрудники компаний могут сами не подозревая «открыть» хакерам доступ к данным. Еще хуже, когда работники делают это осознанно с целью получения прибыли, как, например, в случаях промышленного шпионажа.
Поэтому я рекомендую по возможности сузить круг сотрудников, имеющих доступ к программам рассылок, усилить контроль за доступом работников к данным, а также провести специальные отдельное обучение по обработке персональных данных, в котором подробно рассказать о причинах утечки данных пользователей, последствиях для бизнеса и лично каждого сотрудника.
Шаг 5. Усильте функцию безопасности
В большинстве случаев у крупных компаний есть собственные службы информационной безопасности, которые решают задачи по противодействию возникающим угрозам.
В целом рекомендуется регулярно проводить мониторинг уязвимости систем. Но даже специалисты таких служб не всегда могут предугадать все риски, которые несут в себе различные цифровые продукты.
Поэтому, выбирая сервис для рассылок, нужно всегда комплексно оценивать, насколько велик риск его «взломать». Можно или самостоятельно провести аудит решения, или довериться компаниям, которые по закону должны уметь работать с чувствительными данными и гарантировать должный уровень безопасности. К таким игрокам относятся, например, операторы сотовой связи.
Для агрегаторов соблюдение всех правил безопасности — это затраты, которые увеличивают стоимость решения, не принося при этом явного эффекта. Поэтому при выборе платформы для рассылки нужно быть особенно внимательным.
Вывод
Сегодня эффективное взаимодействие с собственной базой — это новый тренд, так как рекламных каналов становится все меньше, и это влияет на увеличение стоимости привлечения новых клиентов. За счет этого повышается спрос на работу компании с уже имеющимися данными.
Сервисы рассылок — действенный инструмент для direct-маркетинга, который при соблюдении всех требований безопасности становится еще и надежным каналом коммуникации с потребителями. Поэтому на этапе выбора такого сервиса стоит составить чек-лист вопросов, которые помогут вам понять, насколько безопасен тот или иной вендор.
Чтобы защитить свою компанию и клиентов, рекомендуем выбирать решения крупных российских компаний, чьи продукты полностью соответствуют цифровым сертификатам безопасности, а все данные о взаимодействиях с клиентами хранятся в надежных хранилищах.
Фото на обложке: Shutterstock / vs148
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Бизнес Как DVD по почте превратился в стриминговую империю: история Netflix 17 июля 2026, 20:00
-
Личное Лэй Цзюнь. Как создатель Xiaomi заработал 30,4 млрд $ на дешёвых смартфонах 13 июля 2026, 20:56
-
Автомобили От гоночной трассы до «Матрицы»: история Ducati 10 июля 2026, 23:39
-
Искусственный интеллект Нам не нужен свой OpenAI: где России искать эффект от ИИ и что для этого делать 19 мая 2026, 11:00
-
Бизнес «Команде не вырасти выше лидера»: как изменить неписаные правила взаимодействия в группе 19 мая 2026, 10:00
-
Автомобили Как машина для гонок стала символом тихих денег: история Bentley 09 июля 2026, 02:55
-
Искусственный интеллект Цифровизация начинается не с ИИ: эксперты рынка — о том, почему для трансформации бизнеса нужно изменить мышление 03 июля 2026, 11:58
-
Бизнес Минфин может отменить УСН для торгового бизнеса — изменения затронут продавцов на маркетплейсах 17 июля 2026, 21:00
-
Игры Компания-разработчик готовится выпустить Fallout 5 — сейчас игра находится на стадии предпроизводства 17 июля 2026, 19:45
-
Бизнес Объём средств россиян в сервисе «МТС Накопления» достиг 18,8 млрд ₽ — количество счетов выросло вдвое за полгода 17 июля 2026, 19:15
-
Автомобили УАЗ планирует выйти на рынок Африки — «Буханка» и «Хантер» заинтересовали бизнесменов из Конго 17 июля 2026, 16:00
-
Россия Российские ведомства получат доступ к мониторингу цен — и смогут выявлять необоснованные наценки на продукты 17 июля 2026, 14:00
-
Автомобили Электромобили «Атом» начали передавать первым покупателям — заказчики получат машины до 15 октября 17 июля 2026, 18:35
-
Автомобили В России начали продавать новый бюджетный кроссовер Suzuki Xbee — по цене от 1,46 млн ₽ 17 июля 2026, 14:30
-
Бизнес «Сбер» начал продажи телевизоров с QD-miniLED-матрицей и ИИ-помощником — ими можно управлять голосом 16 июля 2026, 17:56