Крупные утечки персональных данных и как их избежать. Часть 1
Этот год богат на утечки данных: то скандальная утечка покупателей Яндекс.Еды, то попавшая в сеть база данных медицинской компании “Гемотест”, недавно пострадали клиенты и контрагенты СДЭК. В статье из двух частей делюсь личным опытом CRM-маркетолога с большим стажем и "вредными и полезными" методами защиты данных.
Осознание масштаба ситуации приходит после небольшой сводки новостей 2022 года:
- 1 марта 2022 года в сеть попали данные 6.397 млн. пользователей сервиса Яндекс.Еда. По заявлению Яндекса в сеть телефоны клиентов и информация о заказах, утечка не коснулась банковских, платежных и регистрационных данных пользователей.
- 1 мая 2022 года в сети появились данные 31 млн. пользователей компании “Гемотест” сообщил Forbes.
- 20 мая 2022 года сервис доставки Delivery Club признал первую утечку данных, в июне вторую. А 18 августа за эти утечки сервис получил штраф в 80 тыс.рублей, известил Коммерсантъ.
- 13 июля 2022 года произошла утечка данных 25 млн. пользователей и 30 тысяч контрагентов логистической компании СДЭК, по сообщениям rbc.ru.
Ну утекли несколько миллионов записей. И что?
Основной регулятор сферы, Роскомнадзор, давно планирует повышение штрафов за неправомерную обработку персональных данных, в том числе за утечки. Сервис Яндекс.Еда был оштрафован на 100 тысяч рублей, для такого бизнеса это не великая “финансовая дубина”. Такими штрафами серьезный бизнес не испугать, а значит, штрафы будут расти. Десять лет назад, во времена моего участия в консультативном совете при Роскомнадзоре, РКН настаивал на вводе штрафов до полумиллиона рублей. Большие штрафы в то время уже практиковал ФАС, полмиллионом можно было поплатиться за рекламный спам, поэтому РКН есть на кого равняться.
Тогда я и ряд других участников консультативного совета выступали против повышения штрафов, ибо законодательство о персональных данных было молодым и несовершенным. Был существенный риск получить серьезную дубину для наказания “неугодного” бизнеса. Сейчас пора признать, что ситуация уже не так однозначна, и дубина в каком-то виде должна появиться.
Задача CRM-маркетологов — найти методы защиты данных, которые позволят балансировать между наказанием и невозможностью выстраивать персональную коммуникацию из-за жестких внутренних ограничений.
“Всё взять и запретить” — не наш метод. Поэтому поделюсь и “вредными” советамии полезными — реальным опытом разработки методологий “как рыбку съесть и косточки продать”.
Не будем концентрироваться на классических методах инфобезопасности, на DLP-системах, это прерогатива специальных отделов.
Для начала расскажу, как не надо организовывать работу сотрудников на уровне бизнес-процессов и на уровне организации информации.
Вредный совет #1. Физически уничтожать данные после использования
25 лет назад мы делали рассылки для нескольких крупнейших компаний страны. Базы для рассылок обрабатывались на нескольких выделенных компьютерах, без доступа во внутреннюю сеть, под пристальным вниманием службы безопасности клиента. Наблюдатели работали посменно, сидели в комнате и смотрели, чтобы к компьютерам никто ничего не подключал. По завершению работы жесткие диски из компьютеров изъяли и торжественно разбили молотками. Я не шучу. Вот это безопасность! Приятно вспомнить :)
Но такой архаичный способ мало подходит для текущих CRM-реалий, ведь мы хотим персонализировать коммуникации с клиентом на протяжении всего жизненного цикла, иметь возможность этот цикл максимально удлинить и возобновлять.
Вредный совет #2. Выстроить многоуровневую сложную систему согласования доступа к данным
Есть отрасли и компании, которые мы называем “территорией победившего комплаенса”, простите за жаргон. Организации, в которых утечка данных приводит к огромным рискам, например, финансовый сектор и медицина, часто во главу угла ставят риск-менеджмент. И, если есть риск утечки, то службе безопасности проще запретить бизнесу использовать данные для маркетинга и продаж, чем выстраивать систему безопасной работы.
Вот опыт, который каждый владелец банковского счета получает довольно часто: типовая sms с предложением “вам одобрена кредитная карта” или типовой звонок из колл-центра с предложением открыть накопительный вклад. И это вне зависимости от того, какое у него состояние счетов и какая история с банком.
А ведь банки владеют максимумом информации о нашем финансовом поведении, и кажется, уж могли бы сделать персональное предложение!
Проблема тут не в неумении сотрудников банка выстраивать персонализированные коммуникации. Проблема в семи кругах ада, которые надо пройти для согласования доступа к данным.
Правила безопасности, превратившиеся в систему запретов, вместо выстроенных процессов работы с данными, могут даже повышать риски. Сотрудники, получившие разрешение службы безопасности, зачастую дальше не бдят с должным уровнем — рисковики же разрешили, а процедура работы “после разрешения” не выстроена. Коллеги по рынку рассказывали, как некоторые крупные банки после длительных согласований скидывали базы с ФИО и контактами, практически сразу сотрудники банка переставали контролировать процессы работы, и безопасность, кажется, никого уже не интересовала.
Мы за рациональный подход
Мы в DM Basis ратуем за повышение стандартов рынка, чтобы компании учились правильно использовать клиентские данные, правильно выстраивать CRM-стратегии. Пора перестать считать CRM просто рассылками и понять, что это модель бизнеса, клиентоориентированный способ зарабатывать деньги. Суть CRM-маркетинга выражается простой фразой:
CRM - способ получать доход от клиента как можно больше и дольше, делая клиента счастливым.
Пока что примеров такого полноценного понимания CRM мало, и еще меньше реализаций. Значит, это наша задача: работать над этим, образовывать рынок, делиться знаниями.
Наш путь — это использование технологий и методик, чтобы сделать CRM безопасным, персонализированные коммуникации эффективными, клиента счастливым, а бизнес доходным. Конкретно о том, что можно и нужно внедрить в свою работу с данными, рассказываю во второй части статьи.