CTI論壇(ctiforum.com) (編譯/老秦): 每天,聯(lián)絡(luò)中心都會(huì)生成、管理和存儲(chǔ)大量敏感的個(gè)人數(shù)據(jù),例如支付卡詳細(xì)信息、社會(huì)保險(xiǎn)號(hào)碼、聯(lián)系方式等等。然而,這些數(shù)據(jù)具有巨大的財(cái)務(wù)價(jià)值,因?yàn)樗梢员痪W(wǎng)絡(luò)犯罪分子買賣,使聯(lián)絡(luò)中心成為內(nèi)部和外部數(shù)據(jù)安全威脅的持續(xù)目標(biāo)。
根據(jù) IBM 最近的一份報(bào)告,在所研究的 550 個(gè)組織中,有 83% 的組織在其一生中發(fā)生了不止一次違規(guī)行為。毫不奇怪,全球數(shù)據(jù)泄露造成的平均成本在 2022 年攀升至 435 萬美元的歷史新高,而 2021 年為 424 萬美元。
在極端情況下,通話錄音可能會(huì)被竊取然后被員工出售,或者黑客可能會(huì)監(jiān)聽實(shí)時(shí)對(duì)話并等待客戶提供他們的信用卡信息。這并不像你想象的那么不可能。根據(jù) TRUSTID 的一項(xiàng)調(diào)查,在金融服務(wù)行業(yè)工作的受訪者中有 51% 表示呼叫中心是賬戶接管攻擊的主要渠道。
不幸的是,隨著威脅形勢(shì)的不斷發(fā)展,可能很難保持領(lǐng)先地位并在潛在風(fēng)險(xiǎn)出現(xiàn)之前識(shí)別它們。這就是為什么我們將您的聯(lián)絡(luò)中心可能面臨安全漏洞風(fēng)險(xiǎn)的 10 個(gè)跡象匯總在一起的原因。讓我們仔細(xì)看看。
1、您沒有對(duì)登錄憑據(jù)使用 雙重/多重身份驗(yàn)證
在當(dāng)今世界,為所有在線帳戶使用一個(gè)用戶名和密碼已不足以保護(hù)您的數(shù)據(jù)。黑客變得越來越老練,如果他們掌握了您的登錄憑據(jù),他們就可以訪問敏感的客戶信息。
保護(hù)您的聯(lián)絡(luò)中心免受黑客攻擊的最佳方法之一是使用雙重身份驗(yàn)證,因?yàn)樗鼮槟穆?lián)絡(luò)中心增加了一層額外的安全性,并且可以在很大程度上保護(hù)您的系統(tǒng)免受攻擊。
有了雙因素身份驗(yàn)證,黑客將需要的不僅僅是用戶名和密碼來訪問您的系統(tǒng)。它需要兩種形式的身份驗(yàn)證才能訪問您的聯(lián)絡(luò)中心應(yīng)用程序:登錄憑據(jù)和通過短信 (SMS) 發(fā)送到已注冊(cè)電話號(hào)碼、電子郵件或身份驗(yàn)證應(yīng)用程序(例如Authy)的一次性密碼。
2、您沒有加密通話錄音文件
不幸的是,許多聯(lián)絡(luò)中心仍然使用過時(shí)的方法,例如將錄音存儲(chǔ)在未加密的硬盤驅(qū)動(dòng)器或未加密的云中。雖然企業(yè)表示加密客戶數(shù)據(jù)是首要任務(wù),但在 Entrust 的全球加密趨勢(shì)報(bào)告中,只有 42% 的受訪者在 2021 年這樣做了!
考慮到每天有 700 萬條未加密的數(shù)據(jù)記錄被泄露,這令人難以置信。根據(jù)Ponemon Institute 的說法,如果您仍然不相信加密至關(guān)重要,那么了解您的組織可以通過使用強(qiáng)大的加密和執(zhí)行網(wǎng)絡(luò)安全策略為每次攻擊節(jié)省 140 萬美元會(huì)有所幫助。
有許多不同類型的加密算法可用,因此必須選擇一種適合您存儲(chǔ)的數(shù)據(jù)類型的算法。您還應(yīng)該考慮實(shí)施靜態(tài)和傳輸中的加密,以及用于客戶通信的端到端加密。
保護(hù)客戶數(shù)據(jù)的最佳方式是使用 256 位高級(jí)加密標(biāo)準(zhǔn) (AES) 或更高版本加密記錄。這將使黑客更難訪問錄音,即使他們掌握了文件。
3、您的座席在便利貼或類似物品上寫下信用卡號(hào)
任何處理支付卡信息(例如信用卡號(hào))的聯(lián)絡(luò)中心都必須符合 PCI DSS。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 是主要信用卡公司為幫助保護(hù)客戶數(shù)據(jù)而制定的一套安全標(biāo)準(zhǔn)。聯(lián)絡(luò)中心必須滿足 12 項(xiàng)要求才能符合 PCI DSS。其中包括加密所有敏感數(shù)據(jù)、確保所有系統(tǒng)安全以及維護(hù)安全網(wǎng)絡(luò)。
不合規(guī)可以有多種形式。一個(gè)例子是在便利貼上寫下信用卡號(hào)碼(很常見!)。與其依賴手動(dòng)流程(例如信任座席在客戶提供支付卡詳細(xì)信息時(shí)暫停記錄),不如依賴基于規(guī)則或人工智能驅(qū)動(dòng)的自動(dòng)編輯。
您的聯(lián)絡(luò)中心必須符合 PCI DSS 的原因是它有助于保護(hù)您的客戶數(shù)據(jù)。如果您的聯(lián)絡(luò)中心發(fā)生數(shù)據(jù)泄露并且客戶數(shù)據(jù)受到損害,則可能會(huì)對(duì)您的業(yè)務(wù)造成破壞性影響。您不僅要對(duì)任何損害負(fù)責(zé),而且還可能會(huì)失去客戶的信任。
4、您沒有監(jiān)控(遠(yuǎn)程)聯(lián)絡(luò)中心員工活動(dòng)
為了防止數(shù)據(jù)泄露,監(jiān)控員工活動(dòng)非常重要,因?yàn)榇蟛糠謹(jǐn)?shù)據(jù)泄露都有內(nèi)部來源。不幸的是,許多聯(lián)絡(luò)中心沒有適當(dāng)?shù)谋O(jiān)控,使他們?nèi)菀资艿綈阂饣蚴韬鰡T工的攻擊。
有許多不同的方法來監(jiān)控員工的活動(dòng)。過去,最有效的方法之一是視頻監(jiān)控,但隨著虛擬或混合聯(lián)絡(luò)中心的興起,這是不可行的--誰喜歡在工作中被視頻監(jiān)控?
一種不那么侵入性且高效的方法是結(jié)合實(shí)時(shí)監(jiān)控(主管強(qiáng)插正在進(jìn)行的呼叫)、屏幕捕獲(允許您以高質(zhì)量記錄多個(gè)屏幕)和 AI 驅(qū)動(dòng)的座席評(píng)估。
5、您的通話錄音文件沒有加“水印”
為您的通話錄音文件加水印是確保它們不會(huì)被篡改的最佳方法之一,并且在發(fā)生爭(zhēng)議時(shí)將被接受為證據(jù)。水印是嵌入在文件中的小而透明的圖像。水印看不到也聽不到,但可以用來識(shí)別文件的來源。
例如,MiaRec提供了一個(gè)強(qiáng)大的工具,用于對(duì)音頻文件進(jìn)行防篡改水印,以確保數(shù)據(jù)完整性。這可以通過在許多數(shù)字?jǐn)?shù)據(jù)傳輸中使用"校驗(yàn)和"方法來保證。"校驗(yàn)和"是一種數(shù)學(xué)函數(shù),可為每個(gè)文件生成唯一值。即使文件中的一個(gè)字節(jié)被更改,校驗(yàn)和也會(huì)不同,這可用于檢測(cè)對(duì)文件所做的任何更改。
6、您沒有監(jiān)控活動(dòng)日志
監(jiān)控活動(dòng)日志是識(shí)別潛在安全風(fēng)險(xiǎn)的關(guān)鍵步驟。日志文件可以幫助您查看員工在他們的計(jì)算機(jī)上正在做什么以及他們何時(shí)執(zhí)行這些操作。此信息可用于識(shí)別任何潛在的安全問題。
通過跟蹤誰在訪問什么數(shù)據(jù)以及何時(shí)訪問,您可以快速識(shí)別可能表明企圖破壞的異;蚩梢苫顒(dòng);顒(dòng)日志應(yīng)包括每一項(xiàng)活動(dòng),包括管理活動(dòng)。
您應(yīng)該監(jiān)控許多不同的日志類型,包括應(yīng)用程序日志、系統(tǒng)日志和數(shù)據(jù)庫(kù)日志。根據(jù)您的聯(lián)絡(luò)中心基礎(chǔ)設(shè)施,您可能還需要監(jiān)控 Web 服務(wù)器日志和防火墻日志。請(qǐng)務(wù)必注意,活動(dòng)記錄與通話記錄不同。通話錄音會(huì)捕獲通話的音頻,而活動(dòng)記錄會(huì)跟蹤系統(tǒng)上發(fā)生的事情。
7、你沒有進(jìn)行定期的安全審計(jì)
定期安全審計(jì)對(duì)于識(shí)別潛在的安全風(fēng)險(xiǎn)和確保您的聯(lián)絡(luò)中心符合行業(yè)法規(guī)至關(guān)重要。在安全審計(jì)期間,外部方將檢查您的聯(lián)絡(luò)中心基礎(chǔ)設(shè)施和程序,以確定任何弱點(diǎn)。他們還將評(píng)估您對(duì)行業(yè)法規(guī)的遵守情況。
安全審計(jì)應(yīng)定期進(jìn)行--至少每年一次。如果您經(jīng)歷過數(shù)據(jù)泄露或正在引入新技術(shù),您可能需要更頻繁地進(jìn)行審計(jì)。安全審核完成后,您將獲得一份報(bào)告,其中詳細(xì)說明了已識(shí)別的任何風(fēng)險(xiǎn)以及需要采取哪些措施來減輕這些風(fēng)險(xiǎn)。
8、您不限制員工訪問敏感數(shù)據(jù)
基于角色的訪問權(quán)限是任何安全策略的重要組成部分。它們確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)和系統(tǒng)。使用基于角色的訪問權(quán)限,您可以控制用戶在您的聯(lián)絡(luò)中心內(nèi)可以查看和執(zhí)行的操作。這可以防止對(duì)敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問,并有助于確保符合行業(yè)法規(guī)。
基于角色的訪問權(quán)限還可以更輕松地管理用戶權(quán)限。無需為每個(gè)單獨(dú)的用戶分配權(quán)限,您只需將角色分配給一組用戶即可。這可以節(jié)省時(shí)間并更容易跟蹤誰可以訪問什么。
最后,基于角色的訪問權(quán)限通過使黑客更難訪問您的系統(tǒng)來幫助提高安全性。通過使用基于角色的訪問權(quán)限,您可以使黑客更難猜測(cè)密碼和訪問敏感數(shù)據(jù)。這是因?yàn)槊總(gè)用戶只能訪問其工作所需的數(shù)據(jù)和系統(tǒng)。
9、您沒有書面的安全和監(jiān)管合規(guī)政策
有據(jù)可查的安全性和法規(guī)遵從性政策對(duì)于任何組織來說都是必不可少的,無論其規(guī)模大小。它應(yīng)概述為確保數(shù)據(jù)(尤其是敏感的客戶數(shù)據(jù))安全而必須遵循的程序,并詳細(xì)說明不遵守該政策的后果。
所有員工都應(yīng)了解安全政策并被要求簽署。書面政策應(yīng)定期審查并在必要時(shí)更新。保持最新的安全策略以反映最新的風(fēng)險(xiǎn)和威脅至關(guān)重要。
專業(yè)提示:您可以使用 AI 驅(qū)動(dòng)的關(guān)鍵字提取,通過查找政策文檔中概述的特定觸發(fā)詞來確保您的座席遵守您的政策。
10、您的員工沒有接受網(wǎng)絡(luò)安全培訓(xùn)
黑客訪問聯(lián)絡(luò)中心系統(tǒng)的最常見方式之一是通過員工錯(cuò)誤。例如,員工可能會(huì)不小心點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件或下載惡意附件。
這就是為什么對(duì)您的聯(lián)絡(luò)中心座席進(jìn)行安全風(fēng)險(xiǎn)培訓(xùn)以及如何避免這些風(fēng)險(xiǎn)至關(guān)重要的原因。除了一般的安全意識(shí)培訓(xùn)外,您還應(yīng)該提供有關(guān)員工使用的系統(tǒng)和應(yīng)用程序的特定培訓(xùn)。
網(wǎng)絡(luò)安全培訓(xùn)應(yīng)涵蓋各種主題,包括社會(huì)工程、網(wǎng)絡(luò)釣魚、密碼管理和數(shù)據(jù)保護(hù)。對(duì)員工進(jìn)行與聯(lián)絡(luò)中心相關(guān)的特定風(fēng)險(xiǎn)的教育也很重要。例如,座席可能成為攻擊者的目標(biāo),這些攻擊者試圖通過借口或其他社會(huì)工程技術(shù)獲取敏感的客戶數(shù)據(jù)。
專業(yè)提示:應(yīng)定期進(jìn)行培訓(xùn),至少每年一次。還應(yīng)讓員工了解不遵守前面提到的安全政策的后果。有關(guān)如何使用語音分析更好、更有效地培訓(xùn)員工的具體提示,請(qǐng)查看本文。
結(jié)論
聯(lián)絡(luò)中心是任何業(yè)務(wù)的關(guān)鍵部分,負(fù)責(zé)處理客戶交互和敏感數(shù)據(jù)。但是,由于他們的工作,他們也面臨著安全漏洞和數(shù)據(jù)泄露的高風(fēng)險(xiǎn)。了解您的聯(lián)絡(luò)中心可能存在風(fēng)險(xiǎn)的跡象非常重要,這樣您就可以采取措施避免安全漏洞。
您的聯(lián)絡(luò)中心面臨風(fēng)險(xiǎn)的一些跡象包括缺乏安全協(xié)議、密碼管理不善、身份驗(yàn)證方法薄弱、缺乏基于角色的訪問權(quán)限以及缺乏員工網(wǎng)絡(luò)安全培訓(xùn)。通過采取措施解決這些風(fēng)險(xiǎn),您可以幫助保護(hù)您的聯(lián)絡(luò)中心免受安全漏洞的影響。
聲明:版權(quán)所有 非合作媒體謝絕轉(zhuǎn)載
作者;Anthony Perez
原文網(wǎng)址:https://blog.miarec.com/10-signs-that-your-contact-center-is-at-risk-for-a-security-breach
