Все большее распространение в России call- и contact-центров, вызывает опасения как у отечественных, так и у зарубежных экспертов в области информационной безопасности. По их мнению, многие российские заказчики и поставщики таких решений не уделяют должного внимания защите информации, причем основная угроза ее безопасности исходит от недобросовестных сотрудников.
Опасные прецеденты
В развитых странах, где центры обработки вызовов уже получили широкое распространение, случаи взлома call/contact-центров – не редкость, хотя эти инциденты обычно замалчиваются. Впрочем, иногда случаи воровства данных просачиваются в прессу. Среди последних примеров взлом базы данных компании Seisint, когда была украдена информация о 32 тысячах физических лиц, которая содержала имена, адреса, номера полисов социального страхования и водительских прав. Примерно в это же время компания Retail Ventures объявила о хищении части базы данных, в которую входили номера кредитных карт и другая информация финансового характера.
Несмотря на печальный мировой опыт, вопросам, связанным с информационной безопасностью центров обработки вызовов, в России уделяется недостаточно внимания. Поиск в русскоязычном сегменте интернета по ключевым словам «безопасность call/contact-центра», «взлом /contact-центра», «атака на call/contact-центр» не дает никаких результатов, в то время как аналогичные действия в англоязычной части Сети (ключевая фраза «Call center security») приносят более 700 ссылок.
Плохая защищенность операторских центров отчасти объясняется стремлением их владельцев минимизировать расходы на обслуживание вызовов, что приводит не только к большой “текучке” операторов, но и снижению надежности call/contact-центра и связанной с ним инфраструктуры.
Варианты решения
По мнению Дмитрия Кузина, главы российского представительства Radware, решение вопросов безопасности такого рода сервисов должно складываться из двух составляющих: во-первых, чётко сформулированной и продуманной работы с персоналом и, во-вторых, обеспечения сетевой (информационной) безопасности. «Задачи работы с персоналом – зона ответственности кадрового отдела и отдела безопасности, – отмечает г-н Кузин. – Работа с персоналом достаточно сложный процесс, но не менее серьезным делом является четкое построение сетевой политики безопасности. В данной концепции «просто межсетевой экран» и «система определения вторжения» не помогут. Здесь нужна более сложная система, которая позволит не просто определить, но и блокировать вредоносные данные в режиме реального времени.»
Г-н Кузин подчеркивает, что в любой операционной системе есть уязвимости разного уровня критичности, но на уровне ОС эти проблемы не всегда удаётся решить
оперативно. По этой причине возникает необходимость использовать дополнительные системы предотвращения вторжения, например, DefensePro, которая позволяет кардинально уменьшить время реакции на уязвимости за счёт специальных контентных фильтров. База фильтров может обновляться автоматически через центральную систему управления, и включает в себя сигнатуры более 1500 известных атак, таких как различные методики и комплексы сканирования, атаки аномальным трафиком, а также черви и трояны.
«Как известно, на каждый новый тип защиты придумывают новый тип взлома данной защиты, поэтому имеет смысл рассматривать систему предотвращения вторжения как чрезвычайно гибкий инструмент, с возможностью отсеять 98% вредоносного «мусора», который нужно настроить исходя из каждой абсолютно конкретной задачи. – говорит г-н Кузин. – Гибкий функционал, аналогичный DefensePro, имеется во всех устройствах, производимых Radware. Именно использование комплексного подхода к решению вопросов безопасности позволяет достичь наилучших результатов».
Как считает Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems в России и странах СНГ, существующие сегодня call/contact-центры не обеспечивают надежной защиты информации о клиентах. По его мнению, необходимо не только обеспечивать информационную безопасность центра обработки вызовов как такового, но и всей связанной с ним инфраструктуры, которая является неотъемлемой его частью. По словам г-на Лукацкого, пользователям оборудования Cisco Systems применять какие-то дополнительные решения по защите информации не обязательно – эту задачу можно решить в рамках уже существующих элементов, в которые встроены специальные программные модули. Речь идет о таких составляющих IP-инфраструктуры call/contact-центра (IPCC) как CallManager, IVR, ICM, IP-телефоны, приложения и др.
Г-н Лукацкий не согласился с мнением, что операционная система, на основе которой работает основной элемент IPCC CallManager, – Windows 2000 Server – является неудовлетворительной c точки зрения безопасности. В этом плане, по его словам, Windows ничем не уступает любым другим платформам – UNIX, Mac OS, Linux; ее защищенность, так же как и у других систем, во многом зависит от квалификации системного администратора. Г-н Лукацкий отметил также, что программная среда CallManager не является стандартным дистрибутивом Windows 2000 Server, это специально доработанная и более защищенная среда, которую, разумеется, необходимо периодически обновлять.
На CallManager установлено специальное ПО – Cisco Security Agent, которое призвано обеспечивать защиту этого устройства от различного рода хакерских атак, а также предотвращает утечку информации через USB и другие периферийные устройства (CD/DVD-приводы, слоты PCMCIA и т.п.). Усилить надежность решений помогает дополнительное использование распространенных в России антивирусных программ. Полезным может оказаться также применение межсетевых экранов и специальных систем предотвращения атак.
Между тем, Вячеслав Атаманов, заместитель генерального директора компании NAUMEN, считает, что при правильной организации взаимодействия с базами данных и приложениями call/contact-центры не вносят дополнительной уязвимости в информационную систему. По его мнению, одним из основных источников угрозы их безопасности являются программные приложения для работы с базами данных, поскольку эти приложения используют в своей работе аутентификационную информацию. Потенциальная опасность существует при поступлении звонка оператору, когда call-центр может отобразить некую информацию из CRM – на этапе регистрации иногда случается, что парольная информация хранится в некотором промежуточном ПО. Наиболее же высокая опасность, по мнению г-на Атаманова, заключается в несанкционированном и неконтролируемом распространении конфиденциальной информации о клиентах.
Как считает Александра Самолюбова, менеджер по продуктам CRM Solutions российского представительства компании Avaya, при аутсорсинге операторского центра необходимо обеспечивать сохранность данных как о клиентах компании-заказчика, так и о характеристиках вызовов, обслуженных операторами центра обработки. Риск утечки информации пропорционален количеству сотрудников центра, которые имеют к ней доступ, поэтому с уменьшением числа таких лиц будет снижаться и вероятность этой утечки.
«К системе отчетности Avaya CMS одновременно могут иметь доступ до 400 авторизованных пользователей, однако каждый пользователь имеет свой собственный пароль, который позволяет ему осуществлять только разрешенный круг операций, – рассказывает г-жа Самолюбова. – Поэтому супервизор операторской группы, обслуживающей вызовы, поступающие на имя определенного заказчика, будет видеть данные, относящиеся только к этому заказчику».
Для решения вопросов безопасности в contact-центре фирмы "Светец" используется интеграция с системой безопасности операционной системы, сертифицированные криптопровайдеры для шифрования конфиденциальной информации в базах данных. Ключи размещаются на отчуждаемых носителях (смарт-карты, токены и т.д.); при подключении клиентских приложений к базам данных используются защищенные соединения (SSL). В системе фиксируются роли пользователей и полномочия этих ролей, протоколируются все действия персонала с целью возможности последующего аудита этих действий.
Три кита безопасности
Павел Теплов, генеральный директор call-центра FORTAX, считает, что обеспечить безопасность может только комплексный подход. Он выделяет три категории обеспечения безопасности в аутсорсинговом call-центре: сетевую, информационную и организационную.
Для обеспечения сетевой безопасности, по его мнению, необходимо разграничивать права доступа на «железном» уровне (каналы связи, телефонная станция, системы распределения звонков и IVR, вспомогательные серверы). Информационная безопасность достигается разграничением доступа к приложениям и содержащимся в них данным. Например, операторов следует ограничить только той информацией, которая им необходима при работе по звонкам; супервизоры должны иметь доступ к статистическим данным, позволяющим выполнять контроль показателей результативности по проекту в своей группе, а менеджеры – к той части информации, которая определяется взаимодействием с заказчиком.
В понятие «организационная безопасность» включается обеспечение безопасности на уровне «человеческого фактора». Ее реализация, объясняет г-н Теплов, обеспечивается посредством контроля выполнения должностных инструкций персоналом аутсорсингового call-центра. В частности, сюда включается использование аппаратных средств контроля за действиями персонала по проекту, регламент составления и хранения документов по проекту, внутренний аудит безопасности call-центра и независимый аудит заказчика. Необходимо также установить персональную ответственность каждого сотрудника call-центра, закрепленную на юридическом уровне, считает г-н Теплов.
Ряд экспертов убежден, что именно «организационная составляющая» является основной в предотвращении утечки информации из центров обработки вызовов. Так, по словам Валерия Тарасова, руководителя проектов компании "Адвентус-М", клиентские базы данных могут быть защищены настолько, что несанкционированный доступ к ним обойдется значительно дороже, чем содержание самой информации. В большинстве случаев утечка информации происходит по вине сотрудников call-центра, имеющих к ней доступ.
Г-н Тарасов предлагает проверять качество работы call-центра и его порядочность в отношении использования клиентских баз данных с помощью «закладок» – записей с координатами людей, которые будут уведомлять владельца информации об обращении к ним с неадекватными предложениями. Он также заметил, что угроза утечки информации будет существовать до тех пор, пока с ней продолжают работать посторонние лица.
С тем, что основная угроза информационной безопасности исходит изнутри компании, то есть со стороны недобросовестных сотрудников, соглашается Александр Ученов, директор по развитию компании Infra Telesystems. «Передача компанией клиентских баз аутсорсеру может повысить риск «утечки» базы, поскольку компания имеет существенно меньший контроль над сотрудниками аутсорсера,» - считает он. Ситуация усугубляется тем, что, в силу сложившегося менталитета, передача компанией конфиденциальной информации call-центру редко закрепляется официальными договорами.
Что касается внешних угроз, то, по мнению г-на Ученова, они не актуальны до тех пор, пока call-центр принимает стандартные меры обеспечения информационной безопасности своей сети и информационных ресурсов. Он полагает, что информационная безопасность в call-центре обеспечивается, в первую очередь, эффективным управлением call-центра и только затем – технологиями.
В сторону комплексного подхода при решении вопросов информационной безопасности call/contact-центров склоняются в российской компании-интеграторе КРОК. По словам ее сотрудников, нельзя ограничиваться только разграничением прав доступа к информации и приложениям, необходимо также обеспечивать физическую безопасность, например защиту рабочих мест операторов. Кроме того, для минимизации рисков, связанных с информационной безопасностью CRM-решений, системные интеграторы нередко предлагают составное решение от двух производителей, например Oracle Interaction Center (на базе Oracle E-Business Suite) и Cisco IPCC или Avaya AIC/CCE.
В НТЦ «Протей» считают, что информационную безопасность call/contact-центров следует рассматривать на двух уровнях. Во-первых, необходимо оценивать возможность несанкционированного доступа к локальной сети, в которую включены функциональные серверы и базы данных. Во-вторых, следует четко контролировать компетентность и добросовестность персонала, обеспечивающего работу сall-центра, что зачастую является более сложной и важной задачей.
Виталий Солонин / CNews