CTI論壇(ctiforum.com) （編譯/老秦）： 每天，聯(lián)絡(luò )中心都會(huì )生成、管理和存儲大量敏感的個(gè)人數據，例如支付卡詳細信息、社會(huì )保險號碼、聯(lián)系方式等等。然而，這些數據具有巨大的財務(wù)價(jià)值，因為它可以被網(wǎng)絡(luò )犯罪分子買(mǎi)賣(mài)，使聯(lián)絡(luò )中心成為內部和外部數據安全威脅的持續目標。

　　根據 IBM 最近的一份報告，在所研究的 550 個(gè)組織中，有 83% 的組織在其一生中發(fā)生了不止一次違規行為。毫不奇怪，全球數據泄露造成的平均成本在 2022 年攀升至 435 萬(wàn)美元的歷史新高，而 2021 年為 424 萬(wàn)美元。

　　在極端情況下，通話(huà)錄音可能會(huì )被竊取然后被員工出售，或者黑客可能會(huì )監聽(tīng)實(shí)時(shí)對話(huà)并等待客戶(hù)提供他們的信用卡信息。這并不像你想象的那么不可能。根據 TRUSTID 的一項調查，在金融服務(wù)行業(yè)工作的受訪(fǎng)者中有 51% 表示呼叫中心是賬戶(hù)接管攻擊的主要渠道。

　　不幸的是，隨著(zhù)威脅形勢的不斷發(fā)展，可能很難保持領(lǐng)先地位并在潛在風(fēng)險出現之前識別它們。這就是為什么我們將您的聯(lián)絡(luò )中心可能面臨安全漏洞風(fēng)險的 10 個(gè)跡象匯總在一起的原因。讓我們仔細看看。

　　在當今世界，為所有在線(xiàn)帳戶(hù)使用一個(gè)用戶(hù)名和密碼已不足以保護您的數據。黑客變得越來(lái)越老練，如果他們掌握了您的登錄憑據，他們就可以訪(fǎng)問(wèn)敏感的客戶(hù)信息。

　　保護您的聯(lián)絡(luò )中心免受黑客攻擊的最佳方法之一是使用雙重身份驗證，因為它為您的聯(lián)絡(luò )中心增加了一層額外的安全性，并且可以在很大程度上保護您的系統免受攻擊。

　　有了雙因素身份驗證，黑客將需要的不僅僅是用戶(hù)名和密碼來(lái)訪(fǎng)問(wèn)您的系統。它需要兩種形式的身份驗證才能訪(fǎng)問(wèn)您的聯(lián)絡(luò )中心應用程序：登錄憑據和通過(guò)短信 (SMS) 發(fā)送到已注冊電話(huà)號碼、電子郵件或身份驗證應用程序（例如Authy）的一次性密碼。

　　不幸的是，許多聯(lián)絡(luò )中心仍然使用過(guò)時(shí)的方法，例如將錄音存儲在未加密的硬盤(pán)驅動(dòng)器或未加密的云中。雖然企業(yè)表示加密客戶(hù)數據是首要任務(wù)，但在 Entrust 的全球加密趨勢報告中，只有 42% 的受訪(fǎng)者在 2021 年這樣做了！

　　考慮到每天有 700 萬(wàn)條未加密的數據記錄被泄露，這令人難以置信。根據Ponemon Institute 的說(shuō)法，如果您仍然不相信加密至關(guān)重要，那么了解您的組織可以通過(guò)使用強大的加密和執行網(wǎng)絡(luò )安全策略為每次攻擊節省 140 萬(wàn)美元會(huì )有所幫助。

　　有許多不同類(lèi)型的加密算法可用，因此必須選擇一種適合您存儲的數據類(lèi)型的算法。您還應該考慮實(shí)施靜態(tài)和傳輸中的加密，以及用于客戶(hù)通信的端到端加密。

　　保護客戶(hù)數據的最佳方式是使用 256 位高級加密標準 (AES) 或更高版本加密記錄。這將使黑客更難訪(fǎng)問(wèn)錄音，即使他們掌握了文件。

　　任何處理支付卡信息（例如信用卡號）的聯(lián)絡(luò )中心都必須符合 PCI DSS。支付卡行業(yè)數據安全標準 (PCI DSS) 是主要信用卡公司為幫助保護客戶(hù)數據而制定的一套安全標準。聯(lián)絡(luò )中心必須滿(mǎn)足 12 項要求才能符合 PCI DSS。其中包括加密所有敏感數據、確保所有系統安全以及維護安全網(wǎng)絡(luò )。

　　不合規可以有多種形式。一個(gè)例子是在便利貼上寫(xiě)下信用卡號碼（很常見(jiàn)！）。與其依賴(lài)手動(dòng)流程（例如信任座席在客戶(hù)提供支付卡詳細信息時(shí)暫停記錄），不如依賴(lài)基于規則或人工智能驅動(dòng)的自動(dòng)編輯。

　　您的聯(lián)絡(luò )中心必須符合 PCI DSS 的原因是它有助于保護您的客戶(hù)數據。如果您的聯(lián)絡(luò )中心發(fā)生數據泄露并且客戶(hù)數據受到損害，則可能會(huì )對您的業(yè)務(wù)造成破壞性影響。您不僅要對任何損害負責，而且還可能會(huì )失去客戶(hù)的信任。

　　為了防止數據泄露，監控員工活動(dòng)非常重要，因為大部分數據泄露都有內部來(lái)源。不幸的是，許多聯(lián)絡(luò )中心沒(méi)有適當的監控，使他們容易受到惡意或疏忽員工的攻擊。

　　有許多不同的方法來(lái)監控員工的活動(dòng)。過(guò)去，最有效的方法之一是視頻監控，但隨著(zhù)虛擬或混合聯(lián)絡(luò )中心的興起，這是不可行的--誰(shuí)喜歡在工作中被視頻監控？

　　一種不那么侵入性且高效的方法是結合實(shí)時(shí)監控（主管強插正在進(jìn)行的呼叫）、屏幕捕獲（允許您以高質(zhì)量記錄多個(gè)屏幕）和 AI 驅動(dòng)的座席評估。

　　為您的通話(huà)錄音文件加水印是確保它們不會(huì )被篡改的最佳方法之一，并且在發(fā)生爭議時(shí)將被接受為證據。水印是嵌入在文件中的小而透明的圖像。水印看不到也聽(tīng)不到，但可以用來(lái)識別文件的來(lái)源。

　　例如，MiaRec提供了一個(gè)強大的工具，用于對音頻文件進(jìn)行防篡改水印，以確保數據完整性。這可以通過(guò)在許多數字數據傳輸中使用"校驗和"方法來(lái)保證。"校驗和"是一種數學(xué)函數，可為每個(gè)文件生成唯一值。即使文件中的一個(gè)字節被更改，校驗和也會(huì )不同，這可用于檢測對文件所做的任何更改。

　　監控活動(dòng)日志是識別潛在安全風(fēng)險的關(guān)鍵步驟。日志文件可以幫助您查看員工在他們的計算機上正在做什么以及他們何時(shí)執行這些操作。此信息可用于識別任何潛在的安全問(wèn)題。

　　通過(guò)跟蹤誰(shuí)在訪(fǎng)問(wèn)什么數據以及何時(shí)訪(fǎng)問(wèn)，您可以快速識別可能表明企圖破壞的異常或可疑活動(dòng)。活動(dòng)日志應包括每一項活動(dòng)，包括管理活動(dòng)。

　　您應該監控許多不同的日志類(lèi)型，包括應用程序日志、系統日志和數據庫日志。根據您的聯(lián)絡(luò )中心基礎設施，您可能還需要監控 Web 服務(wù)器日志和防火墻日志。請務(wù)必注意，活動(dòng)記錄與通話(huà)記錄不同。通話(huà)錄音會(huì )捕獲通話(huà)的音頻，而活動(dòng)記錄會(huì )跟蹤系統上發(fā)生的事情。

　　定期安全審計對于識別潛在的安全風(fēng)險和確保您的聯(lián)絡(luò )中心符合行業(yè)法規至關(guān)重要。在安全審計期間，外部方將檢查您的聯(lián)絡(luò )中心基礎設施和程序，以確定任何弱點(diǎn)。他們還將評估您對行業(yè)法規的遵守情況。

　　安全審計應定期進(jìn)行--至少每年一次。如果您經(jīng)歷過(guò)數據泄露或正在引入新技術(shù)，您可能需要更頻繁地進(jìn)行審計。安全審核完成后，您將獲得一份報告，其中詳細說(shuō)明了已識別的任何風(fēng)險以及需要采取哪些措施來(lái)減輕這些風(fēng)險。

　　基于角色的訪(fǎng)問(wèn)權限是任何安全策略的重要組成部分。它們確保只有授權用戶(hù)才能訪(fǎng)問(wèn)敏感數據和系統。使用基于角色的訪(fǎng)問(wèn)權限，您可以控制用戶(hù)在您的聯(lián)絡(luò )中心內可以查看和執行的操作。這可以防止對敏感數據的未經(jīng)授權的訪(fǎng)問(wèn)，并有助于確保符合行業(yè)法規。

　　基于角色的訪(fǎng)問(wèn)權限還可以更輕松地管理用戶(hù)權限。無(wú)需為每個(gè)單獨的用戶(hù)分配權限，您只需將角色分配給一組用戶(hù)即可。這可以節省時(shí)間并更容易跟蹤誰(shuí)可以訪(fǎng)問(wèn)什么。

　　最后，基于角色的訪(fǎng)問(wèn)權限通過(guò)使黑客更難訪(fǎng)問(wèn)您的系統來(lái)幫助提高安全性。通過(guò)使用基于角色的訪(fǎng)問(wèn)權限，您可以使黑客更難猜測密碼和訪(fǎng)問(wèn)敏感數據。這是因為每個(gè)用戶(hù)只能訪(fǎng)問(wèn)其工作所需的數據和系統。

　　有據可查的安全性和法規遵從性政策對于任何組織來(lái)說(shuō)都是必不可少的，無(wú)論其規模大小。它應概述為確保數據（尤其是敏感的客戶(hù)數據）安全而必須遵循的程序，并詳細說(shuō)明不遵守該政策的后果。

　　所有員工都應了解安全政策并被要求簽署。書(shū)面政策應定期審查并在必要時(shí)更新。保持最新的安全策略以反映最新的風(fēng)險和威脅至關(guān)重要。

　　專(zhuān)業(yè)提示：您可以使用 AI 驅動(dòng)的關(guān)鍵字提取，通過(guò)查找政策文檔中概述的特定觸發(fā)詞來(lái)確保您的座席遵守您的政策。

　　黑客訪(fǎng)問(wèn)聯(lián)絡(luò )中心系統的最常見(jiàn)方式之一是通過(guò)員工錯誤。例如，員工可能會(huì )不小心點(diǎn)擊網(wǎng)絡(luò )釣魚(yú)電子郵件或下載惡意附件。

　　這就是為什么對您的聯(lián)絡(luò )中心座席進(jìn)行安全風(fēng)險培訓以及如何避免這些風(fēng)險至關(guān)重要的原因。除了一般的安全意識培訓外，您還應該提供有關(guān)員工使用的系統和應用程序的特定培訓。

　　網(wǎng)絡(luò )安全培訓應涵蓋各種主題，包括社會(huì )工程、網(wǎng)絡(luò )釣魚(yú)、密碼管理和數據保護。對員工進(jìn)行與聯(lián)絡(luò )中心相關(guān)的特定風(fēng)險的教育也很重要。例如，座席可能成為攻擊者的目標，這些攻擊者試圖通過(guò)借口或其他社會(huì )工程技術(shù)獲取敏感的客戶(hù)數據。

　　專(zhuān)業(yè)提示：應定期進(jìn)行培訓，至少每年一次。還應讓員工了解不遵守前面提到的安全政策的后果。有關(guān)如何使用語(yǔ)音分析更好、更有效地培訓員工的具體提示，請查看本文。

　　聯(lián)絡(luò )中心是任何業(yè)務(wù)的關(guān)鍵部分，負責處理客戶(hù)交互和敏感數據。但是，由于他們的工作，他們也面臨著(zhù)安全漏洞和數據泄露的高風(fēng)險。了解您的聯(lián)絡(luò )中心可能存在風(fēng)險的跡象非常重要，這樣您就可以采取措施避免安全漏洞。

　　您的聯(lián)絡(luò )中心面臨風(fēng)險的一些跡象包括缺乏安全協(xié)議、密碼管理不善、身份驗證方法薄弱、缺乏基于角色的訪(fǎng)問(wèn)權限以及缺乏員工網(wǎng)絡(luò )安全培訓。通過(guò)采取措施解決這些風(fēng)險，您可以幫助保護您的聯(lián)絡(luò )中心免受安全漏洞的影響。

　　聲明：版權所有 非合作媒體謝絕轉載

　　作者；Anthony Perez

　　原文網(wǎng)址：https://blog.miarec.com/10-signs-that-your-contact-center-is-at-risk-for-a-security-breach