В туристическом бизнесе всё чаще говорят не только о продажах, но и об информационной безопасности. Закон о персональных данных вступил в силу, но по-настоящему осознали его значение далеко не все. На бизнес-полднике для туроператоров и турагентов, который прошёл в Минске, обсуждали не сухую теорию, а реальные истории — о «сливах» через мессенджеры, про клиентов-шантажистов и про менеджеров, переписывающих клиентскую базу в блокнот перед увольнением. Спикеры обсудили не только пробелы в понимании закона, но и дали практические советы, которые могут уберечь туристическую компанию от потери репутации и… всего бизнеса.

В чём главная проблема?
«Большинство думает, что угрозы — откуда-то снаружи. На самом деле чаще всего утечки происходят изнутри. Из-за обычной халатности или незнания», — говорит Евгений Скибунов, директор «Тревелсофт консалтинг», работающий с CRM-системами и цифровой инфраструктурой туркомпаний.

Он вспоминает:
— Однажды сотрудник турфирмы просто сел и переписал всю клиентскую базу себе в блокнот. Потому что искренне считал, что “он их заработал”. Клиенты — его. Это же он с ними работал. Но с юридической точки зрения — это собственность компании. Поэтому важно чётко прописывать в договоре: данные принадлежат компании. И да, ограничивать доступ. Не нужно, чтобы бухгалтер видел базу продаж, а менеджер — финансовые документы.

Невозможно полностью закрыть доступ — но можно ограничить. Программное обеспечение позволяет: задавать права доступа (по отделам, направлениям, функциям); установить двухфакторную аутентификацию; ограничить вход по IP-адресам (например, только из офиса).

«Даже если сотрудник узнает логин и пароль, он не сможет войти без привязанного телефона. Это важно, — отметил эксперт. - Если у вас есть внешние маркетологи, сисадмины, разработчики — заключайте с ними NDA и соглашения по защите данных. Это обязательно. 

 Резервные копии: не рекомендация, а спасательный круг 

 Бывают ситуации, когда сервер сгорел, а копий нет. И всё: бизнес остановился.

 «Один раз компания спаслась от полной потери данных буквально компакт-диском (хранился в сейфе) с резервной копией. Не будь её — пришлось бы начинать почти с нуля, — делится Скибунов. — Очень часто люди думают, что главная угроза — это хакеры или внешние атаки. На самом деле проблему чаще всего создаём себе сами: забываем делать бэкапы, не обновляем программы, игнорируем антивирусы и старые версии операционных систем».

Что важно? Дублируйте базу клиентов (и в облаке, и локально). Настройте автосохранение (например, через Active Cloud). Не забывайте, что Google Docs — не белорусская платформа, доступ к которой может быть ограничен.

Паспорта в Viber — больше не безобидно
Многие турфирмы до сих пор получают от клиентов сканы паспортов в мессенджерах.
«Если вы получили паспортные данные через Viber, вы обязаны их удалить сразу после внесения в договор. Нельзя хранить их на личных телефонах, в облаке или на Google Диске — это уже нарушение», — поясняет Юлия Белик, эксперт по информационной безопасности из ActiveCloud.

Системы хранения должны быть защищены, аттестованы. А доступ к данным — ограничен сроками действия договора. «Вы не можете хранить клиентскую базу вечно. Если договорные отношения завершились — вы обязаны удалить данные. Даже если очень хочется оставить их для рассылки», — подчеркивает Белик.

Одна цель — одно согласие
И ещё: нельзя просить согласие на всё одним кликом. Каждая цель обработки — отдельное согласие. И если клиент от него отказывается, это не может быть поводом отказать ему в услуге. Иначе — жалоба, проверка, предписание.

История: «Я — Чебурашка, я вас взломал»
Евгений Скибунов рассказал и историю, достойную триллера.
— Утром получаем сообщение: «Я — Чебурашка. Я вас взломал». Он называет даты и номера броней в дорогом отеле “Империал”. Заходим в систему — действительно, две брони оформлены от имени “Чебурашки”.

Компания сразу перекрыла всем доступ к системе бронирования, чтобы не допустить массового бронирования дорогих номеров на квоте — ведь это могло обернуться потерями в десятки тысяч евро.

Начали выяснять, как это произошло. Бронирование прошло через учётную запись одного из агентств. Сами они уверяли, что не бронировали. 

— Я попросил описать, что происходило на рабочем месте. И менеджер вспоминает: накануне приходил клиент, который сидел рядом, пока оформлялась другая поездка. А на мониторе у сотрудницы — стикеры с паролями.

Оказалось, что клиент просто запомнил логин и пароль, вернулся домой, вошел в систему и оформил фиктивные брони. После этого прислал сообщение с требованием перевести ему 6 тысяч электронными деньгами.

Это хороший пример того, что даже без «взлома» в классическом смысле утечка может произойти из-за обычной неосторожности, — подчеркивает спикер. 

Безопасность начинается с пароля
Один из самых простых и, увы, массовых промахов — слабые пароли.
«Каждый второй пытается зарегистрироваться с паролем типа “123” или “qwerty”. А потом удивляется, почему не работает», — говорит Евгений. Рекомендация простая: используйте сложные, длинные пароли, меняйте их регулярно, подключайте двухфакторную аутентификацию. И не пишите пароли на бумажках, тем более на мониторе.

CRM, сайты, “куки” и аттестация
Если у вас есть сайт, куда клиент может оставить имя, телефон или e-mail, или CRM-система в облаке — считайте, у вас есть информационная система, которая обрабатывает персональные данные. Значит, она должна быть защищена и аттестована. Даже использование  аналитических сервисов вроде Google Analytics и Яндекс.Метрики нужно прописывать в политике — вплоть до того, какие данные собираются, на каких условиях и как защищаются. По словам экспертов, одна из самых частых ошибок — отсутствие корректной формы согласия с cookie. Даже если вы убрали Яндекс.Метрику или Google Analytics, но на сайте осталась форма заявки — вы всё равно собираете персональные данные. И если нет правильного уведомления — это нарушение.
- Задача аттестации — проверить, что система защиты информации действительно соответствует требованиям законодательства по защите информации, — подчёркивает Артем Грецкий, CISO ActiveCloud. -  Аттестация — это процесс создания «защитного забора» вокруг информационной системы, испытания его эффективности и получение официального подтверждения — аттестата. Даже если ваша CRM размещена на российском сервере, нужно подтвердить, что она соответствует белорусскому законодательству. Данные должны передаваться по защищенному каналу, с использованием белорусской криптографии.

 Даже если вы используете CRM в облаке, получаете письма и загружаете информацию в систему — она тоже "смотрит в интернет". В таком случае нужно провести аудит: посмотреть, какие именно данные обрабатываются, где они хранятся, и требуется ли аттестация.

Часто у небольших компаний и организаций нет ресурсов для собственной защиты и внедрения дорогостоящих средств безопасности. В таких случаях, по словам эксперта, разумно использовать защищенные облачные сервисы, где вся инфраструктура уже соответствует требованиям. Аттестация при этом проводится дистанционно с помощью технических отчетов и скриншотов.

Внутри компании должна быть выстроена система: назначен ответственный по персональным данным, проведено обучение всех сотрудников, разработаны внутренние регламенты, политика обработки персональных данных, разграничены права доступа.

Что будет, если ничего не делать?
«Пока не случилось беды — ничего. Но как только попадете на жалобу — будет внеплановая проверка. Потом — предписание. И приостановка работы от нескольких недель до полугода. Как санстанция: пока не устраните — не откроетесь», — объясняют эксперты.
Один из турагентов рассказал, что к ним пришёл клиент — даже еще не заключив договор — и попросил показать «протокол об обработке персональных данных».

 Да, он имел право. И фирма обязана эту политику по работе с данными предоставить по первому требованию. «Они не вредные, они осведомленные, - замечает Юлия Белек. - И вы должны уметь отвечать на их вопросы: куда идут данные, кому передаются, зачем вы их собираете?»

 Итог? Всё просто. Обучите команду, разграничьте доступы, проверьте, где хранятся данные, оформите всё юридически. И воспринимайте это всерьёз. Пока вы считаете это бюрократией — кто-то другой уже пишет на вас жалобу. Подробности встречи можно послушать в записи онлайн.

Пресс-служба РСТИ

Кстати
Недавно хакеры похитили данные о клиентах французского дома Cartier с официального сайта. Об этом сообщило агентство Reuters со ссылкой на письмо компании. По данным источника, неизвестные завладели информацией об именах и адресах электронной почты, а также данными о странах зарегистрированных клиентов Cartier. «В перечень украденной информации не вошли пароли, данные кредитных карт или другая банковская информация», — отмечается в письме. Сообщается, что в результате инцидента компания приняла решение усилить меры кибербезопасности.