Редакция Forex Magnates Russia продолжает публиковать материалы и заметки, предоставленные профессионалами торговой индустрии, в рамках своего проекта «Открытый микрофон». К команде наших блогеров сегодня присоединился эксперт Кирилл Златолинский Генеральный директор провайдера платежных решений PaynetEasy, который расскажет о том, как защититься от краж данных, в том числе и лидов.
Размер рынка ворованных персональных данных в веб-индустрии уже оценивается в миллиардах долларов и продолжает расти. Кражи лидов стали привычным явлением, с которым смирились представители индустрии. Кирилл совершенно уверен, что никто среди них не верит в то, что предотвратить кражи возможно.
Кто-то безнаказанно ворует из вашего кармана, а вы ничего не можете сделать
С проблемой сталкиваются все, но никто не обсуждает ее публично, и только редкие случаи попадают в поле зрения прессы. Например, истории о судебных процессах, в которые вовлечены бывшие сотрудники брокеров, попытавшиеся продать данные клиентов конкурентам. Связано это с существенными репутационными потерями, которые ждут любую компанию при публикации таких сведений. Вместе с ушедшими в чужие руки данными, самостоятельно уйдут и лояльные клиенты, для которых подобных случай — показатель неспособности брокера их защитить. Ко всему прочему, сам факт кражи больно бьет по бизнесу — кто-то безнаказанно ворует из вашего кармана, и вы ничего не можете сделать с этим.
Используя различные методы, бизнес пытается минимизировать риски или хотя бы отследить источник утечки данных
Популярные способы защиты от краж данных
Способы защиты от краж можно условно разделить на две категории:
- Предотвращение доступа третьих лиц к данным. К этой группе мы относим системы защиты против хакерских атак и вирусов, контроль доступа к клиентским данным со стороны подрядчиков, выбор надежной платформы для работы. Ряд компаний могут позволить себе создать отдельную защищенную CRM систему, чтобы не зависеть от технологических партнеров и уменьшить таким образом риск кражи данных. Но это требует существенных затрат, которые может позволить себе, увы, не каждый. К тому же, лазейки в безопасности остаются у IT-специалистов, которые могут обойти систему защиты и украсть данные, которые, как вам кажется, у вас под контролем.
- Построение системы, при которой вы с высокой долей точности сможете указать, кто конкретно и когда украл ваши данные. Это касается внутренних угроз, краж со стороны сотрудников. Брокеры используют камеры наблюдения, тесты на полиграфе, контролируют процессы передачи данных на устройствах, на которых работают сотрудники. То есть пытаются каким-то образом предотвратить кражу, и по горячим следам успеть схватить преступника за руку, что происходит крайне редко. Вместе с тем, подобные унизительные способы контроля сотрудников наносят урон корпоративному духу и ухудшают и без того существенную текучку кадров.
Что объединяет все эти методы? Ни один из них не даст вам гарантий безопасности. Эти рекомендации напоминают, скорее, добрые советы: будьте внимательнее, не передавайте важные данные посторонним компаниям, проверяйте своих технологических партнеров и платформу, на которой вы работаете. В результате у нас есть серьезная проблема и нет адекватного решения для нее. Или решение существует, но вы просто пока про него не знаете?
Кейс из практики
Значительный объем лидов воруется еще до самого момента их попадания в руки брокера
Об этой проблеме нам рассказал один из клиентов, который устал терять лиды, а вместе с ними свою прибыль и пришел к тому, что проблема требует решения. Для нас, как для компании, предоставляющей услуги в сфере технологий процессинга электронных платежей, само наличие такой нерешенной проблемы показалось странным, ведь основа нашего бизнеса – безопасность данных. В первую очередь мы тщательно изучили текущие методы предотвращения и защиты от краж и определились с концепцией новой системы, которую назвали LPS – Leads protecting system. Помимо того, что решение должно защищать бизнес от обоих типов угроз – внешних и внутренних, оно должно отвечать следующим требованиям:
- Разделение данных. Для самого процесса трейдинга данные, которые содержатся в лидах – номер телефона и e-mail, не представляют никакой ценности, они там не нужны. Почему бы их не отделить от всех остальных данных клиентов и хранить их другом месте, которое будет защищено?
- Ограничение и контроль доступа. Основной доступ к базе данных должен быть только у узкого круга лиц, которые по своему усмотрению в зависимости от потребностей и должностных функций будут наделять полномочиями остальных сотрудников ровно в той мере, в которой это требуется.
- Упрощение поиска источника утечки в случае, если инцидент с кражей лидов все-таки произошел. Это значит, что система должна давать возможность максимально подробно изучить кто, когда работал с данными, чтобы сузить поле для поиска.
- Сделать невозможным единовременное копирование данных, то есть перестать хранить их в виде списка.
- Независимость от третьесторонних систем. Платформа, партнеры, IT-подрядчики, даже компания, которая предоставляет решение по безопасности, кто-угодно – не должны иметь доступ к полным данным.
- Сохранение сложившихся в компании бизнес-процессов. Решение не должно менять сложившийся алгоритм работы, так как любые перестройки спровоцируют рост материальных и временных затрат для компании. Ко всему прочему, функционирование системы не должно негативно отразиться на корпоративном духе компании.
Определившись с концепцией, мы перешли к детальной проработке и поиску конкретных принципов и методов защиты данных и сформировали пул инструментов, которые используем в LPS.
Обеспечение кратчайшего пути к безопасности
Значительный объем лидов воруется еще до самого момента их попадания в руки брокера. Обычно путь лида лежит от браузера пользователя в трейдинговую платформу и только потом к самому брокеру. Такой алгоритм предоставляет исключительные возможности для кражи данных на любом этапе. С целью защиты информации в процессе ее передачи брокеру мы используем другую модель.
К данным, потеря которых будет критичной для брокера, относятся номер телефона клиента и его электронная почта
Данные сразу размешаются на защищенном встроенном виджете, который установлен на сайте брокера, лэндинге, аффилированных сайтах, любом ресурсе. Виджет является частью LPS, в котором клиентская информация шифруется и уже в таком виде попадает в трейдинговую платформу и к брокеру. Виджет не изменит алгоритм работы пользователя с ресурсами брокера, обеспечит кратчайший путь к безопасности и исключит риск того, что данные клиентов будут перехвачены по пути в CRM.
Шифрование данных
К данным, потеря которых будет критичной для брокера, относятся номер телефона клиента и его электронная почта. Для обоих типов используются механизмы защиты, которые будут ограждать их от внешних и внутренних угроз.
Что касается номера телефона – при его регистрации в системе часть символов заменяются знаком «*», количество открытых цифр определяет сам брокер. Данные маскируются решением и уже в таком виде попадают в CRM платформы и к самому брокеру. Доступ к реальным данным остается только у ответственного сотрудника, который при необходимости будет выдавать разрешение на просмотр коллегам. Все остальные сотрудники не смогут такие данные украсть, а те, у кого есть доступ, с меньшей вероятностью воспользуются им в преступных целях, так как источник утечки данных можно будет легко отследить.
Для шифрования e-mail адресов мы используем другую схему. В решение имплементирован собственный почтовый сервер, через который проходят все сообщения от клиента и к нему. Электронная почта клиента при первой передачи на сторону брокера трансформируется в alias e-mail. Реальный адрес становится недоступным ни для внешней аудитории, ни для персонала. В CRM и к сотрудникам брокера попадает только адрес, который сгенерировала система. Без ключа к шифру эта информация становится бесполезной.
Этот адрес сотрудник и использует для переписки с клиентом. Помимо этого, в LPS можно создать правила отслеживания содержания писем, поставить неприемлемые выражения, при использовании которых сообщение будет блокироваться, а менеджер будет получать соответствующее уведомление.
Защита системы
Вся информация хранится на защищенных серверах в локальной зоне, которая защищена фаерволом от хакерских атак и других вмешательств. База данных и ключи к шифру должны распределяются по отдельным серверам.
Таким образом злоумышленники, которые пытаются получить доступ к данным компании, вынуждены будут пройти несколько уровней защиты. Подобные вмешательства и атаки можно отследить и предпринять меры по защите важных сведений. Помимо этого, даже есть кто-то взломает фаервол, ему придется взломать каждый из защищенных серверов, так как зашифрованные номера телефонов и адреса электронной почты в ничего не дадут. Ценность информации нулевая, а для того, чтобы получить полные сведения, нужно еще взломать сервер с ключами шифрования, что также займет время и обратит на себя внимание IT.
Управление и контроль доступа
Чрезвычайно важное качество LPS – возможность управлять доступом к сведениям. Решение решает проблему контроля доступа, но при этом не ограничивает доступность самих средств коммуникации с клиентом. Каким образом?
Роли пользователей максимально распределены. Основной доступ ко всем ресурсам есть только у менеджера, который по своему усмотрению предоставляет его другим сотрудникам.
По умолчанию для всех остальных сотрудников, коллеров, предоставляется минимальный доступ к важным данным –замаскированный телефон, alias e-mail. Его можно расширить и дать возможность увидеть реальные данные, но даже в этом случае скопировать весь объем лидов сложно. Придется по отдельности заходить в каждую учетную запись и с помощью двойного клика открывать данные по ней. Обеспечить дополнительную безопасность можно ограничив время работы сотрудников с лидами в соответствии с рабочим графиком каждого их них.
Полный доступ к данным дает возможность менеджеру отслеживать все действия, производимые с лидами. В личном кабинете менеджер увидит, сколько лидов было открыто и кем, сколько звонков было совершено и выслано писем. Таким образом подозрительную активность сотрудников можно быстро отследить. А в случае кражи, с легкостью определить кто имел отношение к утечке.
Все эти действия по ограничению доступа никак не помешают процессу работы коллеров
Для синхронизации CRM брокера и LPS используется браузер плагин, который будет работать независимо от пользователей CRM-системы. Для того, чтобы коллер мог звонить клиенту, не получая полного номера телефона, система интегрируется с VOIP провайдерами, которым передается только номер клиента для осуществления звонка. При инициации звонка, сотрудник будет автоматически соединен с клиентом.
Схему общения по e-mail мы описывали ранее. Никаким образом не меняя алгоритм общения с клиентов, коллер может высылать письма по нужным ему адресам и общаться с клиентами.
Размещение, интеграция, масштабирование
Оптимальным вариантом размещения системы со всей инфраструктурой будут облачные, решения, которые обладают высоким уровнем защищенности, отказоустойчивостью и возможностями мониторинга в режиме реального времени
На момент развертывания системы брокер предоставляет доступ для настройки сетевой инфраструктуры, установки операционных систем и прикладного программного обеспечения. После доступ аннулируется, аудит на наличие уязвимостей мы проводим уже через интерфейс облачного решения.
Установка решения и интеграция с платформой, на которой работает брокер, также просты для заказчика. Оптимальный вариант – интеграция по открытому API платформы. Никаких существенных изменений в работе брокера при этом не произойдет, останется такая же CRM система и привычными каждому пользователю условиями. Кроме того, что теперь никто не будет видеть открытых данных по каждому клиенту.
LPS также доступна для внедрения на платформу с тем, чтобы каждый брокер при подключении к ней сразу обеспечивался системой по защите лидов. При этом, интеграция будет проходить по такому же принципу и никак не влиять на существующий порядок работы платформы.
Вывод: Создавай свои правила
Итак, мы описали принципы работы LPS, которая защитит бизнес от краж лидов, предотвратит посторонние вмешательства и даст вам возможность зарабатывать больше, тратя маркетинговый бюджет исключительно для себя, а не на благо конкурентов. Такая система эффективно работает не только на стороне брокера, но и на стороне трейдинговой платформы. Если трейдер защищает данные своих клиентов, он увеличивает прибыль за счет того, что к ним будет попадать больше лидов, они станут зарабатывать больше и делиться процентом со своей прибыли с платформой.
Так или иначе, вопрос в личном выборе каждого – играть по правилам, что значит позволить себя обворовывать и терять прибыль, либо создать свои правила и обеспечить бизнесу реальную защиту.
«Открытый микрофон»
Дорогие друзья, читатели, подписчики и гости информационного ресурса Forex Magnates Russia, приглашаем вас принять участие в проекте «Открытый микрофон» — публикации блогов на странице нашего русскоязычного вебсайта ru.financemagnates.com. Присылайте ваши идеи и материалы для публикации и высказывайте свое мнение с нашей трибуны. Если вы хорошо знакомы с текущей ситуацией на торговых рынках, опытный участник индустрии, специалист в своем деле, поделитесь своими знаниями с другими! Мы предлагаем широкий спектр вопросов для обсуждения: макроэкономика, форекс, торговые тенденции, управление рисками, психология трейдинга, технический и фундаментальный анализ, геополитика финансового мира, финансовые организации, регуляция и многое другое.
Желающих просим обращаться по электронному адресу: russia@forexmagnates.com или vadims@financemagnates.com.