По данным Group-IB, компании, разрабатывающей IT-решения в сфере безопасности, только за весну и лето 2022 года было зафиксировано 213 случаев утечки баз данных российских компаний. Так компании теряют клиентов, получают штрафы от Роскомнадзора, их репутация ухудшается.
В этой статье расскажем, как работать с базой клиентов и хранить данные, чтобы защититься от таких утечек, и какие инструменты использовать.
1
Используйте надежные пароли
Пароль, который легко взломать, — самый простой способ украсть ваши данные. Поэтому все программы и сервисы, с помощью которых ведется работа с клиентской базой, должны быть защищены надежными паролями. При создании комбинации руководствуйтесь следующими принципами:
- Пароль должен быть длинным — 10–12 символов или больше.
- Не используйте стандартные последовательности символов на клавиатуре (qwerty, 12345), одно слово или распространенные сочетания слов.
- Используйте разные виды символов: прописные и строчные буквы, цифры, спецсимволы (восклицательный и вопросительный знаки, звездочку, знак доллара, амперсанд, знак процента, скобки и другие).
- Не применяйте один и тот же пароль в нескольких программах или сервисах. Если злоумышленник получит доступ к паролю один раз, ему будут доступны все ваши аккаунты.
- Лучше всего использовать генераторы паролей, такие как Involta или 1Password — так вы получите случайную последовательность символов, которую злоумышленники не смогут подобрать даже с помощью специальных программ.
Не сохраняйте пароли в браузере. Хранить пароли от рабочих аккаунтов в записной книжке или в заметках телефона также не стоит — украсть данные может кто-то из ваших сотрудников.
Чтобы каждый месяц не приходилось запоминать новые последовательности символов, можно использовать безопасный сервис для хранения паролей — это персональное зашифрованное хранилище для них. Программа будет подставлять комбинации в соответствующие формы на сайтах автоматически. При этом сами пароли будут храниться в безопасном месте, а вам будет достаточно запомнить только один — от самого хранилища. Примеры таких сервисов — продукты от «Лаборатории Касперского», Dashlane и 1Password.
Регулярно, например раз в месяц, меняйте пароли от CRM-системы, сервисов аналитики, других сервисов или программ, в которых вы храните и обрабатываете данные клиентов. При этом новый пароль не должен быть похожим на старый.
Активируйте на важных аккаунтах двухфакторную аутентификацию. Это дополнительная проверка после успешного ввода пароля. В этом случае для проверки будут использоваться те средства, доступ к которым есть только у вас: отправка кода в смс или на email, генерация кода с помощью приложения на телефоне, проверка биометрических данных или USB-ключ. Даже если злоумышленник получит ваш пароль, пройти следующий этап проверки он не сможет.
Настроить двухфакторную аутентификацию чаще всего можно в настройках аккаунта в разделе «Безопасность». В разных сервисах этот процесс может происходить по-своему, более точные инструкции по настройке обычно публикуют в разделах «Помощь» или FAQ.
Используйте проверенные программы, сервисы и платные программы-антивирусы
Проверенные программы и сервисы
Управление базой данных клиентов в маркетинге чаще всего осуществляется через специальные программы и сервисы: CRM-системы, сервисы аналитики, программы для визуализации данных и так далее. Работа с базой клиентов и хранение их данных должны вестись только в надежных сервисах, которые заботятся о вашей информации. Например, должным образом защищают центры обработки данных, контролируют доступ к ним и используют шифрование.
Сервисы, которым можно доверять, обычно подробно рассказывают о том, какие меры принимают для защиты данных. Эту информацию можно найти на сайтах Mindbox, «Битрикс24», «Мегаплана», программы для создания дашбордов Power BI, сервиса сквозной аналитики Roistat и сервиса веб-аналитики «Яндекс Метрика». Чаще всего компании рассказывают об этом в разделах «Помощь» или FAQ.
Менеджер со стороны сервиса, ведущий ваш проект, видит ваши данные только в обезличенном формате, а доступ к базе клиентов и ее выгрузка возможны лишь с вашего разрешения. Менеджеру этого будет достаточно, чтобы помогать вам в решении проблем. Таким образом, к данным не получит доступа никто, кроме сотрудников вашей компании.
Платные программы-антивирусы
Ни надежный пароль, ни работа с проверенными сервисами не помогут, если ваш компьютер будет заражен вирусом и пароли станут доступны хакерам. Чтобы не допустить такой ситуации, используйте платные лицензионные антивирусные программы.
Бесплатные антивирусы обеспечивают только базовый уровень защиты: набор действий, предпринимаемых для безопасности компьютера, у них ограничен; они умеют распознавать только широко известные виды вирусов. А хакеры постоянно разрабатывают новые вредоносные программы. Создатели лицензионных антивирусов обновляют данные о новых вирусах, но эта информация появляется лишь в платных версиях программ. Кроме того, платные версии имеют расширенный набор функций. Поэтому с ними уровень вашей защиты будет на порядок выше.
Пиратские версии лицензионных программ сами могут содержать опасные вирусы, которые заразят ваш компьютер при установке.
Установите SSL-сертификат
Если собираете данные через сайт, установите на него SSL-сертификат. Это цифровой сертификат, который удостоверяет подлинность веб-сайта и позволяет передавать данные пользователей с помощью зашифрованного соединения. Простыми словами, SSL-сертификат помогает вашему браузеру понять, открыли вы настоящий сайт компании или его копию, созданную мошенниками. В момент подключения браузер отправляет сайту запрос, в ответ на который сайт высылает копию SSL-сертификата. Браузер проверяет сертификат и только в случае успешной проверки разрешает передавать ваши данные по зашифрованному соединению.
Если SSL-сертификата на сайте нет, злоумышленники могут считывать информацию, которая передается с сайта, — например, в момент, когда пользователь отправляет заполненную форму.
Если на сайте установлен SSL-сертификат, в адресной строке появится значок замка, а сам адрес будет начинаться с аббревиатуры HTTPS. Буква S в ней означает слово secure (безопасный). Так пользователи будут больше доверять вашему сайту.
На сайте nic.ru SSL-сертификат установлен — значит, вводить на нем данные безопасно
При отсутствии SSL-сертификата на сайте некоторые браузеры показывают предупреждение, что пользоваться им небезопасно. Пользователи могут отказаться на него переходить.
Сайт не поддерживает защищенный протокол HTTPS, и браузер предупреждает пользователя об этом
SSL-сертификат можно встроить и в код мобильного приложения — в этом случае вся информация о клиентах из него также будет передаваться по защищенному соединению.
Организуйте работу сотрудников с персональными данными клиентов
Необходимо издать локальный нормативный акт, в котором должно быть описано:
- какие персональные данные вы обрабатываете и с какими целями;
- в каких структурных подразделениях компании и на каких носителях хранятся эти данные;
- каким образом вы собираете, храните, обрабатываете и используете персональные данные клиентов;
- у каких сотрудников есть доступ к этим данным;
- как осуществляется защита клиентской базы от несанкционированного доступа;
- какие последствия наступают для сотрудников за слив клиентской базы: увольнение, административная, гражданско-правовая или уголовная ответственность.
С этим актом нужно ознакомить всех сотрудников под подпись.
Для сотрудников, работающих удаленно, стоит создать отдельный нормативный акт, в котором, кроме вышеперечисленных пунктов, будет указано:
- какими способами и на какие адреса будут передаваться данные;
- какие сервисы и системы будут доступны сотрудникам;
- какие требования должны выполнять сотрудники при передаче данных — например, отправлять только запароленные файлы;
- как сотрудники могут выявить несанкционированный доступ к данным и что должны делать в этом случае.
Конечно, это не защитит вас от недобросовестных сотрудников на 100%. Но если вы узнаете, что у вас украли базу клиентов, этот документ в суде будет серьезным аргументом в вашу пользу.
Домашние компьютеры сотрудников на удаленке должны подключаться к корпоративной сети компании через VPN. Вся работа с данными должна вестись только в защищенной сети. Для защиты локальной сети используется брандмауэр, или firewall, — межсетевой экран. Его задача — блокировать любой нежелательный трафик.
Настройте доступ сотрудников к клиентским данным с помощью CRM-системы
Если ваша база постоянных клиентов хранится в CRM-системе, вам не нужно заботиться о технической стороне вопроса — за это отвечает сам сервис. Но контроль доступа к нему — ваша задача. Вы отвечаете за то, чтобы никто не узнал пароли от сервиса, не взломал компьютеры, с которых можно войти в CRM-систему, чтобы у сотрудников не было лишних прав доступа и так далее. Все действия ваших сотрудников сохраняются в логах сервиса, их можно просмотреть в любой момент.
В CRM-системах есть разные способы ограничения доступа к базам данных:
Доверенные IP- и MAC-адреса. Можно разрешить вход в CRM-систему только с определенного списка IP- и MAC-адресов. Это могут быть адреса из локальной сети компании или внешние адреса, если сотрудники работают удаленно и входят в CRM, находясь дома. Войти в систему с незарегистрированного адреса не получится.
Авторизация с помощью операционной системы компьютера. В этом случае авторизоваться в CRM можно будет только под именем того пользователя, который запустил компьютер. Зайти в другой аккаунт из той же ОС не получится.
Настройка ролей и иерархии доступа. За каждым сотрудником в системе закрепляют определенную роль: менеджер по продажам, администратор, бухгалтер и так далее. Для каждой роли назначают права доступа — сотруднику будут доступны только те данные и функциональные возможности CRM, которые нужны ему для работы. Например, у бухгалтера будет доступ к информации о сделках, чтобы выставлять счета, но не будет доступа к контактам клиентов.
Закрепление клиентов за менеджерами. В этом случае у каждого из менеджеров будет доступ только к данным тех клиентов, с которыми он работает. Даже если кто-то из менеджеров окажется недобросовестным и решит увести базу данных, ему будет доступна только часть базы — всю информацию о клиентах вы не потеряете.
Дополнительный плюс — таким образом можно определить недобросовестного сотрудника еще до того, как он принесет вам вред. Если кто-то из менеджеров внезапно начнет проявлять интерес к клиентам других менеджеров, это будет поводом присмотреться к нему, пока у вас не украли клиентскую базу.
Автоматическое сохранение контактов клиента. Бывают случаи, когда при обращении нового клиента менеджер не вносит данные о нем в базу и пытается работать с ним в обход компании. Если настроить интеграцию CRM-системы и облачной АТС, база потенциальных клиентов будет автоматически пополняться новыми телефонными номерами, и руководитель сможет контролировать работу с этими клиентами.
Управляйте телефонными разговорами менеджеров с помощью облачной АТС
Облачная АТС помогает дополнительно защитить данные клиентов от утери и кражи.
Звонки с единого номера компании. Если на такой номер позвонит клиент, звонок будет переадресован на телефон менеджера, но номер клиента не определится. А если менеджер позвонит клиенту, у клиента высветится единый корпоративный номер компании. Таким образом, у клиента и менеджера не будет контактов друг друга.
Прослушивание разговоров менеджеров с клиентами. Это можно делать непосредственно во время разговора или позже, если сохранять записи звонков. Прослушивать разговоры сотрудников можно, если они звонят по корпоративной линии, а вот звонки на их личные телефоны прослушивать незаконно.
Контролируйте передачу данных с помощью DLP-системы
Как защитить базу клиентов от недобросовестных сотрудников еще надежнее? Для этого можно использовать возможности DLP-системы.
Предотвращение утечки данных. DLP-система — это специализированное программное обеспечение, которое защищает компанию от утечки данных. Система анализирует информацию (циркулирующую внутри компании, входящую, исходящую) и определяет ее тип. Если важная информация пересылается в больших объемах или отправляется туда, куда не положено, — DLP-система блокирует передачу и уведомляет ответственного сотрудника, что возможен слив базы клиентов.
Дополнительное преимущество DLP-системы в том, что она отслеживает информацию, которая пересылается не только в электронном виде, но и другими способами. То есть если недобросовестный сотрудник решит скопировать важную информацию на флешку или распечатать ее на принтере, руководитель компании тоже получит об этом уведомление.
Контроль работы сотрудников. DLP-система отслеживает время работы на компьютере и время простоя, активность сотрудника на сайтах, в соцсетях и мессенджерах, разговоры по телефону, ввод данных с клавиатуры и многое другое. Руководитель сможет вовремя заметить любые подозрительные изменения в поведении сотрудника.
Используйте технические средства защиты данных из реестра ФСТЭК
Этот пункт актуален для компаний, которые хранят данные в собственных дата-центрах, или центрах обработки данных (ЦОД). Для обеспечения безопасности серверов и хранящихся на них баз данных можно использовать только сертифицированные технические и программные средства защиты информации, которые есть в реестре ФСТЭК, — Федеральной службы по техническому и экспортному контролю России.
Создание собственного центра обработки данных требует от бизнеса много вложений. Для этого нужна специфическая отделка помещений, использование технических и программных средств. Работу по защите дата-центра можно отдать на аутсорсинг компании, которая специализируется на защите данных. В этом случае важно проследить, чтобы компания-подрядчик использовала только средства защиты из реестра ФСТЭК и чтобы у нее была лицензия на оказание таких услуг.
Чек-лист: что нужно сделать для защиты персональных данных ваших клиентов
- Используйте надежные пароли для всех программ и сервисов, в которых работаете с клиентскими данными. Храните пароли так, чтобы посторонний человек не получил к ним доступ.
- Используйте для работы с клиентскими данными только проверенные программы и сервисы.
- Установите платную версию лицензионной программы-антивируса.
- Установите SSL-сертификат на сайт или в мобильное приложение компании.
- Организуйте работу сотрудников с персональными данными клиентов: издайте локальные нормативные акты, настройте доступ через VPN для работников на удаленке.
- Контролируйте доступ сотрудников к данным с помощью CRM-системы, облачной АТС и DLP-системы.
- Если храните и обрабатываете данные в собственном дата-центре, используйте средства защиты из реестра ФСТЭК или воспользуйтесь услугами компании, которая специализируется на защите данных.