Защита репутации: как автосервисы и дилерские центры становятся мишенью кибермошенников

Обращаясь в дилерские центры и автосервисы, клиенты часто оставляют там персональные данные (имя, номер телефона), но порой для заключения договоров могут потребоваться копии паспорта и информация о банковских реквизитах.

Возникает закономерный вопрос: какие риски несут автовладельцы, доверяя свои личные данные сервисным центрам, и что будет, если эту информацию получат мошенники. Рассказываем, по каким причинам чаще всего происходит утечка данных клиентов компании и что поможет предотвратить подобные инциденты.

В области автопродаж и обслуживания транспортных средств обработка персональных данных клиентов является одним из ключевых аспектов ведения бизнеса. Эти данные могут включать в себя широкий спектр информации: от личных сведений (ФИО, паспортные данные) и списка оказанных услуг до финансовых реквизитов и информации о компании, если клиент представляет юридическое лицо. При этом небольшие компании зачастую используют для хранения данных Excel, а средний и крупный бизнес — системы управления взаимоотношениями с клиентами (CRM).В большинстве случаев защита данных ограничивается установкой паролей на файлы и базовыми антивирусными программами на рабочих станциях. Тем не менее такие меры могут быть недостаточными для предотвращения утечек информации, которые могут использоваться мошенниками для незаконного доступа к финансам клиентов.

В основе конкурентоспособности компании, оказывающей услуги, лежит обработка и хранение данных клиентов. Именно эти «тёплые» лиды особенно ценятся менеджерами. Если клиентская база случайно попадет к конкурентам, это станет серьезным ударом для бизнеса.Утечка информации, произошедшая по вине автосервиса или дилерского центра, не только негативно скажется на деловой репутации, но и может привести к уголовной ответственности. Согласно отчёту InfoWatch «Инциденты утечек данных в мире», в 2023 году количество подобных случаев возросло на 61,5% по сравнению с предыдущим годом.В ответ на эту проблему президент Владимир Путин подписал изменения в Федеральный закон № 152-ФЗ, которые усиливают требования к защите персональных данных. В частности, значительно увеличены штрафы за нарушение правил хранения и обработки такой информации.

Кибермошенники могут применять различные уловки, чтобы ввести свою жертву в заблуждение, поэтому сложно предугадать, какой именно способ они выберут в следующий раз. Тем не менее можно выделить несколько типичных сценариев.

Если данные клиентов попадут в руки мошенников, то, зная историю обслуживания конкретной машины, они легко обманут автовладельцев — например, могут позвонить им якобы от имени сервиса и напомнить о необходимости замены какой-либо детали.

Доверчивость клиента в этот момент возрастает, что делает его легкой добычей для дальнейших уловок. Мошенники могут убедить автовладельца приобрести нужную запчасть как можно скорее, утверждая, что ее количество на исходе и следующая поставка ожидается не скоро.

Обычно запрошенная сумма не вызывает подозрений у клиента, и он соглашается. В итоге владелец машины приезжает в сервис для установки запчасти, но обнаруживает, что ее нет в наличии и никто даже не пытался ее заказать.

В дилерских центрах часто пользуются спросом услуги по подбору автомобиля, где клиенты детально описывают желаемые характеристики будущей покупки. Мошенники могут воспользоваться этой информацией, сообщив о том, что нашли машину мечты — и чтобы «не упустить такой шанс», конечно, потребуется предоплата. В этом случае ущерб может оказаться значительно выше.

Кибермошенники могут получить доступ к системе автосервиса и узнать, какие автомобили в данный момент находятся на ремонте. Эта информация может быть использована для обмана клиентов.

Злоумышленники звонят владельцам этих машин и говорят, что во время ТО нашли серьезную проблему. Они уверяют, что эксплуатация авто может представлять угрозу для жизни, а нужная деталь якобы очень редкая и есть только в одном месте города или даже привезена нелегально. Чтобы убедить владельца автомобиля заплатить за эту «деталь», мошенники настаивают на том, что оплата должна быть переведена сразу на счёт. Владелец, желающий как можно скорее получить обратно свой транспорт, соглашается и переводит деньги. Но когда он приходит за машиной, оказывается, что никакой поломки нет, а «мастер», с которым он общался, в этом сервисе не работает.

Кроме того, имея данные паспорта, банковских карт и других документов, преступники могут использовать их для различных махинаций. Они могут прикинуться сотрудниками «Почты России» или банка, чтобы запугать человека и заставить его совершить какое-то действие в их пользу. В таком случае автосервисы становятся лишь местом, откуда были похищены персональные данные клиентов.

Защита персональных данных клиентов — это ключевой аспект, который должен быть в центре внимания любого бизнеса, включая автомобильные сервисные центры и дилерские сети. К сожалению, многие из них не уделяют этому вопросу должного внимания, рассчитывая, что это их не коснется.

Создание мощной системы информационной безопасности требует времени и определенных финансовых вложений. Однако необходимо не только установить надежные системы защиты, но и регулярно обновлять их, продлевать лицензии и предоставлять техническую поддержку. Кроме того, важно научить персонал правильно реагировать на кибератаки. Разберем, как автоцентры могут защититься от мошенников.

Если руководитель автосервиса или дилерского центра решил взять курс на кибербезопасность, то в первую очередь ему стоит провести аудит информационной системы.

Аудит может быть проведен как собственным IT-специалистом, если у него достаточно опыта и знаний в вопросах кибербезопасности, так и с помощью сторонних организаций — например, SDS Fusion. Специалисты по информационной безопасности предоставят вам полную картину используемых компьютеров, серверов, информационных систем и их назначения, а также помогут выявить наличие или отсутствие необходимых средств защиты информации. По результатам аудита сотрудники разработают план мероприятий, направленных на улучшение информационной безопасности в организации.

Многие пользователи, в том числе корпоративные, считают, что для безопасности компьютера достаточно иметь встроенную антивирусную программу, которая прилагается к операционной системе, такой как Windows. На самом деле это не обеспечит адекватную защиту от киберпреступности, особенно в настоящее время.

Большинство операционных систем имеют иностранное происхождение, поэтому гарантировать абсолютную безопасность информации становится все сложнее (по крайней мере, на сегодняшний день). Чтобы повысить уровень защиты, рекомендуется применение дополнительных программных продуктов российского производства. К таким решениям относятся антивирусные программы от «Лаборатории Касперского», Dr.Web и Pro32.

Необходимо подчеркнуть, что поддержание актуальности защитного функционала возможно только при своевременном обновлении лицензий на использование данных программ. Это обеспечивает доступ к свежим базам данных и повышает эффективность противодействия вирусным угрозам.

Сетевой периметр — это граница компьютерной сети организации, через которую осуществляется взаимодействие с внешним миром, будь то интернет или другие локальные сети. Для его защиты применяются разнообразные технические меры безопасности, в том числе специализированное оборудование — например, маршрутизаторы и фаерволы (межсетевые экраны), которые отслеживают потоки данных и предотвращают проникновение вирусов и других угроз извне.

Пароли — это своеобразные ключи к безопасности личной информации и устройств. Чтобы обеспечить максимальную защиту, рекомендуется использовать сложные комбинации, состоящие из 12 и более символов. Пароли должны включать буквы разного регистра, цифры и специальные символы. Важно, чтобы они не содержали осмысленных слов, таких как фамилия или год рождения, поскольку различные программы, используемые мошенниками, легко вычислят такой пароль.

Запомнить многочисленные логины и пароли довольно сложно, поэтому рекомендуется использовать специальные менеджеры паролей. Например, российское решение «Пассворк» позволяет безопасно хранить ваши данные, защищая их от несанкционированного доступа.

Многофакторная аутентификация представляет собой усиленную систему безопасности при входе в личные аккаунты пользователей, требующую от них предоставить не только обычные логин и пароль, но и дополнительные данные для подтверждения своей личности.

В качестве дополнительных методов проверки могут использоваться:

Эти методы обеспечивают более высокий уровень защиты аккаунтов пользователей, делая взлом гораздо сложнее. Разобраться, что именно лучше взять в качестве второго фактора, бывает непросто. Выбрать подходящий вариант помогут сотрудники компании-интегратора решений по оповещению и безопасности SDS Fusion. По нашему опыту, хорошо себя зарекомендовали вендоры Indeed и «Аладдин» — они являются признанными разработчиками таких решений.

В современных условиях оптимизации бизнес-процессов автоцентры часто взаимодействуют со сторонними компаниями для настройки IT-инфраструктуры. Приглашать специалиста в офис не всегда удобно. Многие работы по обновлению систем или установки программ можно провести удаленно — достаточно лишь предоставить сторонней организации доступ к информационным ресурсам. Однако такие удаленные айтишники могут оказаться мошенниками.

Обеспечить безопасность и контроль за действиями сторонних исполнителей поможет внедрение специализированных систем мониторинга, которые позволяют отслеживать все операции в реальном времени. Важно также строго ограничивать доступ к ресурсам, предоставляя права только на те действия, которые необходимы для выполнения конкретной задачи.

К сожалению, не всегда можно быть уверенным в добросовестности партнеров. Поэтому перед сотрудничеством необходимо тщательно проверить репутацию и компетентность IT-компании, которая будет производить работы в ваших информационных системах удаленно. Экономия на услугах может привести к серьезным последствиям, включая утечку конфиденциальной информации.

В наше время, когда угроза кибератак становится всё более серьёзной, крайне важно повышать уровень компьютерной грамотности сотрудников. Необходимо донести до них, что не следует открывать электронные письма и переходить по подозрительным ссылкам, даже если они от банков или «Госуслуг». Можно даже тренировать работников с помощью решения Phishman, а после получения результата проводить обучение киберграмотности.

Проблема заключается в том, что злоумышленники могут применять фишинг — вид кибермошенничества, при котором в электронных письмах, внешне похожих на официальные сообщения от государственных структур, скрывается вредоносное программное обеспечение.

Еще один шаг, который позволит защитить конфиденциальную информацию, — контроль за пересылкой документов с рабочих устройств сотрудников на их личные гаджеты. Для обеспечения такого контроля компании используют специализированные системы DLP (Data Loss Prevention Systems). Эти системы способны выявлять подозрительные операции, связанные с передачей информации, а также идентифицировать документы, содержащие конфиденциальные данные.

При обнаружении потенциально опасных действий или попыток пересылки корпоративных материалов DLP-системы автоматически блокируют такие операции и оповещают службу безопасности компании. После этого сотрудники анализируют ситуацию и принимают решение о том, разрешить ли передачу данных или же запретить.

Очевидно, что не каждый автосервис и крупный дилерский центр могут позволить себе содержать штат специалистов по информационной безопасности. В таком случае стоит рассмотреть возможность привлечения внешнего специалиста на аутсорсинг. Это решение позволяет соблюдать требования законодательства по защите данных и предотвращать кибератаки без необходимости нести значительные расходы на создание собственной службы безопасности.

Поддержать информационные ресурсы компании в безопасности помогут сотрудники SDS Fusion. Защита персональных данных клиентов не менее важна, чем защита корпоративной информации. В конечном итоге от этого зависит репутация компании, предоставляющей услуги.

👉 SDS Fusion – эффективные решения по оповещению и безопасности

👉 Узнать больше о системах безопасности можно в моем телеграм-канале.