Безопасные командировки: онлайн-сервисы озаботились защитой персональных данных
Растущие требования бизнеса к кибербезопасности — общемировой тренд. Только в третьем квартале 2022 года в мире, по подсчетам Statista, в сеть утекло около 15 млн записей, что на 37% больше по сравнению с предыдущим кварталом. По прогнозу Gartner, к 2025 году 60% компаний будут учитывать киберриски в качестве главного фактора при заключении сделок и соглашений с партнерами. Рынок делового туризма не исключение. Онлайн-сервис деловых поездок Trivio в 2022 году менялся и внедрял решения, которые позволяют клиентам эффективнее организовывать командировки и при этом сохранять в безопасности персональные данные.
Помощь уезжающим
Сервис Trivio с 2019 года помогает клиентам более эффективно управлять деловыми поездками. Организация командировок — набор повторяющихся операций, которые можно успешно перевести в цифру. Автоматизация всего процесса — от покупки билетов или бронирования отелей до бухгалтерской отчетности — уменьшает трудозатраты, позволяет контролировать расходы и экономить, получая скидки от авиакомпаний и других поставщиков за счет консолидации объемов. Но отсутствие решений по защите данных становится одним из основных барьеров для внедрения технологий на этом рынке.
Учитывая, что часто переписка по организации командировок ведется по электронной почте, велики риски, связанные с заражением устройств вредоносным и шпионским ПО, троянами, а также социальной инженерии для кражи учетных данных. При организации деловых поездок важно обеспечить безопасность на всех этапах взаимодействия с персональными данными: при хранении, обработке, передаче третьим лицам. Организации нужно создать рекомендации для сотрудников как по хранению учетных данных и передаче их третьим лицам, так и по работе с системой из незащищенных сетей. Вплоть до деталей: недопустимость оставления активного сеанса без присмотра, наличие антивируса с актуальной базой на рабочем устройстве и т. д.
С начала года значительно выросло количество кибератак на российский сегмент сети. К тому же из-за утери доступа к зарубежному ПО бизнесу пришлось спешно заменять его отечественными аналогами. Во многие популярные программные решения с открытым исходным кодом хакеры стали встраивать вредоносные системы, появилась необходимость тщательно проверять все новые версии на внесенные в них изменения. В ответ на эти вызовы и тренды рынка в 2022 году Trivio усилил контроль за обработкой и защитой персональных данных.
«Для бизнеса важно быть уверенным в защищенности данных сотрудников. Наибольшие переживания у клиентов возникают из-за утечки персональных данных, компрометации учетных записей и данных платежных карт», — отмечает Дмитрий Семенов, технический директор Trivio. К тому же отделы информационной безопасности крупных компаний предъявляют к цифровым партнерам высокие требования:
- сервис должен использовать практики безопасной разработки;
- архитектуру продукта нужно проанализировать с точки зрения ИБ;
- необходимо оценить модели информационных угроз;
- специалист по ИБ должен участвовать во всех этапах разработки;
- постоянно повышать квалификацию всех сотрудников, связанных с IT- разработкой, и проводить внутреннюю сертификацию персонала.
Для Trivio крупные компании и госкорпорации стали самыми значимыми клиентами в этом году. «Понимая их высокие ожидания, мы создали защищенный продукт, прошли сертификацию ФСТЭК (Федеральной службы по техническому и экспортному контролю), а это далеко не тривиальный шаг: нужны особые подходы к разработке, инфраструктуре и доступности информации, в том числе для наших сотрудников», — объясняет Дмитрий Семенов.
ФСТЭК проверяет IT-системы, в которых хранятся персональные данные, — серверы, сети компаний или облачные хранилища. Процесс сертификации потребовал пересмотреть подход к безопасности и перестроить бизнес-процессы Trivio. По словам Семенова, пришлось внедрять новые процессы для слежения за уровнем безопасности кода, инфраструктуры, архитектуры, программных продуктов, разработать процедуры внутреннего контроля соответствия обработки и защиты персональных данных.
В офисе оборудовали защищенное рабочее место для администраторов системы с доступом по особому каналу с использованием отечественных методов шифрования. Все программные компоненты перевели на сертифицированное российское ПО.
Миграция в облака
Одним из важных шагов для Trivio стал перенос всех информационных систем в защищенную облачную среду. Решение — облако M1Cloud — специально для Trivio создала компания Stack Group. «Мы получили круглосуточную техническую поддержку экспертного уровня, а специалисты M1Cloud провели миграцию без остановки работы сервиса», — отмечает технический директор Trivio.
В защищенное облако Trivio перешел первым среди агентств делового туризма в России. Именно так работают многие известные западные сервисы в этой индустрии, поясняет Роман Блинов, директор департамента развития компании Corteos, платформы управления деловыми поездками. И это должно помочь Trivio привлечь самых продвинутых в технологическом смысле клиентов, считает он.
Миграция рабочих нагрузок и инфраструктуры в сторонние облачные среды может лучше защитить ресурсы и упростить управление IT-командами, говорится в исследовании McKinsey, проведенном в 2022 году. Облачные провайдеры берут на себя не только рутинную работу по обеспечению безопасности и обслуживанию, но и предлагают автоматизацию и масштабируемые услуги.
Теперь онлайн-сервис использует облачные ресурсы в соответствии с ФЗ-152 о персональных данных. Облако позволяет быстро масштабировать мощности, что особенно важно во время пиковых нагрузок на сервис. Кроме того, в защищенном облаке быстрее получается тестировать новые разработки. «Мы подходим к каждому клиенту индивидуально, можем быстро реагировать на появляющиеся угрозы, что дает преимущество над конкурентами и позволяет держать данные в безопасности», — отмечает Дмитрий Семенов.
По его словам, Trivio постоянно внедряет в продукт все более расширенные методы защиты, отслеживания внешних и внутренних угроз, которые могут спровоцировать утечку данных. «Развитие процессов по совершенствованию безопасности никогда не прекращается», — говорит Семенов.