Все большее распространение в России call- и contact-центров, вызывает опасения как у отечественных, так и у зарубежных экспертов в области информационной безопасности. По их мнению, многие российские заказчики и поставщики таких решений не уделяют должного внимания защите информации, причем основная угроза ее безопасности исходит от недобросовестных сотрудников.

Опасные прецеденты

В развитых странах, где центры обработки вызовов уже получили широкое распространение, случаи взлома call/contact-центров - не редкость, хотя эти инциденты обычно замалчиваются. Впрочем, иногда случаи воровства данных просачиваются в прессу. Среди последних примеров взлом базы данных компании Seisint, когда была украдена информация о 32 тысячах физических лиц, которая содержала имена, адреса, номера полисов социального страхования и водительских прав. Примерно в это же время компания Retail Ventures объявила о хищении части базы данных, в которую входили номера кредитных карт и другая информация финансового характера.

Несмотря на печальный мировой опыт, вопросам, связанным с информационной безопасностью центров обработки вызовов, в России уделяется недостаточно внимания. Поиск в русскоязычном сегменте интернета по ключевым словам "безопасность call/contact-центра", "взлом /contact-центра", "атака на call/contact-центр" не дает никаких результатов, в то время как аналогичные действия в англоязычной части Сети (ключевая фраза "Call center security") приносят более 700 ссылок.

Плохая защищенность операторских центров отчасти объясняется стремлением их владельцев минимизировать расходы на обслуживание вызовов, что приводит не только к большой "текучке" операторов, но и снижению надежности call/contact-центра и связанной с ним инфраструктуры.

Варианты решения

Как считает Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems в России и странах СНГ, существующие сегодня call/contact-центры не обеспечивают надежной защиты информации о клиентах. По его мнению, необходимо не только обеспечивать информационную безопасность центра обработки вызовов как такового, но и всей связанной с ним инфраструктуры, которая является неотъемлемой его частью. По словам г-на Лукацкого, пользователям оборудования Cisco Systems применять какие-то дополнительные решения по защите информации не обязательно - эту задачу можно решить в рамках уже существующих элементов, в которые встроены специальные программные модули. Речь идет о таких составляющих IP-инфраструктуры call/contact-центра (IPCC) как CallManager, IVR, ICM, IP-телефоны, приложения и др.

Г-н Лукацкий не согласился с мнением, что операционная система, на основе которой работает основной элемент IPCC CallManager, - Windows 2000 Server - является неудовлетворительной c точки зрения безопасности. В этом плане, по его словам, Windows ничем не уступает любым другим платформам - UNIX, Mac OS, Linux; ее защищенность, так же как и у других систем, во многом зависит от квалификации системного администратора. Г-н Лукацкий отметил также, что программная среда CallManager не является стандартным дистрибутивом Windows 2000 Server, это специально доработанная и более защищенная среда, которую, разумеется, необходимо периодически обновлять. На CallManager установлено специальное ПО - Cisco Security Agent, которое призвано обеспечивать защиту этого устройства от различного рода хакерских атак, а также предотвращает утечку информации через USB и другие периферийные устройства (CD/DVD-приводы, слоты PCMCIA и т.п.). Усилить надежность решений помогает дополнительное использование распространенных в России антивирусных программ. Полезным может оказаться также применение межсетевых экранов и специальных систем предотвращения атак. Между тем, Вячеслав Атаманов, заместитель генерального директора компании NAUMEN, считает, что при правильной организации взаимодействия с базами данных и приложениями call/contact-центры не вносят дополнительной уязвимости в информационную систему. По его мнению, одним из основных источников угрозы их безопасности являются программные приложения для работы с базами данных, поскольку эти приложения используют в своей работе аутентификационную информацию. Потенциальная опасность существует при поступлении звонка оператору, когда call-центр может отобразить некую информацию из CRM - на этапе регистрации иногда случается, что парольная информация хранится в некотором промежуточном ПО. Наиболее же высокая опасность, по мнению г-на Атаманова, заключается в несанкционированном и неконтролируемом распространении конфиденциальной информации о клиентах. Как считает Александра Самолюбова, менеджер по продуктам CRM Solutions российского представительства компании Avaya, при аутсорсинге операторского центра необходимо обеспечивать сохранность данных как о клиентах компании-заказчика, так и о характеристиках вызовов, обслуженных операторами центра обработки. Риск утечки информации пропорционален количеству сотрудников центра, которые имеют к ней доступ, поэтому с уменьшением числа таких лиц будет снижаться и вероятность этой утечки. "К системе отчетности Avaya CMS одновременно могут иметь доступ до 400 авторизованных пользователей, однако каждый пользователь имеет свой собственный пароль, который позволяет ему осуществлять только разрешенный круг операций, - рассказывает г-жа Самолюбова. - Поэтому супервизор операторской группы, обслуживающей вызовы, поступающие на имя определенного заказчика, будет видеть данные, относящиеся только к этому заказчику".

Три кита безопасности

Обеспечить безопасность может только комплексный подход. Можно выделить три категории обеспечения безопасности в аутсорсинговом call-центре: сетевую, информационную и организационную.

Для обеспечения сетевой безопасности, по его мнению, необходимо разграничивать права доступа на "железном" уровне (каналы связи, телефонная станция, системы распределения звонков и IVR, вспомогательные серверы). Информационная безопасность достигается разграничением доступа к приложениям и содержащимся в них данным. Например, операторов следует ограничить только той информацией, которая им необходима при работе по звонкам; супервизоры должны иметь доступ к статистическим данным, позволяющим выполнять контроль показателей результативности по проекту в своей группе, а менеджеры - к той части информации, которая определяется взаимодействием с заказчиком. В понятие "организационная безопасность" включается обеспечение безопасности на уровне "человеческого фактора". Ее реализация обеспечивается посредством контроля выполнения должностных инструкций персоналом аутсорсингового call-центра. В частности, сюда включается использование аппаратных средств контроля за действиями персонала по проекту, регламент составления и хранения документов по проекту, внутренний аудит безопасности call-центра и независимый аудит заказчика. Необходимо также установить персональную ответственность каждого сотрудника call-центра, закрепленную на юридическом уровне. Ряд экспертов убежден, что именно "организационная составляющая" является основной в предотвращении утечки информации из центров обработки вызовов. Так, по словам Валерия Тарасова, руководителя проектов компании "Адвентус-М", клиентские базы данных могут быть защищены настолько, что несанкционированный доступ к ним обойдется значительно дороже, чем содержание самой информации. В большинстве случаев утечка информации происходит по вине сотрудников call-центра, имеющих к ней доступ. Предлагается проверять качество работы call-центра и его порядочность в отношении использования клиентских баз данных с помощью "закладок" - записей с координатами людей, которые будут уведомлять владельца информации об обращении к ним с неадекватными предложениями. Угроза утечки информации будет существовать до тех пор, пока с ней продолжают работать посторонние лица. С тем, что основная угроза информационной безопасности исходит изнутри компании, то есть со стороны недобросовестных сотрудников, соглашается Александр Ученов, директор по развитию компании Infra Telesystems. "Передача компанией клиентских баз аутсорсеру может повысить риск "утечки" базы, поскольку компания имеет существенно меньший контроль над сотрудниками аутсорсера" - считает он. Ситуация усугубляется тем, что, в силу сложившегося менталитета, передача компанией конфиденциальной информации call-центру редко закрепляется официальными договорами. Что касается внешних угроз, то, по мнению г-на Ученова, они не актуальны до тех пор, пока call-центр принимает стандартные меры обеспечения информационной безопасности своей сети и информационных ресурсов. Он полагает, что информационная безопасность в call-центре обеспечивается, в первую очередь, эффективным управлением call-центра и только затем - технологиями. В сторону комплексного подхода при решении вопросов информационной безопасности call/contact-центров склоняются в российской компании-интеграторе КРОК. По словам ее сотрудников, нельзя ограничиваться только разграничением прав доступа к информации и приложениям, необходимо также обеспечивать физическую безопасность, например защиту рабочих мест операторов. Кроме того, для минимизации рисков, связанных с информационной безопасностью CRM-решений, системные интеграторы нередко предлагают составное решение от двух производителей, например Oracle Interaction Center (на базе Oracle E-Business Suite) и Cisco IPCC или Avaya AIC/CCE. В НТЦ "Протей" считают, что информационную безопасность call/contact-центров следует рассматривать на двух уровнях. Во-первых, необходимо оценивать возможность несанкционированного доступа к локальной сети, в которую включены функциональные серверы и базы данных. Во-вторых, следует четко контролировать компетентность и добросовестность персонала, обеспечивающего работу сall-центра, что зачастую является более сложной и важной задачей.

CNews.ru, 31.03.2005

К списку