Как обеспечить безопасность банковских контакт-центров?
Контактный центр — не основное направление для банковского бизнеса. Хотя современные контакт-центры сегодня выполняют достаточно большой объем работ по взаимодействию с клиентами (например, сервисное обслуживание, информирование о новых товарах и услугах, проведение исследований и продажи) и этот перечень функций стратегически важен, зачастую он выпадает из поля зрения службы безопасности банка. В результате подход к обеспечению информационной безопасности контакт-центра может оказаться не таким строгим и стандартизированным, как к защите основных банковских систем, активов и процессов.
Насколько защищены контакт-центры банков?
Согласно данным InfoWatch, на банковский сектор приходится наибольшая доля от общего числа умышленных утечек данных по сравнению с другими отраслями. При этом в целом по всем сегментам 53,5% информационных утечек в первом полугодии 2018 произошли по вине сотрудников компании, 37,6% — вследствие действий злоумышленников, и только 1,2% — по вине системных администраторов.
Безопасность любого контактного центра строится на том, какие правила прописаны, как сотрудник ведет себя, что он может или не может делать в рабочих системах. Однако не стоит сводить все к так называемому «человеческому фактору». Для обеспечения полноценной защиты контактного центра банка важно учесть еще несколько важных моментов.
Во-первых, необходимо использовать стандарты безопасности, которые должны выполняться в обязательном порядке. Передовые компании стремятся построить собственную систему стандартов, основанную на лучших практиках и признанных международных стандартах безопасности. Один из них — ISО 27001, который позволяет выявлять угрозы безопасности для бизнес-процессов. Другой важный стандарт – PCI DSS, созданный для индустрий, где используются платежные карты.
Во-вторых, большой риск связан с потенциальным мошенничеством (фродом). В случае контакт-центра один из основных рисков – это возможные преступные действия со стороны его сотрудников, которые нужно исключить еще на этапе подбора персонала, а также с помощью строгих правил поведения на рабочем месте.
В-третьих, нельзя забывать про технические риски. Все меры безопасности, которые требуют стандарты для минимизации рисков с технической точки зрения, нужно внедрять. Если что-то из технических мер защиты выполняется некачественно, то эта проблема может быть даже более серьезной, чем возможный фрод.
Как сотрудник контактного центра может предотвратить действия мошенников?
Аутентификация – это критичный этап любого запроса в контакт-центр. Как правило, оператор контакт-центра может проверить, что обратившийся человек действительно тот, за кого себя выдает, несколькими способами. Например, звонящему нужно назвать номер паспорта, кодовое слово или другие данные, известные только владельцу счета. Эти требования должны быть четко сформулированы и закреплены. Каждый сотрудник контакт-центра банка должен знать алгоритм и придерживаться его.
Банки постоянно совершенствуют системы безопасности. Например, они в числе первых начали внедрять биометрические системы идентификации клиентов. Пока что распознавание клиентов по голосу не является массовым явлением, но ожидается, что постепенно банковские контакт-центры будут использовать эту систему аутентификации, в том числе, в рамках Единой биометрической системы (ЕБС), запущенной в России с 1 июля 2018 года.
Основные правила информационной безопасности контактного центра банка
Вопросы безопасности — это ответственность не только ИБ-департамента компании, но и каждого сотрудника контакт-центра. Предотвратить утечку информации или попытку мошенничества помогают простые правила.
- Подбор операторов контакт-центров
Подбор персонала в контактный центр банка следует проводить в несколько этапов, включая интервью, запрос рекомендаций, бекграунд-чек, фоновые проверки. Службы безопасности в банках могут быть подключены к подбору персонала и проводить собственные проверки, разумеется, с согласия кандидата и в соответствии с законом РФ. После отбора сотрудники проходят обучение по работе со всеми продуктами и услугами банка, которые им предстоит поддерживать, а также правилам информационной безопасности.
- Обучение правилам информационной безопасности
Сотрудники должны на практике знать, как реагировать на потенциальные угрозы. Например, системы защиты могут пропускать фишинговые письма, и сотрудник должен уметь распознать признаки подобной атаки. Мотивируйте операторов к открытому общению и информированию о любых подозрительных действиях. Создайте горячую линию, куда сотрудники могут сообщать о подозрительной активности. Проводите регулярные тренинги для операторов в соответствии с их уровнем доступа и рабочими обязанностями.
- Политика чистого рабочего стола
Сотрудник должен оставлять все личные вещи за пределами операционного зала, где обрабатываются персональные данные клиентов. В первую очередь, под запрет попадают электронные устройства, бумага, письменные принадлежности и любые другие носители, которые могут записывать, хранить и передавать данные. Это должно быть частью корпоративных правил, которые определяют границы того, что можно и нельзя делать в компании. Любые носимые устройства для личных звонков, переписки, прослушивания музыки нужно оставить в личном шкафчике до входа в операционный зал.
- Технические требования
У сотрудника контактного центра в принципе не должно быть доступа к информации, которая не нужна ему для работы: ни физически, ни через браузер, ни на локальном диске в компьютере. Условно, если для рабочих операций сотруднику нет необходимости делать клик правой кнопкой мыши, значит, у него должна быть заблокирована правая кнопка мыши. Если ему не нужно открывать более двух-трех вебсайтов, которые разрешены для работы, значит, у него будет доступ только к ним. Если в рабочей CRM-системе он выполняет определенные действия, то все другие действия должны быть заблокированы. Все операции, которые сотрудник совершает на рабочем месте онлайн или физически, должны отслеживаться. Это позволяет выявлять возможные аномалии в поведении. Если какие-то действия кажутся подозрительными, нужно проводить своевременное расследование, чтобы выявить возможное мошенничество.
- Обнаружение угроз на ранних этапах
Системы защиты должны мониторить подозрительную активность сотрудников контакт-центра и оперативно сообщать о ней в соответствующие службы банка. На основе этого мониторинга должны регулярно формироваться отчеты, по которым определяются подозрительные действия. Кроме того, ответственные менеджеры на проекте должны постоянно контролировать сотрудников и реагировать на подозрительную активность на месте. Например, если сотруднику для работы не нужно открывать более двух-трех сайтов, то серфинг в интернете определится как подозрительная активность.
- Высокие стандарты безопасности
Система безопасности не должна ограничиваться стандартами безопасности и ИТ-системами. Дополнительно необходимо регулярно проводить проверки безопасности: ежедневный мониторинг ИТ-систем, политик безопасности, доступов сотрудников к данным и программам. Они помогают собрать информацию об операционных процессах и разрабатывать более эффективные инструменты обеспечения безопасности.
Соблюдение всех перечисленных правил позволит выстроить сильную систему безопасности контактного центра. Безусловно, банк может сделать это самостоятельно, однако на это потребуется очень много ресурсов: временных, человеческих и финансовых. Для некоторых крупных банковских организаций со сложной структурой внутреннего взаимодействия и очень длительным процессом принятия решений, возможно, лучшим выходом окажется передача операций контакт-центра на аутсорсинг.
При выборе действительно надежного партнера может оказаться, что уровень защищенности на аутсорсинге выше, чем в банке. Для внешнего партнера это является основным видом деятельности, и он уже готов предоставлять сервис здесь и сейчас с таким уровнем защищенности, который требуется банку, включая использование стандартов ISO 27001 и PCI DSS, не требуя при этом дополнительного времени на согласование, инвестиции или реализацию.
В контактном центре банка особенно важно понимать риски и совершенствовать защиту всех процессов так, чтобы на выходе клиент получал комфортный сервис. При внедрении новых технологий никогда нельзя забывать, что в первую очередь она должна быть удобной пользователю — клиенту банка.
По материалам Teleperformance