17:30 / 12 сентября 2024
CRM: как и чем рискует бизнес - IT Speaker, новости информационных технологий
Скандальные утечки данных различных ИТ-сервисов, имеющих дело с широкой клиентской аудиторией, объединяет одна важная техническая деталь. Судя по характеру скомпрометированных данных, их источником во многих случаях становятся CRM-системы различных компаний-операторов. Об ИБ-аспекте работы с такими решениями рассказывает Дарья Кагарлицкая, технический директор системного интегратора и разработчика Navicon.
Через ИБ-призму
Безопасность корпоративных систем имеет два уровня – технический и административный. Первый описывает средства защиты ИТ-решения, которые реализованы ее вендором, а также использование различных ИБ-инструментов в организации, профиль и цели потенциальных кибератак, и др.
Второй уровень касается порядка использования ИТ-решения в конкретной организации: его настроек, политик доступа, администрирования, контроля. И это – зона ответственности компании и системного интегратора, который осуществляет проект внедрения и последующую поддержку системы. Применительно к CRM можно выделить несколько ключевых рисков, связанных с их использованием.
Прежде всего это клиентские данные, которые в них хранятся. Даже их минимальный набор весьма широк: фамилия и имя, должность, компания, номер телефона, e-mail, пол, дата рождения. И это могут быть данные как рядового сотрудника, так и топ-менеджера. В любом случае, речь идет о ценных персональных данных людей.
Кроме того, CRM содержат сведения о сделках – коммерческих предложениях, договорных отношениях и документах, продажах, отгрузках, платежах и прочих деталях. Коммерческий эффект сделок может оцениваться десятками миллионов, и компрометация таких данных крайне нежелательна.
То же самое относится к данным о сервисном обслуживании. Получив доступ к рекламациям, жалобам, порядку обслуживания клиента, киберпреступник может составить полноценную карту используемой продукции компании в разных организациях, ее качества и т.п.
Маркетинговые данные на этом фоне кажутся не такими существенными, но и из них можно сформировать детальную картину истории взаимоотношений компании со своими клиентами: приглашения на мероприятия, формальные и неформальные договоренности и т.д. В руках мошенников эти данные превращаются в фишинговые страницы регистрации и фейковые опросы.
Такие данные ценны и сами по себе, и как объект дальнейшей перепродажи другим мошенникам. Использоваться в различных кибератаках они могут бесконечно, причем даже тогда, когда жертва перестает относиться к этим данным как к сколько-нибудь существенным.
Как убедиться в безопасности CRM-системы
Два уровня безопасности CRM определяют и подход к ее обеспечению. Прежде всего, компании необходимо выяснить декларируемый уровень безопасности установленной у них системы. Проще всего это сделать, внимательно изучив состав сертификатов, которые вендор получает для своего решения, как обязательных, так и рекомендуемых.
Важное подтверждение высокого уровня защищенности CRM на «уровне вендора» – частота выпуска обновлений и новых релизов системы. При этом стоит обратить внимание и на порядок их выпуска, т.е. на то, как работает служба безопасности самого вендора, которая проверяет новые версии продукта.
На втором уровне безопасности CRM необходимо обеспечить тщательно спланированный порядок ее использования. Эта задача гораздо сложнее. Для того, чтобы убедиться в том, что используемая в компании система надежно защищена, стоит поставить себя на место преступника и думать так, как думают кибермошенники: «Я нахожусь внутри компании, имею доступ к CRM и каким образом, обладая им, я могу причинить компании ущерб или использовать их для извлечения выгоды».
Это может быть выгрузка данных в отдельный файл, генерация отчетов на уровне пользователей с высокими правами доступа и др.
Часть этих возможностей может быть доступна пользователю по умолчанию, другие – при выполнении ряда условий, еще часть – только через запрос к системному администратору с указанием причины запроса доступа. И в любом случае, безопасность системы будет зависеть от того, насколько подробно и детально описывается доступ в корпоративных политиках, как отслеживается использование системы на уровне отдельных пользователей, а также для чего им выдаются те или иные полномочия.
Многое позволяет узнать и анализ логов системы. Даже информация, полученная постфактум, часто позволяет выявить мошеннические действия, проанализировать их и постараться предотвратить компрометацию данных.
Если анализ использования системы показывает хотя бы наличие возможностей несанкционированного доступа к данным, то это – уже повод для того, чтобы как минимум на уровне администрирования усложнить логику CRM, добавить «прослойку» между пользователем и чувствительными данными в лице администратора.
Иными словами – ликвидировать саму возможность свободного «плавания» пользователя по системе.
Прежде всего, необходимо руководствоваться нормативными документами. К примеру, наиболее оптимальный путь выполнения федерального закона о защите персональных данных – использование для их хранения выделенного сервера, находящегося в России, и это обстоятельство уже формирует отдельный набор требований к архитектуре CRM.
Стоит учитывать, что федеральное законодательство постоянно усложняется – и за счет непосредственных изменений в самих законах, и выпуском новых подзаконных актов. Например, согласие на хранение тех же персональных данных, которое раньше было бессрочным, теперь ограничено по времени. Ограничения накладываются и актами, связанными с импортозамещением, и многими другими регуляторными нормами.
Все эти обстоятельства формируют выбор: CRM должна иметь российское происхождение, серверы должны быть выделенными и находиться в России, или, как альтернатива, должны находиться в собственной инфраструктуре предприятия. А кроме того, «решение-кандидат» должно иметь все необходимые (как минимум) и рекомендованные (как максимум) сертификаты на соответствие требованиям безопасности – защита должна быть реализована уже на базовом уровне самого программного продукта.
Еще один уровень – безопасность платформы, на которой будет развернута CRM. Это касается защиты и самой платформы, и сетевого периметра, и обеспечения доступа к системе, и безопасной интеграции CRM с другими информационными системами компании или внешними сервисами.
И, наконец, третий уровень – продуманная модель доступов в самой системе, качественно настроенная и протестированная еще до выхода продукта.
***
Необходимость соответствовать современным требованиям информационной безопасности определяет пути развития CRM как класса систем. Сегодня мы видим, что у большего числа вендоров появляются функции, направленные на обеспечение ИБ, предусматриваются новые интеграции и применяются более гибкие модели ролевого использования. Российские разработчики готовы предоставлять рынку зрелые и безопасные CRM-системы.
В то же время просто развернуть продукт в ИТ-инфраструктуре недостаточно. Бизнес должен самостоятельно заботится о том, чтобы выбранное решение удовлетворяло как требованиям отраслевых стандартов, так и внутренним регламентам, а также обеспечивать его своевременную поддержку и развитие.
Поделиться новостью
17:30 / 12 сентября 2024
17:15 / 12 сентября 2024
17:00 / 12 сентября 2024
16:30 / 12 сентября 2024
17:30 / 12 сентября 2024
17:15 / 12 сентября 2024
17:00 / 12 сентября 2024
16:30 / 12 сентября 2024