CTI論壇(ctiforum.com) (編譯/老秦): 每天,聯(lián)絡(luò)中心都會生成、管理和存儲大量敏感的個人數(shù)據(jù),例如支付卡詳細(xì)信息、社會保險號碼、聯(lián)系方式等等。然而,這些數(shù)據(jù)具有巨大的財務(wù)價值,因為它可以被網(wǎng)絡(luò)犯罪分子買賣,使聯(lián)絡(luò)中心成為內(nèi)部和外部數(shù)據(jù)安全威脅的持續(xù)目標(biāo)。
根據(jù) IBM 最近的一份報告,在所研究的 550 個組織中,有 83% 的組織在其一生中發(fā)生了不止一次違規(guī)行為。毫不奇怪,全球數(shù)據(jù)泄露造成的平均成本在 2022 年攀升至 435 萬美元的歷史新高,而 2021 年為 424 萬美元。
在極端情況下,通話錄音可能會被竊取然后被員工出售,或者黑客可能會監(jiān)聽實時對話并等待客戶提供他們的信用卡信息。這并不像你想象的那么不可能。根據(jù) TRUSTID 的一項調(diào)查,在金融服務(wù)行業(yè)工作的受訪者中有 51% 表示呼叫中心是賬戶接管攻擊的主要渠道。
不幸的是,隨著威脅形勢的不斷發(fā)展,可能很難保持領(lǐng)先地位并在潛在風(fēng)險出現(xiàn)之前識別它們。這就是為什么我們將您的聯(lián)絡(luò)中心可能面臨安全漏洞風(fēng)險的 10 個跡象匯總在一起的原因。讓我們仔細(xì)看看。
1、您沒有對登錄憑據(jù)使用 雙重/多重身份驗證
在當(dāng)今世界,為所有在線帳戶使用一個用戶名和密碼已不足以保護(hù)您的數(shù)據(jù)。黑客變得越來越老練,如果他們掌握了您的登錄憑據(jù),他們就可以訪問敏感的客戶信息。
保護(hù)您的聯(lián)絡(luò)中心免受黑客攻擊的最佳方法之一是使用雙重身份驗證,因為它為您的聯(lián)絡(luò)中心增加了一層額外的安全性,并且可以在很大程度上保護(hù)您的系統(tǒng)免受攻擊。
有了雙因素身份驗證,黑客將需要的不僅僅是用戶名和密碼來訪問您的系統(tǒng)。它需要兩種形式的身份驗證才能訪問您的聯(lián)絡(luò)中心應(yīng)用程序:登錄憑據(jù)和通過短信 (SMS) 發(fā)送到已注冊電話號碼、電子郵件或身份驗證應(yīng)用程序(例如Authy)的一次性密碼。
2、您沒有加密通話錄音文件
不幸的是,許多聯(lián)絡(luò)中心仍然使用過時的方法,例如將錄音存儲在未加密的硬盤驅(qū)動器或未加密的云中。雖然企業(yè)表示加密客戶數(shù)據(jù)是首要任務(wù),但在 Entrust 的全球加密趨勢報告中,只有 42% 的受訪者在 2021 年這樣做了!
考慮到每天有 700 萬條未加密的數(shù)據(jù)記錄被泄露,這令人難以置信。根據(jù)Ponemon Institute 的說法,如果您仍然不相信加密至關(guān)重要,那么了解您的組織可以通過使用強(qiáng)大的加密和執(zhí)行網(wǎng)絡(luò)安全策略為每次攻擊節(jié)省 140 萬美元會有所幫助。
有許多不同類型的加密算法可用,因此必須選擇一種適合您存儲的數(shù)據(jù)類型的算法。您還應(yīng)該考慮實施靜態(tài)和傳輸中的加密,以及用于客戶通信的端到端加密。
保護(hù)客戶數(shù)據(jù)的最佳方式是使用 256 位高級加密標(biāo)準(zhǔn) (AES) 或更高版本加密記錄。這將使黑客更難訪問錄音,即使他們掌握了文件。
3、您的座席在便利貼或類似物品上寫下信用卡號
任何處理支付卡信息(例如信用卡號)的聯(lián)絡(luò)中心都必須符合 PCI DSS。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 是主要信用卡公司為幫助保護(hù)客戶數(shù)據(jù)而制定的一套安全標(biāo)準(zhǔn)。聯(lián)絡(luò)中心必須滿足 12 項要求才能符合 PCI DSS。其中包括加密所有敏感數(shù)據(jù)、確保所有系統(tǒng)安全以及維護(hù)安全網(wǎng)絡(luò)。
不合規(guī)可以有多種形式。一個例子是在便利貼上寫下信用卡號碼(很常見!)。與其依賴手動流程(例如信任座席在客戶提供支付卡詳細(xì)信息時暫停記錄),不如依賴基于規(guī)則或人工智能驅(qū)動的自動編輯。
您的聯(lián)絡(luò)中心必須符合 PCI DSS 的原因是它有助于保護(hù)您的客戶數(shù)據(jù)。如果您的聯(lián)絡(luò)中心發(fā)生數(shù)據(jù)泄露并且客戶數(shù)據(jù)受到損害,則可能會對您的業(yè)務(wù)造成破壞性影響。您不僅要對任何損害負(fù)責(zé),而且還可能會失去客戶的信任。
4、您沒有監(jiān)控(遠(yuǎn)程)聯(lián)絡(luò)中心員工活動
為了防止數(shù)據(jù)泄露,監(jiān)控員工活動非常重要,因為大部分?jǐn)?shù)據(jù)泄露都有內(nèi)部來源。不幸的是,許多聯(lián)絡(luò)中心沒有適當(dāng)?shù)谋O(jiān)控,使他們?nèi)菀资艿綈阂饣蚴韬鰡T工的攻擊。
有許多不同的方法來監(jiān)控員工的活動。過去,最有效的方法之一是視頻監(jiān)控,但隨著虛擬或混合聯(lián)絡(luò)中心的興起,這是不可行的--誰喜歡在工作中被視頻監(jiān)控?
一種不那么侵入性且高效的方法是結(jié)合實時監(jiān)控(主管強(qiáng)插正在進(jìn)行的呼叫)、屏幕捕獲(允許您以高質(zhì)量記錄多個屏幕)和 AI 驅(qū)動的座席評估。
5、您的通話錄音文件沒有加“水印”
為您的通話錄音文件加水印是確保它們不會被篡改的最佳方法之一,并且在發(fā)生爭議時將被接受為證據(jù)。水印是嵌入在文件中的小而透明的圖像。水印看不到也聽不到,但可以用來識別文件的來源。
例如,MiaRec提供了一個強(qiáng)大的工具,用于對音頻文件進(jìn)行防篡改水印,以確保數(shù)據(jù)完整性。這可以通過在許多數(shù)字?jǐn)?shù)據(jù)傳輸中使用"校驗和"方法來保證。"校驗和"是一種數(shù)學(xué)函數(shù),可為每個文件生成唯一值。即使文件中的一個字節(jié)被更改,校驗和也會不同,這可用于檢測對文件所做的任何更改。
6、您沒有監(jiān)控活動日志
監(jiān)控活動日志是識別潛在安全風(fēng)險的關(guān)鍵步驟。日志文件可以幫助您查看員工在他們的計算機(jī)上正在做什么以及他們何時執(zhí)行這些操作。此信息可用于識別任何潛在的安全問題。
通過跟蹤誰在訪問什么數(shù)據(jù)以及何時訪問,您可以快速識別可能表明企圖破壞的異;蚩梢苫顒。活動日志應(yīng)包括每一項活動,包括管理活動。
您應(yīng)該監(jiān)控許多不同的日志類型,包括應(yīng)用程序日志、系統(tǒng)日志和數(shù)據(jù)庫日志。根據(jù)您的聯(lián)絡(luò)中心基礎(chǔ)設(shè)施,您可能還需要監(jiān)控 Web 服務(wù)器日志和防火墻日志。請務(wù)必注意,活動記錄與通話記錄不同。通話錄音會捕獲通話的音頻,而活動記錄會跟蹤系統(tǒng)上發(fā)生的事情。
7、你沒有進(jìn)行定期的安全審計
定期安全審計對于識別潛在的安全風(fēng)險和確保您的聯(lián)絡(luò)中心符合行業(yè)法規(guī)至關(guān)重要。在安全審計期間,外部方將檢查您的聯(lián)絡(luò)中心基礎(chǔ)設(shè)施和程序,以確定任何弱點。他們還將評估您對行業(yè)法規(guī)的遵守情況。
安全審計應(yīng)定期進(jìn)行--至少每年一次。如果您經(jīng)歷過數(shù)據(jù)泄露或正在引入新技術(shù),您可能需要更頻繁地進(jìn)行審計。安全審核完成后,您將獲得一份報告,其中詳細(xì)說明了已識別的任何風(fēng)險以及需要采取哪些措施來減輕這些風(fēng)險。
8、您不限制員工訪問敏感數(shù)據(jù)
基于角色的訪問權(quán)限是任何安全策略的重要組成部分。它們確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)和系統(tǒng)。使用基于角色的訪問權(quán)限,您可以控制用戶在您的聯(lián)絡(luò)中心內(nèi)可以查看和執(zhí)行的操作。這可以防止對敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問,并有助于確保符合行業(yè)法規(guī)。
基于角色的訪問權(quán)限還可以更輕松地管理用戶權(quán)限。無需為每個單獨的用戶分配權(quán)限,您只需將角色分配給一組用戶即可。這可以節(jié)省時間并更容易跟蹤誰可以訪問什么。
最后,基于角色的訪問權(quán)限通過使黑客更難訪問您的系統(tǒng)來幫助提高安全性。通過使用基于角色的訪問權(quán)限,您可以使黑客更難猜測密碼和訪問敏感數(shù)據(jù)。這是因為每個用戶只能訪問其工作所需的數(shù)據(jù)和系統(tǒng)。
9、您沒有書面的安全和監(jiān)管合規(guī)政策
有據(jù)可查的安全性和法規(guī)遵從性政策對于任何組織來說都是必不可少的,無論其規(guī)模大小。它應(yīng)概述為確保數(shù)據(jù)(尤其是敏感的客戶數(shù)據(jù))安全而必須遵循的程序,并詳細(xì)說明不遵守該政策的后果。
所有員工都應(yīng)了解安全政策并被要求簽署。書面政策應(yīng)定期審查并在必要時更新。保持最新的安全策略以反映最新的風(fēng)險和威脅至關(guān)重要。
專業(yè)提示:您可以使用 AI 驅(qū)動的關(guān)鍵字提取,通過查找政策文檔中概述的特定觸發(fā)詞來確保您的座席遵守您的政策。
10、您的員工沒有接受網(wǎng)絡(luò)安全培訓(xùn)
黑客訪問聯(lián)絡(luò)中心系統(tǒng)的最常見方式之一是通過員工錯誤。例如,員工可能會不小心點擊網(wǎng)絡(luò)釣魚電子郵件或下載惡意附件。
這就是為什么對您的聯(lián)絡(luò)中心座席進(jìn)行安全風(fēng)險培訓(xùn)以及如何避免這些風(fēng)險至關(guān)重要的原因。除了一般的安全意識培訓(xùn)外,您還應(yīng)該提供有關(guān)員工使用的系統(tǒng)和應(yīng)用程序的特定培訓(xùn)。
網(wǎng)絡(luò)安全培訓(xùn)應(yīng)涵蓋各種主題,包括社會工程、網(wǎng)絡(luò)釣魚、密碼管理和數(shù)據(jù)保護(hù)。對員工進(jìn)行與聯(lián)絡(luò)中心相關(guān)的特定風(fēng)險的教育也很重要。例如,座席可能成為攻擊者的目標(biāo),這些攻擊者試圖通過借口或其他社會工程技術(shù)獲取敏感的客戶數(shù)據(jù)。
專業(yè)提示:應(yīng)定期進(jìn)行培訓(xùn),至少每年一次。還應(yīng)讓員工了解不遵守前面提到的安全政策的后果。有關(guān)如何使用語音分析更好、更有效地培訓(xùn)員工的具體提示,請查看本文。
結(jié)論
聯(lián)絡(luò)中心是任何業(yè)務(wù)的關(guān)鍵部分,負(fù)責(zé)處理客戶交互和敏感數(shù)據(jù)。但是,由于他們的工作,他們也面臨著安全漏洞和數(shù)據(jù)泄露的高風(fēng)險。了解您的聯(lián)絡(luò)中心可能存在風(fēng)險的跡象非常重要,這樣您就可以采取措施避免安全漏洞。
您的聯(lián)絡(luò)中心面臨風(fēng)險的一些跡象包括缺乏安全協(xié)議、密碼管理不善、身份驗證方法薄弱、缺乏基于角色的訪問權(quán)限以及缺乏員工網(wǎng)絡(luò)安全培訓(xùn)。通過采取措施解決這些風(fēng)險,您可以幫助保護(hù)您的聯(lián)絡(luò)中心免受安全漏洞的影響。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載
作者;Anthony Perez
原文網(wǎng)址:https://blog.miarec.com/10-signs-that-your-contact-center-is-at-risk-for-a-security-breach
