Конфиденциальность и безопасность тревел-данных — один из стержневых вопросов в работе всех без исключения компаний. И ложится он, по большому счету, на плечи организаторов путешествий. «Груз» этот становится с каждым годом все тяжелее: объем big data, как снежный ком, нарастает в геометрической прогрессии. Вдобавок, дает о себе знать популярность мобильных устройств и облачных технологий.
И это только начало, предупреждают эксперты. Рейтинг смартфонов, и без того высокий, в ближайшие годы взлетит до небес: по прогнозам SITA, к 2020 году пользователей «умных» телефонов перевалит за четыре миллиарда! Сравните: в 2015 году таковых было в два раза меньше. К 2018 году более 60% предприятий перейдут на облачные платформы. Что все это значит? Это значит, что меры и правила безопасности корпоративной информации должны совершенствоваться с такой же стремительной скоростью. Для решения задачи, как обращаться с данными, где их хранить и как организовать к ним доступ, базовых знаний уже недостаточно.
В исследовании CWT Travel Management Institute «Быстрее, умнее, лучше» за 2015 год авторы называют безопасность данных главной задачей организаторов деловых путешествий и командированных сотрудников, и особенно при использовании мобильных технологий. А согласно другому отчету института «Приоритеты тревел-менеджмента», для 83% координаторов риски безопасности данных в области мобильных технологий — «тренд, оказывающий наибольшее влияние на тревел-политику».
Защищайтесь, господа!
Нужно признать, что угнаться за развитием платежных решений и мобильных технологий в вопросе защиты информации компаниям пока сложно. Несмотря на многочисленные попытки решить проблему, утечка данных становится весьма распространенным явлением. Только в 2015 году в газете The New York Times было опубликовано 572 статьи, в которых говорилось о нарушении информационной безопасности. Цифра серьезная, тем более учитывая, что в 2013 году таких материалов было 125. И хотя нарушение безопасности связывают обычно с преступным умыслом, реальная причина таких случаев зачастую гораздо более банальная: письмо отправлено не тому адресату или утерян диск.
Хакерские DoS-атаки, затрудняющие использование системных ресурсов легальными пользователями, также стали более частыми, предупреждают эксперты. Причем все они связаны с нарушением закона.
Экономические последствия потери информации могут быть просто колоссальными из-за возможных юридических, нормативных, финансовых и репутационных издержек. По данным Ponemon Institute, в среднем нарушение безопасности данных обходится компании в $3,8 млн. Особенно высоки такие издержки в США и ниже всего в Индии. Возможно, объясняется это тем, что в Америке всеобъемлющего закона по защите данных как такового нет. Хотя есть различные отраслевые, государственные и федеральные положения. Наименее согласованным считается Азиатско-Тихоокеанский регион: в Австралии, Новой Зеландии и Корее к защите данных подходят очень ответственно, а в Таиланде, по сути, никаких регулирующих рычагов в этой сфере нет. В Латинской Америке существуют конституционные гарантии, или законы о конфиденциальности, которые составлены по образцу других регионов, в том числе ЕС.
В России с 2015 года действует закон «О персональных данных». Согласно этому документу, информация о российских гражданах может храниться лишь на территории страны, то есть на российских серверах. Однако норма вступает в противоречие с некоторыми другими актами и отечественными реалиями, обращает внимание Галина Барыкина из FCM Travel Solutions. «Большинство международных авиакомпаний, включая национального перевозчика „Аэрофлот“, используют глобальные системы дистрибуции с серверами за пределами России, — поясняет эксперт. — Наша страна также является участником Чикагской, Варшавской и Гвадалахарской конвенций о международных воздушных перевозках, предполагающих обмен данными. Как известно, в поправке к закону, обязывающей операторов хранить информацию на территории России, в финале было сделано исключение для деятельности авиаперевозчиков и уполномоченных агентов».
Единственный способ выполнить все требования закона и для агентств, и для поставщиков сейчас — это сертификация на соответствие стандарту индустрии платежных карт (PCI DSS). «Соответствие подразумевает не только использование сертифицированных технических решений — межсетевых экранов, антивирусных программ, шифрования данных (криптографических средств), защиты от несанкционированного доступа, но и осуществление целого комплекса организационных мер по информационной безопасности», — говорит г-жа Барыкина.
Замóк с секретом
Вообще, область путешествий с точки зрения хакеров кажется наиболее привлекательной, говорят эксперты: без использования персональной и другой важной платежной информации организовать поездку просто невозможно. Эти данные могут быть «конвертированы» в наличные деньги, а значит, представляют большой интерес для преступников. Вот почему тревел-менеджерам так важно продумать методы ее защиты.
Какие сведения важно защитить в первую очередь? Во-первых, те, которые нужны для совершения платежей. Так, кредитная карта с данными владельца позволяет преступникам делать покупки и переводить чужие средства на свои счета.
Идентификационные данные (например, логины и пароли) также «стоят на страже» и служат паролем для доступа к различным платформам с важными данными. Часто сотрудники используют одни и те же логины и пароли, так что эта информация может быть «ключом» к большому количеству «дверей».
«Вся основная информация по сканам документов хранится у меня в зашифрованном виде в запароленном архиве, либо в зашифрованном образе диска, — делится опытом Оксана Костюк, помощник вице-президента компании Parallels. — Данные, необходимые для организации поездки, продублированы в запароленном Excel-файле, что позволяет мне даже в случае какого-либо системного сбоя получить к ним доступ».
Да, возможно, подход может показаться слишком сложным, говорит эксперт. «Но, поверьте, это вам очень поможет при решении нестандартных ситуаций, требующих быстрой реакции, — убеждена Оксана. — Так, например, у одного из моих руководителей во время путешествия при регистрации в отеле на Карибах украли мобильный телефон. Информацию об этом я получила, когда рабочий день закончился и менеджер мобильной связи, выделенный для нашей компании, был недоступен. Благодаря тому, что в файлах хранился серийный номер телефона и сим-карты со всеми PIN-кодами, я смогла его заблокировать через центр поддержки. После этого он был совершенно бесполезен для похитителей. Все звонки руководителя были переадресованы на телефон пассажира, который путешествовал вместе с ним. Мобильная связь была восстановлена, а мой босс был в курсе всех рабочих ситуаций, требующих его решения».
В своей работе Оксана придерживается простых, но надежных правил: пароли заносит в специальные программы (1password, LastPass, KeePass2), при пересылке данных по незащищенному каналу (например, e-mail) размещает данные/файлы в архив с паролем, а сгенерированный пароль передает по другому каналу (sms, Skype, голосом).
Главный страж
Серьезная ответственность в вопросе использования персональных данных лежит также на поставщиках и TMC. К слову, помимо того, что тревел-агентства имеют юридические обязательства, они также мотивированы этически и финансово — защищать безопасность и конфиденциальность клиентской информации.
Агентство использует данные сотрудника при бронировании перелета, отеля и других тревел-услуг. То есть профиль путешественника создается на основе предоставленных им или тревел-менеджером сведений: имени, даты рождения, адреса и номера кредитной карты. Из них «генерируется» уникальный Passenger Name Record, PNR — «имя» заявки, состоящее, как правило, из шестизначной комбинации цифр и букв. Другими словами, номер бронирования. Данные, необходимые для организации путешествия, также могут включать серию и номер паспорта пассажира, сведения о его здоровье, предпочтения в питании.
«Как технологическая компания, осуществляющая не только обслуживание клиентов, но и серьезную разработку собственных продуктов, агентство обязано гарантировать безопасность данных во время их хранения и передачи, — согласна Наталья Порошина, руководитель группы внедрения онлайн-технологий в Zelenski Corporate Travel Solutions. — Например, не так давно для системы онлайн-бронирования и управления командировками ZCTS-Online мы внедрили шифрование при передаче данных с помощью продуктов КриптоПро, разработанных по стандартам Федеральной Службы Безопасности. Иногда запросы на использование новых продуктов инициируют сами клиенты, что-то приходит от глобального партнера Egencia». Обеспечение безопасности передачи данных — это уже давно необходимость, базовая потребность любого клиентского сервиса, кроме того это вопрос репутации, которым ни в коем случае нельзя пренебрегать, убеждена эксперт.
А что может сделать сам путешественник, чтобы защитить свои данные? Во-первых, следовать процедурам и правилам компании в области информационной безопасности. Во-вторых, избегать использования незнакомых беспроводных сетей и общедоступных компьютеров, вводить пароль только в авторизованных сетях. Образовывать бизнес-туристов в вопросе безопасного использования информации должны и сами работодатели.
Так, в компании Ernst & Young разъяснительная работа с сотрудниками проводится на глобальном уровне. «Она предполагает обязательный интерактивный тренинг по соблюдению безопасности, — поясняет Елена Дружинина. — В нем обыгрываются разные ситуации, в которых может возникать риск утечки персональной информации или корпоративных данных. В процессе тренинга предлагаются и закрепляются варианты правильного, ответственного поведения».
Современное «оружие»
Безусловно, чтобы «гарантировать» защиту данных, нужны технологические инструменты. Но знаний о них, с сожалением отмечают эксперты, профессионалам отрасли часто не хватает.
К примеру, вы слышали о Europay MasterCard Visa (ЕМВ)? Это международный стандарт для операций по банковским картам с чипом, разработанный компаниями Europay, MasterCard и Visa. Такой метод защиты (чип) считается гораздо более надежным, чем широко известная магнитная полоса. Изначально технологию начали использовать в Европе. В США она получила распространение в прошлом 2015 году.
Часто с переходом на EMV компании получают поддержку NFC. Коммуникация ближнего поля (Near Field Communication, NFC) лежит в основе Apple Pay и других бесконтактных способов оплаты. Технология дает возможность обмена данными между устройствами, находящимися на расстоянии около десяти сантиметров. «Бесконтактные» платежи — обычное дело в Канаде и многих европейских странах.
Пиринговое, или двухточечное шифрование (Peer-to-peer-encryption, P2PE) — еще один стандарт безопасности, который позволяет закодировать платежную информацию внутри терминала и дальше передавать ее по сети в защищенном виде.
Используемая в Apple Pay токенизация также позволяет обезопасить электронные платежи. Совершая покупку, путешественник не передает продавцу свои платежные реквизиты. Вся карточная информация представляет собой случайную комбинацию символов, или токен. Когда токен попадает в терминал продавца, а потом транслируется в банк для подтверждения операции, то абсолютно бесполезен для преступников, поскольку не отражает какой-либо важной информации.
..........................................................................................................
Пока есть данные, будет существовать и угроза их безопасности. Устранить ее — в первую очередь обязанность ТМС: защита персональной информации командированных сотрудников, участников встреч, тех, кто занимается тревел-менеджментом в рамках компании, должна стать приоритетной задачей агентства.
Тревел-менеджерам же при этом важно следить за тем, чтобы сотрудники придерживались внутренних правил и процедур по использованию информационных технологий, и контролировать в этом вопросе TMC, чтобы понимать, как защищены данные их путешественников.
Но и этого недостаточно. Конфиденциальность данных, их безопасное использование — это коллективная ответственность всех участников процесса, в том числе самого путешественника. Если одно из звеньев цепи расслабится — рассыпется вся цепочка.
Марина Осипова
