Een stappenplan naar optimale dataveiligheid in het contactcenter

Gehackte bedrijfssystemen, phishing mails, klantgegevens die ‘op straat’ terechtkomen… je leest er bijna dagelijks over in de media. Het lijkt wel of dataveiligheid een steeds groter probleem wordt. En dat blijkt ook zo te zijn. Volgens een rapport van Interpol¹⁾ is de cyberdreiging enorm toegenomen als gevolg van de coronapandemie, en de verwachting is dat bedrijven en organisaties – en daarmee ook hun klanten – hier steeds vaker last van zullen ondervinden.

Het contactcenter is hierin extra kwetsbaar, omdat dat dé plek is waar zich ontzettend veel gevoelige informatie bevindt. Denk bijvoorbeeld aan klantnamen, telefoonnummers, burgerservicenummers en betalingsinformatie. Omdat deze lang niet altijd (alleen) wordt opgeslagen in een CRM-systeem in de cloud, maar bijvoorbeeld ook op computers van medewerkers en op bedrijfsservers, kunnen datalekken voor grote veiligheidsrisico's zorgen. In deze blog lees je wat de risico’s zijn en hoe je deze zo veel mogelijk kunt beperken.

_{1) Interpol – Cybercrime: COVID-19 Impact (augustus 2020)}

Het vertrouwen van de klant

We weten allemaal dat klantloyaliteit verre van vanzelfsprekend is. Zelfs als de klant tevreden is over een product of dienst, betekent dat niet per se dat hij een volgende keer weer voor hetzelfde bedrijf zal kiezen. Je moet dus je best blijven doen en de klant steeds positief blijven verrassen. Maar de kwaliteit van wat je als bedrijf levert is niet langer relevant op het moment dat je het vertrouwen van de klant kwijtraakt. Bijvoorbeeld door een datalek waardoor zijn persoonlijke gegevens op straat komen te liggen.

Het zijn dus niet alleen de financiële gevolgen van een datalek (o.a. het betalen van losgeld, kosten als gevolg van downtime, dataverlies en het herstellen van systemen) die een enorme impact kunnen hebben. Het is de reputatie van je bedrijf en het vertrouwen van de klant waar het uiteindelijk om draait. Klanten zijn nu eenmaal niet erg vergevingsgezind waar het een schending van hun privacy betreft. Volgens een onderzoek²⁾ van Gemalto, wereldleider op het gebied van digitale beveiliging, zou 70% van de consumenten niet langer zakendoen met een bedrijf als dat slachtoffer is geworden van een datalek.

Het feit dat datalekken steeds vaker voorkomen en bovendien breed worden uitgemeten in de media, betekent dat consumenten zich bewuster zijn dan ooit dat dataveiligheid geen vanzelfsprekendheid (meer) is. Zij laten dit steeds vaker meewegen in hun keuze voor een bedrijf of organisatie. Volgens ZD Net³⁾ is zelfs 84% van consumenten loyaler naar bedrijven met een strenge databeveiliging.

_{2) VansonBourne (on behalf of Gemalto) – Data Breaches and Customer Loyalty Report 2018}

_{3) ZDNet: Top 8 trends shaping digital transformation in 2021}

Regelgeving

Sinds de invoering van de AVG-regelgeving is het belang van databeveiliging sowieso extra zichtbaar geworden. Welke data wordt er opgeslagen, en waar? Voor wie is deze toegankelijk? Wat wordt er gedaan om de veiligheid te garanderen? We schreven al eerder een blog over het belang van dataveiligheid in het contactcenter, en dan met name over de veiligheid van een cloudoplossing.

Ook vanuit de EU wordt inmiddels regelgeving opgesteld rondom verplichte cyberbeveiliging. De nieuwe regels gaan niet alleen gelden voor vitale bedrijven en instellingen zoals banken, ziekenhuizen, zorginstellingen en nutsbedrijven. Ook andere bedrijven met een jaaromzet van (ten minste) 10 miljoen euro en vijftig werknemers zijn straks verplicht om hun IT-systemen na te lopen op kwetsbaarheden, risicoanalyses uit te voeren, hun beveiliging te verbeteren en liefst dagelijks back-ups te maken.

Mensen maken het verschil

Klantcontact bestaat nog steeds (groten)deels uit mensenwerk. En mensen maken het verschil! Vaak in positieve zin, maar tegelijkertijd is het ook juist dat menselijke aspect dat contactcenters kwetsbaar kan maken voor datalekken. Want mensen kun je niet programmeren. Ze kunnen – bewust of onbewust – onzorgvuldig handelen, worden omgekocht of zelfs bedreigd.

Ook het feit dat veel contactcenters nog steeds te maken hebben met een hoge mate van personeelsverloop brengt risico’s met zich mee. Het betekent enerzijds dat je te maken hebt met onervaren medewerkers die gemakkelijker ten prooi vallen aan frauduleuze oproepen, en zich wellicht niet altijd bewust zijn van de veiligheidsrisico’s. Anderzijds betekent een groot verloop dat de betrokkenheid onder medewerkers vaak beperkt is, wat hen helaas vatbaarder kan maken voor fraude.

De risico’s

Maar de risico’s op datalekken worden natuurlijk niet alleen bepaald door het menselijke aspect. Ook de techniek brengt kwetsbaarheden met zich mee. Hieronder vind je de meest voorkomende risico’s waar contactcenters aan worden blootgesteld:

Denial-of-Service (DoS)-aanvallen

Met andere woorden, het ‘platleggen’ van het contactcenter door een gigantisch aantal oproepen tegelijk te doen. De reden? Meestal gaat het de hackers erom om het doelwit af te leiden van een nieuwe hackaanval, of om betaling van ‘losgeld’ te vragen in ruil voor het beëindigen van de aanval.

Opslag van gespreksopnames en -transcripties

Contactcenters bewaren opnames en transcripties op servers, zowel voor trainingsdoeleinden als om aan wettelijke eisen en regelgeving te voldoen, maar deze servers kunnen het doelwit worden van hackers om toegang te krijgen tot gevoelige klantinformatie.

Kwetsbare IVRs

Dit is vooral een risico als klanten gevoelige informatie moeten inspreken die gebruikt kan worden voor identiteitsfraude.

Social engineering

Het gaat hierbij om frauduleuze oproepen die erop gericht zijn om medewerkers te manipuleren of te misleiden om zo toegang te krijgen tot rekeningen, geld over te maken of persoonlijke informatie te verkrijgen.

Verkoop van gespreksopnamen of andere gevoelige data door klantcontactmedewerkers

Zeker in contactcenters waar een grote mate van verloop is en daar waar in korte tijd enorme aantallen contactcentermedewerkers aangenomen worden, kán dit voor problemen zorgen.

Sinds de komst van de coronapandemie, waarin er dringend behoefte ontstond aan nieuwe klantcontactcentra, bijvoorbeeld voor contactonderzoek, vaccinatie- en testafspraken, zijn deze risico’s en kwetsbaarheden nog eens extra zichtbaar geworden.

Tips voor betere dataveiligheid

Hackers zijn opportunistisch en gaan steeds slimmer en beter georganiseerd te werk. Gelukkig zijn er allerlei veiligheidsmaatregelen die je kunt nemen om het contactcenter optimaal te beschermen tegen aanvallen, zoals:

Het veiligstellen van endpoints

Het gaat er hierbij om dat je de kans op fouten en fraude door medewerkers van het contactcenter zo klein mogelijk maakt, bijvoorbeeld door dubbele identiteitsauthenticatie, VPN-encryptie, het gebruik van virtuele desktops, en het buiten gebruik stellen van lokale dataopslag. Daarnaast kun je het risico op blootstelling van data beperken door contactcentermedewerkers alleen via een vaste verbinding te laten werken, en door de netwerktoegang alleen mogelijk te maken tijdens werkuren.

Naleving van dataveiligheidsnormen en -regelgeving

Dit geldt natuurlijk voor het bedrijf of de organisatie waar je voor werkt, maar ook voor de partijen waar je voor het contactcenter van afhankelijk bent, zoals leveranciers en adviseurs. Richtlijnen over het procesmatig beschermen van persoons- en bedrijfsgegevens tegen hackers en inbraak komen onder andere aan bod in de ISO-27001-norm en in de SOC 2 (Service Organization Control)-beveiligingsstandaard.

IVR-beveiliging en klantauthenticatie

In plaats van alleen af te gaan op het nummer waarmee wordt gebeld, de naam van de beller, of bijvoorbeeld zijn klantnummer, kun je beter voor meerdere lagen van authenticatie kiezen. Hiermee verklein je de kans op identiteitsfraude.

Encryptie

Bestands-, gegevens- en gespreksversleuteling helpen om digitale informatie vertrouwelijk te houden. In sommige gevallen is het ook mogelijk om gevoelige informatie automatisch te laten wegfilteren nog voordat het wordt opgeslagen.

Veilige opslag van gespreksopnames

Tijdens interacties met contactcenters delen klanten privé-informatie die beschermd moet worden. Hoewel bepaalde tools ervoor zorgen dat het gesprek wordt onderbroken wanneer vertrouwelijke informatie wordt gedeeld, moeten de opnames daarnaast op extra beveiligde servers worden opgeslagen.

Bedrijfscultuur

Omdat geen enkele beveiligingsmethode op zichzelf voldoende is om fraudeurs buiten de deur te houden, is het belangrijk om ervoor te zorgen dat het contactcenter een gelaagd verdedigingssysteem heeft. Op deze manier wordt het, zelfs als een hacker een of twee lagen doorbreekt, steeds moeilijker om het hele beveiligingssysteem te omzeilen.

Afgezien van de technische maatregelen die je kunt treffen, moet databescherming natuurlijk tot in de diepste lagen van de organisatie onderdeel uitmaken van de bedrijfscultuur en moeten medewerkers regelmatig worden bijgeschoold over de risico’s en gevolgen. Daarnaast is het ontzettend belangrijk om ervoor te zorgen dat de medewerkersbetrokkenheid zo groot mogelijk is. We hebben hier laatst nog een blog over geschreven. Want hoe groter de betrokkenheid, hoe kleiner de kans dat medewerkers doelbewust misbruik maken van de klantgegevens waar zij toegang toe hebben.

Heb je vragen over de veiligheid van klantgegevens in jouw contactcenter? Laat het ons weten! Onze experts kennen de ins en outs van de verschillende contactcenteroplossingen, en hebben daarnaast veel ervaring met maatwerk op het gebied van dataveiligheid.