У сучасному бізнесі зарплатний проєкт — звична та, здавалося б, безпечна практика. «Але в епоху цифрових загроз навіть найефективніша фінансова стратегія та найвідпрацьованіші процеси можуть бути знецінені та стати слабким місцем компанії», — вважає Антон Гонтаренко, директор Департаменту розвитку зарплатних проєктів Sense Bank.
На його думку, найчастіше проблеми виникають не через складні хакерські інструменти, а через прості та буденні речі: звичайні технічні помилки або відсутність внутрішніх політик інформаційної безпеки. Наприклад: витік персональних даних, шахрайські зміни реквізитів отримувачів, фішинг-листи, які отримує бухгалтерія або HR, чи передача конфіденційних файлів через відкриті канали.
У таких випадках навіть найнадійніші технології банку — зашифровані канали, двофакторна авторизація і DLP-системи — не гарантують безпеку, якщо на іншому боці «відчинене вікно» у вигляді популярних месенджерів й файлів без паролів.
Сучасний банк — це не лише фінансова установа, а й повноцінна кіберзахисна інфраструктура, яка працює в режимі 24/7. Захист даних базується на принципах багаторівневого, ешелонованого підходу. Всі канали обміну інформацією як зовнішні, так і внутрішні зашифровані.
Водночас світ кіберзагроз змінюється щодня, тож захист не може бути статичним. В банках діють внутрішні служби реагування на інциденти, система моніторингу підозрілої активності, постійно оновлюється захист від витоку даних. Банк також відстежує нові загрози, інтегрує дані з глобальних джерел кіберзахисту (threat intelligence), регулярно тестує свою інфраструктуру на вразливості, пентести та навчає співробітників включно з симуляціями фішингових атак. Але навіть найсучасніші системи не спрацюють, якщо на іншому боці — звичайний Excel файл із зарплатою надсилають у месенджері, а зміна реквізитів не перевіряється додатково.
Втім, ефективний захист — це спільна відповідальність. Компанія також може значно підвищити рівень безпеки за допомогою організаційних рішень, навіть без великих інвестицій у технології й не маючи великий ІТ\ІБ-відділ.
Варто почати з простого: передавати файли через захищені канали, шифрувати документи та встановити правило подвійної перевірки реквізитів — не лише за листом, а в особистому контакті. Чітко визначити відповідальних осіб за роботу з персональними даними: хто має доступ до зарплатних файлів, хто саме надсилає їх у банк. І не забувати про навчання: фішинг стає дедалі більш витонченим, і один необачний клік може коштувати досить дорого. Такі прості організаційні заходи часто дають не менший результат, ніж складні системи.
Часто компанії впевнені, що проблема десь «там», а насправді вразливість — у щоденних діях команди.
Надсилання незашифрованих файлів з персональними даними через месенджери, зберігання їх на загальнодоступних дисках, ігнорування перевірок при зміні реквізитів, відкриття вкладень у фішингових листах — це помилки, які в реальності трапляються набагато частіше, ніж здається. І саме вони провокують зловмисників. Інколи один випадковий клік або лист без перевірки можуть коштувати компанії репутації, грошей, а іноді — й довіри працівників.
Підсумок простий: банк забезпечує захист з боку інфраструктури. Але повна безпека — це завжди спільна відповідальність. Без дій з боку бізнесу ланцюг безпеки залишається незамкнутим. Бо в цій системі немає «менш важливої» сторони. Якщо одна ланка виявляється слабкою, то страждає вся конструкція.
Безпека зарплатного проєкту, як вважають в Sense Bank, — це культура відповідального поводження з даними, дисципліна у щоденних операціях і готовність постійно адаптуватися до нових викликів. У питаннях захисту персональної та фінансової інформації головне — бути на крок попереду. Краще ще один раз перевірити, ніж потім шукати, куди зникли дані та гроші.
