Программа лояльности в ритейле: ищем баланс между эффективностью и безопасностью

Программа лояльности в ритейле: ищем баланс между эффективностью и безопасностью

@Freepic

Программы лояльности давно стали неотъемлемой частью маркетинговой стратегии большинства крупных компаний. В обмен на приверженность бренду покупателям дарят бонусы, скидки и эксклюзивные предложения. Клиенты довольны, обороты ритейлеров растут, кажется, схема выгодна для всех. Но, как показывает практика, программы лояльности весьма уязвимы, что несет риски для всех участников процесса.

Рассказывает Кирилл Кулаков, эксперт «Лаборатории Касперского».

В 2020 году стало известно о крупной утечке данных из программы лояльности одной из крупнейших сетей супермаркетов в США. Хакеры получили доступ к личной информации миллионов клиентов, которая включала их номера телефонов, адреса и историю покупок. Это привело к серьезным финансовым убыткам и репутационным потерям для компании. Просчитать потери клиентов после такой атаки — и вовсе невозможно. 

Таким образом, мы понимаем, что даже крупные игроки рынка не способны гарантировать информационную безопасность своих пользователей.

Различные исследования по всему миру показывают, что ритейл-индустрия в последние годы столкнулась с серьезным ростом кибератак, в том числе, направленных на кражу данных пользователей. Согласно отчету Global Data Threat Report 2022, сделанного Thales Group, почти 50% инцидентов в ритейле связаны с компрометацией конфиденциальных данных, включая персональные данные пользователей

Почему мошенники охотятся за программами лояльности?

1. Покупка и перепродажа товаров

Одним из самых очевидных способов монетизации бонусов является их использование для покупки реальных товаров с последующей перепродажей. Злоумышленники могут использовать данные украденных аккаунтов для получения товара бесплатно или по значительно сниженной цене.

2. Конвертация в партнерские программы

Некоторые программы лояльности позволяют конвертировать накопленные баллы одной программы лояльности в баллы ПЛ от других компаний, что, несомненно, удобно пользователям, но предоставляет дополнительные возможности для монетизации злоумышленникам.

3. Доступ к персональным данным

Через скомпрометированные программы лояльности злоумышленники могут получить доступ к персональной информации клиентов, что увеличивает риски мошенничества с помощью социальной инженерии, кражи реальных денег или взлома аккаунтов на сторонних платформах, вплоть до таких серьезных сервисов как Госуслуги.

Исходя из вышесказанного, может сложиться впечатление, что от действий мошенников страдают только потребители. Может быть поэтому бизнес не прилагает достаточных усилий для защиты данных своих клиентов? Конечно, нет. 

Ритейлеры также несут ощутимый ущерб. Это и прямые финансовые потери — одно дело предоставлять скидки своим клиентам, планируя, что затраты окупятся при последующем взаимодействии с потребителем, другое — отправлять их в никуда.

Кроме того, злоумышленники накручивают нереалистичные показатели бизнеса, которые сбивают тонкие настройки процессов и систем учета внутри компаний, что также является значимым ущербом для продавца.

И, наконец, имиджевые риски. Утечка данных или мошенничество в программах лояльности может существенно подорвать доверие к бренду, что приведет к репутационным потерям и снижению лояльности клиентов.

Если этот сегмент все же важен для бизнеса, почему же он такой уязвимый? Почему ритейлеры не прилагают достаточных усилий для защиты программ лояльности?

Причины уязвимости

1. Разнообразие механик программ лояльности

Есть скидка 10% для постоянных клиентов? Скоро она появится у конкурентов. Градация бонусов? Конкуренты скопируют и этот подход, а смысл инструмента утратится: покупатель не увидит ценности в вашем предложении, ведь у всех продавцов примерно одинаковые условия. Единственный выход — сделать программу лояльности уникальной. А значит — получить свои собственные оригинальные и никем ранее не отработанные риски.

2. Отсутствие стандартов и единых IT-сценариев

Даже при использовании классической бонусной системы единых стандартов и сценариев пользовательского поведения не существует. Каждая компания имеет свои подходы к построению ПЛ, соответственно нет и единых процессов защиты IT-архитектуры ПЛ.

3. Отсутствие единых протоколов защиты и нормативной регуляции

Также на сегодняшний день нет и унифицированных протоколов защиты программ лояльности, отсутствует законодательно-нормативная регуляция этой сферы, а значит ответственность и степень защиты и отработки рисков остается внутренним делом бизнеса.

4. Низкий приоритет защиты программ лояльности

Несмотря на то, что ритейлеры страдают от действий мошенников не меньше пользователей, зачастую защита программ лояльности остается на втором плане. Внимание специалистов по ИБ концентрируется на фундаментальной защите IT-инфраструктуры компании, а безопасность программ лояльности обеспечивается по остаточному принципу. 

Итак, мы понимаем, что эффективность и уязвимость программ лояльности — две стороны одной медали. С одной стороны, бизнес волен придумывать и реализовывать любые бонусные и игровые механики для привлечения клиентов. С другой стороны, чем они более нестандартные, тем больше в них потенциально слабых мест, и тем серьезнее возрастают риски.

2. Внимательно относиться к защите касс и веб-трафика

С этим пунктом ритейлеры обычно справляются без проблем, так как это важно для более глобальных вопросов бизнеса, специалисты ИБ бережно относятся к защите POS-систем (касс) и веб-трафика, который проходит через инфраструктуру компании.

3. Применять риск-ориентированный подход

Важно внедрять и поддерживать подход, основанный на анализе рисков, постоянно мониторить свои системы на предмет угроз и тестировать программы лояльности. Должен быть выработан кастомный набор организационных и технических мер для обеспечения безопасности. Для этого нужно оценить свою инфраструктуру, тип сервисов, какие угрозы наиболее релевантны для них на сегодняшний момент. При этом важно учитывать и экономическую целесообразность внедрения комплекса защиты, соотносить ее с рисками возможного ущерба и стремиться найти баланс.

Как минимизировать риски при использовании программ лояльности пользователям?

Так как уязвимость на стороне пользователя возникает при использовании личных девайсов клиента, здесь работают все те же правила осторожности, что и при использовании глобальной сети Internet.

1. Придерживаться безопасного поведения

Чтобы не стать жертвами мошенников, пользователи должны быть внимательными, проявлять осторожность и проверять информацию, поступающую от третьих лиц. Не доверять заманчивым предложениям и избегать подозрительных ссылок.

2. Установить надежное защитное ПО для своих девайсов

Использование антивирусных программ на мобильных устройствах и компьютерах помогает защитить личные данные от угроз.

3. Использовать сложные пароли и мультифакторную аутентификацию

Применение уникальных сложных паролей, а также включение двух- или мультифакторной аутентификации помогает минимизировать риски взлома аккаунтов и защитить личные данные.

Программы лояльности — мощный инструмент для привлечения и удержания клиентов, но в текущей рыночной ситуации вопрос их эффективности неразрывно связан с их уязвимостью. 

Злоумышленники постоянно разрабатывают новые методы обходы защиты, пока специалисты разрабатывают инструменты, эффективные против одного метода атаки, преступники переходят к другому. Поэтому так важно держать фокус на вопросе безопасности и стремиться быть на шаг впереди. Без должного внимания к защите данных программ лояльности ритейлеры рискуют потерять не только доверие клиентов, но и значительные финансовые ресурсы.

Кирилл Кулаков, эксперт «Лаборатории Касперского».

Для NEW RETAIL

Данные о правообладателе фото и видеоматериалов взяты с сайта «NEW RETAIL», подробнее в Правилах сервиса
Анализ
×
Кулаков Кирилл
АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО"
Сфера деятельности:Национальные чемпионы
41
Thales Group
Организации