Кибербезопасность CRM-системы: как вендоры защищают данные клиентов от краж и утечек

Имитация хакерских атак, межсетевой экран, физическая охрана серверов на входе и другие меры защиты от утечек данных из CRM-системы. Управляющий директор по развитию продуктов ООО "Сбер Бизнес Софт" Денис Козицкий рассказал о популярных организационных, технических и физических мерах защиты, которые используются вендорами CRM-систем.

В 2024 году в мире произошло более 9000 утечек данных. Главной причиной остаются целенаправленные кибератаки на компании. Но все более серьезной угрозой становятся так называемые атаки на цепочку поставок, когда злоумышленники получают доступ к данным сотен организаций, скомпрометировав их поставщика ПО.

Желанной целью хакеров может быть CRM-система - именно там компании хранят важные данные. Как убедиться, что данные, содержащиеся в CRM, надежно защищены?

Для ответа на этот вопрос стоит обратить внимание на то, какие меры защиты использует вендор CRM-системы. Обычно используется сочетание разных видов мер:

• Организационные - правила и требования к защищенности компании.
• Технические - ИТ-решения для ответа на современные киберугрозы.
• Физические - защита компьютеров и серверов от краж и повреждений.

Организационные меры киберзащиты

• Создание политики кибербезопасности

Говоря простыми словами, политика кибербезопасности - это документ со всеми правилами, которые должна выполнять компания для защиты от кибератак и утечек данных. Обычно в политике прописывается, какие подразделения отвечают за безопасность, кто имеет доступ к тому или иному типу данных, как компания будет реагировать на киберинцидент и т.д. Политика кибербезопасности - индикатор того, что вендор CRM-системы подходит к защите своих данных и данных клиентов ответственно.

• Комплексный аудит кибербезопасности

Ландшафт киберугроз меняется постоянно: то, что было фатально для компании год назад, сегодня может не представлять большой опасности. Кроме того, у поставщика CRM-системы могут меняться процессы и инфраструктура. Поэтому ответственные вендоры проводят ежегодный аудит кибербезопасности. Для этого приглашаются независимые эксперты, которые оценивают, насколько компания уязвима для кибератак, отвечает ли она отраслевым стандартам безопасности и каким рискам подвержена в первую очередь.

• Обучение сотрудников

Киберпреступникам проще всего проникнуть в инфраструктуру компании, обманув сотрудников. Зачастую достаточно отправить электронное письмо с фишинговой (гиперссылка, которая маскирует адрес вредоносного ресурса) ссылкой, и сотрудник сам передаст все данные, перейдя по ней.

Поэтому кибербезопасность невозможна без обучения сотрудников. Обычно оно включает следующие меры:

• Регулярные тренинги и курсы повышения квалификации.
• Киберучения с моделированием реальных атак.
• Внеплановые инструктажи в ответ на новые угрозы.

Все это позволяет вендору CRM-системы эффективнее предотвращать атаки через самое уязвимое звено, а сотрудникам - правильно действовать в критических ситуациях, снижая риски для компании.

• Резервное копирование и восстановление данных

Кибератаки могут привести не только к утечкам, но и к уничтожению данных, хранящихся на серверах вендора CRM-системы. Важно, чтобы у поставщика решения было налажено резервное копирование информации.

Создание резервных копий можно автоматизировать, но просто хранить их недостаточно. Поставщик CRM-системы регулярно проверяет их работоспособность, проводя тестовые восстановления.

• Управление доступами

Каждый сотрудник вендора имеет доступ только к тем данным, которые необходимы ему для работы. Например, к коду CRM-системы есть доступ только у тех, кто обновляет ее. При этом они не могут видеть данные пользователей - клиентов CRM-систем. Доступ сотрудников вендора, которые напрямую работают с клиентами (например, настраивают аккаунты), к данным в аккаунтах также строго ограничен.

• Тестирование на проникновение

Практика, принятая в компаниях с достаточно высоким уровнем зрелости информационной безопасности. Тестирование на проникновение (пентест) - это имитация атаки хакеров, чтобы проверить, насколько поставщик CRM-систем устойчив к этим атакам. Во время теста ищутся уязвимости во внутренней или внешней инфраструктуре компании, оценивается вероятность их эксплуатации злоумышленниками, а также потенциальные последствия атак.

• Red Teaming

Еще одна практика компаний со зрелой кибербезопасностью. Если пентест моделирует ситуацию реальной атаки, чтобы обнаружить риски, то Red Teaming - это полноценная инсценировка атаки, призванная проверить, как команда кибербезопасности вендора CRM-системы отреагирует на инцидент.

Технические меры кибербезопасности

• Изоляция данных

Чтобы повысить кибербезопасность, вендор CRM-системы хранит данные каждой компании отдельно от других. Это называется изоляцией данных. Вся CRM-система спроектирована так, что, даже получив доступ к данным одного клиента CRM-системы, злоумышленники не смогут добраться до данных других организаций.

Когда CRM-системы обменивается информацией с другими сервисами (например, с бухгалтерской системой), все данные передаются по зашифрованным каналам. Это значит, что хакеры не смогут перехватить их.

• Инструменты защиты данных

На рынке информационной безопасности множество программных решений, которые используются для защиты от разных типов угроз. Хорошо, если ваш вендор использует такие типы решений:

• DLP-системы (Data Loss Prevention - предотвращение утечек данных), или системы защиты от утечек данных. Они созданы для обнаружения несанкционированного использования, передачи и хранения данных.
• IDS/IPS (Intrusion Detection System / Intrusion Prevention System), или системы обнаружения и предотвращения вторжений. Анализируют трафик в поисках подозрительной активности. Если находят - блокируют потенциально вредоносные пакеты и оповещают администратора. Вместо них может применяться NDR (сетевое обнаружение и реагирование) - более продвинутое программное обеспечение, которое умеет реагировать не только на известные угрозы.
• EDR, или защита конечных станций, - класс решений, предназначенных для обнаружения и анализа вредоносной активности на конечных точках: рабочих станциях, серверах и т.д.
• SIEM, или управление информацией и событиями безопасности. Это своего рода точка сборки всех событий ИБ внутри организации. Она хранит данные антивируса, IDS/IPS, веб-приложений и т.д.
• Межсетевой экран - фильтрует входящий и исходящий трафик, опираясь на правила сегментирования сети. Его задача - отрезать весь нелегитимный трафик.
• VPN, или виртуальная частная сеть, - шифрует данные о трафике и маскирует IP-адрес, значительно усложняя злоумышленникам задачу. Также во многих компаниях доступ к внутренним ресурсам доступен только через VPN, что позволяет защитить данные.

Физические меры защиты дата-центров

Иногда информацию можно потерять из-за физического уничтожения серверов. Чтобы этого не произошло, данные CRM-системы хранятся сразу в нескольких отдаленных друг от друга дата-центрах. Если один из них выйдет из строя, система автоматически переключится на другой, не прерывая работы.

Также дата-центры CRM-вендоров надежно защищены круглосуточной охраной, системами пожаротушения и резервными источниками питания, резервными каналами подключения к интернету. Это снижает риски потери данных из-за бедствий и несчастных случаев.

А еще для кражи данных преступники готовы лично явиться в дата-центр компании-поставщика. Поэтому доступ к серверам есть только у проверенных сотрудников, а все действия персонала записываются в журнал. У сотрудников, поддерживающих физическую инфраструктуру, нет доступа к данным CRM-системы.

Утечки и кражи данных происходят ежедневно, поэтому, выбирая CRM-систему, важно оценивать не только удобство и функциональность, но и защищенность. Нет ничего плохого в том, чтобы поинтересоваться у вашего вендора, какие меры информационной безопасности он принимает. От этого зависит стабильность вашей работы и безопасность данных ваших клиентов.