Информационная безопасность мотивационных программ: как защитить организатора и участников

В последние годы количество кибератак на российский бизнес растёт: по оценкам RED Security, в 2024 году их количество увеличилось в 2,5 раза — до 130 тыс. Из них примерно 20% были высокорисковыми. Поэтому бизнес в последние годы обращает всё больше внимания на вопросы информационной безопасности в IT-продуктах. Постепенно об этом задумываются и компании, которым необходима разработка и реализация мотивационных программ. На какие моменты обращать внимание при самостоятельной разработке или при выборе поставщика по автоматизации мотивационной программы и как проверить уровень безопасности продукта, рассказала директор по продукту Marketing Solutions Елена Филиппова.

Почему вопросы информационной безопасности требуют внимания

Число атак на российскую инфраструктуру, веб-сервисы и мобильные приложения год от года растёт, особенно в связи с усложнением геополитической обстановки. Под удар попадают в том числе и организаторы мотивационных программ, поставщики IT-решений. Одни злоумышленники взламывают сервисы, чтобы просто навредить компаниям, другие — чтобы украсть персональные данные или деньги. 

Персданные в зоне риска при реализации мотивационных программ, ведь пользователи должны делиться чувствительной информацией для участия в них: именем, фамилией, телефоном, электронной почтой и т. д. Если компания в рамках мотивационной программы отправляет денежные призы, к этому набору добавляются паспортные данные, которые необходимо обрабатывать для налогового агентирования.

Утечка персональных данных — это ответственность по закону за нарушение 152-ФЗ, особенно если компания не подаёт заявление в РКН и тем самым укрывает киберпреступление. Ответственность понесёт или сам организатор, или подрядчик, который занимался мотивационной программой, а чаще всего — обе стороны. Результат — штрафы, блокировки программы вплоть до её закрытия, возможны блокировки счетов.

Кроме того, это вопрос доверия. Если потенциальный участник не доверяет организатору мотивационной программы, он просто не захочет участвовать в ней, делясь информацией о себе.

Некоторые организаторы пытаются избежать необходимости работать с персданными и предлагают нематериальные призы: например, оплачивают обучение. Но такие программы неконкурентоспособны, пользуются меньшим спросом: денежное вознаграждение людям интереснее. 

Поэтому важно ответственно подойти к выбору подрядчика или к вопросу автоматизации мотивационных программ. А впоследствии дать участникам прозрачное и детальное обоснование для сбора данных. 

Поэтому мы видим активный тренд на повышение интереса со стороны заказчиков к тому, как у поставщиков услуг организованы процессы, какие применяются политики безопасности при разработке мотивационных программ. В переговорах сейчас всё чаще участвуют не только трейд-маркетологи, специалисты по маркетингу, коммерческие директора, бухгалтеры, юристы. Активно подключается со стороны заказчиков IT-отдел: специалисты по информационной безопасности интересуются состоянием инфраструктуры, защищённостью кода, наличием необходимых специалистов в команде. 

Информационная безопасность в мотивационных программах 

Мотивационная программа — это система, которая позволяет управлять материальными ценностями и содержит множество персональных данных. Злоумышленники, которые получают несанкционированный доступ к информации, могут сделать в системе всё что угодно: зайти под аккаунтом участника, вывести средства с баланса, украсть его персональные данные. Если же злоумышленник зайдёт в административную панель, он может украсть целые базы с персональными данными или начислить нереальные баллы и их вывести.

Есть четыре основных вопроса, которые нужно учитывать при создании мотивационной программы и при выборе поставщика по автоматизации. 

Важно, чтобы персональные данные хранились на российских серверах. Об этом стоит спросить поставщика во время обсуждения продукта. Также узнайте, прошёл ли поставщик сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК). Это сложная и длительная проверка, во время которой специалисты по информационной безопасности изучают продукт на устойчивость к любым атакам. Программное обеспечение проходит через сертификацию, а хранилища данных (серверы, облачные ресурсы) — через аттестацию. 

Узнавайте у потенциальных поставщиков или своих подрядчиков, как именно будет защищён код. А также насколько безопасно происходит передача данных между вашей системой и внешними системами либо внутри вашей системы при каких-либо интеграциях через API. 

В ней не должно быть брешей, а система должна требовать от пользователей установить такой пароль, который будет устойчив к брутфорс-атаке (его нельзя подобрать перебором). 

Поставщик продукта может внедрить двухфакторную аутентификацию, ограничения по количеству попыток перебора данных авторизации, настроить уведомления для специалистов по информбезопасности. Добавить проверки IP-адреса пользователя, который обращается к сайту и аккаунту, — характерный ли он для конкретного пользователя, нет ли его в списке запрещённых IP.

Важный аспект — кто на стороне подрядчика работает с персональными данными и на каком основании он это делает. Выясните, состоит ли компания в реестре операторов по обработке персональных данных — это можно проверить и через сайт РКН, используя ИНН или название организации.

А также узнайте, какими политиками безопасности руководствуется подрядчик: насколько безопасно его сотрудники взаимодействуют с персональными данными. Стоит также узнать, какие меры по безопасности планируется ввести в перспективе. В частности, можно обсудить применение тех мер ИБ, которые нужны для реализации именно вашей мотивационной программы. Это очень важно, и иногда на это стоит заложить дополнительный бюджет. 

Что и как проверить при выборе подрядчика 

При выборе организатора мотивационной программы и при изучении продукта, который он предлагает, стоит проверить несколько ключевых моментов.

Базовые проверки:

• Состоит ли поставщик автоматизации мотивационных программ в реестре операторов персональных данных.

• Пройдена ли сертификация ФСТЭК. Если у поставщика есть на руках соответствующий сертификат, то как минимум с инфраструктурой всё будет в порядке, потому что получить этот документ не так-то просто.

• Есть ли в компании штатный специалист по информационной безопасности, можно ли с ним напрямую пообщаться. Есть ли внутренний комплаенс по информационной безопасности. 

После этого запросите у поставщика информацию о мерах безопасности, которые он уже реализовал или планирует к реализации. Если вам их предоставили и открыто с вами об этом разговаривают, скорее всего, компания действительно занималась этим вопросом. Потому что для получения той же сертификации ФСТЭК нужно соответствовать требованиям регулятора, так что подрядчику не составит труда предоставить соответствующие документы. Это маркер потенциальной безопасности работы с ним. 

Попросите продемонстрировать вам интерфейс и запросите тестовый доступ. Вы сможете проверить, насколько безопасно реализован функционал программы, требует ли она двухфакторную аутентификацию, ограничения по количеству отправок кода и в целом опцию отправки кода. 

Зайдите в тестовом доступе в административную панель, проверьте, не видит ли администратор конфиденциальной информации об участниках мотивационной программы. В тестовом доступе вы не должны видеть реальные данные: их могут видеть только сотрудники оператора по обработке персональных данных — не вы и не сотрудники вашей компании. 

В личных кабинетах участников просмотрите, доступно ли для ознакомления согласие на обработку персональных данных, обновляется ли оно, акцептуют ли его. 

Дополнительной важной опцией от поставщика мотивационной программы может быть киберстрахование. Если инцидент всё же произойдёт, организатору и участникам программы нанесут ущерб, его компенсирует страховая компания. Суммы возмещения могут оцениваться в миллионы рублей — точная цифра зависит от того, какой полис выбран. 

Сегодня информационная безопасность и защита персональных данных — не просто формальность, а критическая необходимость. Пренебрежение этими аспектами создаёт серьёзные репутационные и финансовые риски как для разработчиков IT-продуктов, так и для их пользователей. В трейд-маркетинге подобная небрежность может обернуться не только утечкой информации, но и прямыми финансовыми потерями.

При внедрении мотивационных программ уделяйте первостепенное внимание защите инфраструктуры, качеству кода и обязательным сертификациям. Если компания привлекает внешнего поставщика решений, стоит детально изучить его подход к безопасности: какие меры принимаются для защиты данных и кто конкретно отвечает за этот процесс. Только такой комплексный подход к безопасности обеспечит создание по-настоящему эффективной программы, которая принесёт бизнесу ожидаемую пользу, а не дополнительные проблемы.