Как организатору обеспечить безопасность данных участников eventa?
Обеспечить безопасность личных данных участников виртуальных и гибридных мероприятий – приоритетная задача для всей команды проекта. Как это сделать? Расскажем далее, опираясь на рекомендации экспертов из event-индустрии.
В мае 2020 года журнал Forbes опубликовал статью с ужасающими статистическими данными: за несколько месяцев с начала пандемии количество кибератак на виртуальные и гибридные мероприятия увеличилось на 1000%. И хотя это число стало уменьшаться с повышением качества виртуальных событий, вопрос цифровой безопасности по-прежнему остается одним из самых главных для профессионалов индустрии событий.
«Риску подвержены конфиденциальные пользовательские данные, такие как платежи, учетные записи, интеллектуальная собственность и биометрические параметры для идентификации. Перечисленные категории наиболее уязвимы, и хакеру достаточно всего одной ошибки в системе защиты, чтобы использовать ее и нанести ущерб», – объясняет Девин Клири, вице-президент по мировым ивентам Bizzabo.
Саруш Галл, генеральный директор Eventcombo, подтверждает слова коллеги: «Объем информации, которую мы получаем от посетителей, является золотой жилой для хакеров, и обеспечение безопасности этих данных должно быть главным нашим приоритетом».
Как же организатору мероприятий распознать эту проблему и решить ее? Рассмотрим практические рекомендации от профессионалов.
Почему event-индустрия так подвержена кибератакам?
«Что делает event-индустрию такой ценной? Люди», — отмечает Саруш Галл. «Объединение экспертов, которые готовы делиться знаниями посредством взаимодействия и публичных выступлений, – это основное преимущество мероприятия для участников».
Большое количество людей и контента предполагает большое количество собранных конфиденциальных данных. «Индустрия событий — это легкая мишень для киберпреступников. Каждое мероприятие, которое вы создаете, содержит огромные объемы данных — от контактной информации до сведений о проживании, платежных реквизитах, рекомендаций по питанию и вплоть до информации о потенциальных спонсорах. По мере приближения события эти данные обычно распределяются между людьми – от команды агентства и экспертов жюри до рекламодателей и сотрудников отеля. Характер нашей отрасли предполагает то, что эти данные также могут пересекать международные границы», – отметил С. Галл.
Саруш Галл считает, что каждый организатор мероприятий должен понимать уязвимость и предпринимать шаги для надлежащей защиты данных, которые доверили люди: «Если этого не сделать, то под угрозой окажется не только бренд, но и личные денежные средства участников. Следует потратить немного времени, чтобы изучить тему и внедрить лучшие инструменты в свою работу».
Самые уязвимые составляющие мероприятия
«Виртуальные и гибридные мероприятия защищены настолько, насколько защищены используемые ими платформы. Киберпреступники могут рассматривать интернет-площадку в качестве легкой цели, особенно если программное обеспечение или сеть (или и то, и другое) оборудованы слабой системой защиты», – объяснил Девин Клири.
Наиболее уязвимые места, которыми могут воспользоваться хакеры:
Незащищенные URL-адреса и распространение кода участника для совместного доступа.
2. Отсутствие многофакторной аутентификации для подтверждения личности.
3. Некачественная технология шифрования для предотвращения взлома и несанкционированного просмотра и прослушивания сеансов связи/сессий или ее отсутствие.
4. Недоработки программного обеспечения в самой платформе для проведения событий.
5. Минимальный контроль безопасности для защиты личных данных, таких как имена участников, компании и адреса электронной почты, или его отсутствие.
Многие специалисты используют несколько виртуальных платформ для сбора данных и создания релевантного опыта. При этом важно понимать, что подобная практика приводит к росту количества уязвимых мест в системе. «Двумя наиболее распространенными атаками, как считают организаторы мероприятий, являются вредоносное ПО и фишинг. Вероятность нарушения безопасности будет высока даже в том случае, когда платформа оснащена механизмами защиты, так как все элементы связаны и между ними происходит постоянный обмен информацией. Снизить риски поможет только предварительная интеграция с надежным и защищенным программным обеспечением», – говорит Девин Клири.
Какие шаги должны предпринять организаторы мероприятий для защиты конфиденциальных данных?
Профессионалы предлагают несколько эффективных способов снизить вероятность взлома.
Будьте очень внимательны к тем людям из команды, которые имеют доступ к личным данным
«Ответственность за безопасность информации распространяется на всех, у кого есть доступ к ней. Мы видели, как компании делились личными данными со стажерами или волонтерами – это не является чем-то ужасным, но, когда вы говорите о конфиденциальности, это может привести к проблемам для любой организации», – объяснил Саруш Галл и добавил, что крайне важно предоставлять доступ к данным участников только тем лицам, которые прошли соответствующую аккредитацию.
Убедитесь, что все сотрудники обучены распознавать попытки фишинга и вредоносное ПО.
2. Сотрудничайте с компаниями, для которых безопасность данных является приоритетом
«Представители IT-платформы, выбранной для события, несут ответственность в рамках своих компетенций и должны предоставлять прозрачные отчеты без скрытых пунктов и двойных смыслов о том, как они используют данные на протяжении всего мероприятия», — говорит Саруш Галл. «В итоге все сводится к партнерству между цифровой площадкой, организаторами и подрядчиками – все должны гарантировать, что примут методы по защите с самого начала сотрудничества».
3. Убедитесь, что данные зашифрованы
«Шифруйте все документы, даже если они хранятся в облаке. Многофакторная проверка должна быть обязательной. Использование облачной платформы для проведения мероприятий уменьшает объем хранимых на сторонних устройствах данных, что может значительно снизить количество угроз безопасности информации», – советует Девин Клири.
4. Разработайте надежный процесс регистрации
Девин Клири называет регистрацию первой реальной контрольной точкой, которая помогает снизить риск кибератак: «Введите предварительную проверку регистрации по электронной почте, чтобы еще больше снизить вероятность нарушения правил проведения события». Организатору следует использовать двухфакторную или многофакторную аутентификацию и единый способ регистрации.
5. Регулируйте доступ к мероприятию
«Главное правило любого виртуального ивента – точно знать, кто в нем участвует. Ограничьте количество писем, содержащих данные по доступу к событию, до одного сообщения и воздержитесь от обмена ссылками извне, например, в социальных сетях», – добавил Девин Клири.
Если вы собираетесь использовать контент после окончания мероприятия, то для этого лучше создать отдельный сайт по требованию. А на платформу, которую применяли во время проведения ивента, после окончания заблокировать доступ, чтобы исключить несанкционированный вход в будущем.
На какие «тревожные звоночки» организатору мероприятий следует обратить внимание при сотрудничестве с технологической компанией?
Самый надежный путь – это партнерство с сильной технологической компанией, которая может многое сделать за вас в части защиты данных. Но далеко не все платформы гарантируют полную защиту конфиденциальной информации.
«Когда придет время проверить и выбрать платформу для проведения мероприятия, компании должны найти ту, которая уделяет первостепенное внимание безопасности данных и – особенно в случае, когда посетители могут присоединиться к виртуальному или гибридному выступлению из любой точки мира – соблюдает все законодательные и нормативные требования по защите информации и конфиденциальности, поскольку они отличаются в разных странах», – отметил Девин Клири.
Компании, занимающиеся технологическим обеспечением события, должны рассказать об инструментах безопасности с начального этапа продажи. «Платформа должна стремиться рекламировать тот факт, что она является надежным администратором данных», — добавил Саруш Галл.
Обязательно проконтролируйте то, что обсуждение вопросов безопасности является частью процесса подготовки к работе с IT-партнером. Так члены команды могут уточнить, за какие аспекты защиты отвечает техническая компания, а за какие – сотрудник проекта и организатор. «Зоны ответственности и требования к ним должны быть понятны и озвучены заблаговременно», – дополнил Саруш Галл.
Обратите внимание на контракты и соглашения, в которых также должна упоминаться безопасность данных, если в них отсутствует информация по указанной зоне ответственности, то это должно насторожить вас.
Должны ли участники предпринимать какие-либо действия, чтобы защитить себя?
«По возможности посетители должны получать доступ к мероприятию из защищенных сетей с надежными сетевыми учетными записями и избегать использования общественного Wi-Fi. Участникам следует проверить источник электронных писем и убедиться, что пароли предназначены только для одного события. Лучше отслеживать исправность и обновление браузера, ОС перед тем, как присоединиться к любому виртуальному событию, и проверять URL-адрес назначения или мини-версий URL-адресов на платформе и во всех email-рассылках» – говорит Девин Клири.
Эксперты также предлагают пользователям изучить платформы, на которых они регистрируются, и обращаться к организаторам мероприятий, если у них есть какие-либо опасения по поводу безопасности своих данных. «Благодаря усовершенствованному пользовательскому интерфейсу UI- и UX-технологий мы так легко регистрируемся на ивенты, что упускаем из виду некоторые потенциальные риски, связанные с обменом электронной почтой и личной информацией. Возможность регистрации в один клик или без регистрации – это прекрасно, но вы должны предупредить участников о том, как отслеживать и защищать данные после регистрации», – отмечает Саруш Галл.