Säkerhet i kontaktcentret (del 2/2): ”Kontaktcentret är inte den primära angreppsytan”

kontaktcenter Leverantören Mitel ser inte att kontaktcentret är särskilt utsatt för cyberattacker, men tipsar ändå om lämpliga förebyggande åtgärder.

Säkerhet i kontaktcentret (del 2/2): ”Kontaktcentret är inte den primära angreppsytan”

Kontaktcentret är inte den mest utsatta komponenten i organisationens flora av komplexa it-system. Det lugnande beskedet kommer från kontaktcenterleverantören Mitel och dess teknikexpert Fredrik Karlsson.Men visst finns det potentiella möjligheter för en angripare att sikta in sig på ett kontaktcenter, något som också riskerar att öppna möjligheter att komma åt andra system som är integrerade med kontaktcentret på olika sätt. Den data som är åtråvärd för en angripare är ju exempelvis kontouppgifter, kreditkortsnummer osv som ligger i olika typer av affärssystem.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Telekom idag premium

Läs vidare – starta din prenumeration

  • Tillgång till vår digitala Premium-tjänst om professionell kommunikation.
  • Nischade nyhetsbrev för Professional och Contact Center.
  • Få tillgång till alla avsnitt i vår utbildnings-tv om Teams, SD-Wan och Chattbotar.
  • Sex papperstidningar om året med tydligt fokus på Telekom-branschens viktigaste frågor.
Redan prenumerant?

– Det tekniska perspektivet har egentligen alla typer av it-system gemensamt. Det handlar om att kryptera data så att den inte kommer på avvägar samt att ha koll på rättigheter, lösenord och sådana saker, säger Fredrik Karlsson.

Harmoniera med andra it-system

Mitels generella råd till kunderna är att säkerheten i kontaktcentret ska harmoniera med de lösningar som finns i andra it-system inom organisationen, vilket bland annat kan innebära en koppling till företagets övriga inloggningsinfrastruktur.

– Det finns ju några olika definierade sätt att göra det med SAML och Open ID, så då kan vi ärva hela den behörighetsinfrastrukturen. Om någon slutar på företaget så försvinner kontot och möjligheterna att logga in i kontaktcentret.

– Det största problemet hos våra kunder är att man kanske inte är så snabba med att ta till sig de nya tekniker som möjliggör att vi höjer säkerheten ett snäpp. Man kanske tycker att man har något som fungerar och då vill man inte röra det, fortsätter Fredrik Karlsson.

Något som har direkt koppling till inloggning och användarkonton är att det finns olika behörighetsnivåer i kontaktcenterplattformen. Här gäller det så klart att se till att de olika användarna ligger på korrekt rättighetsnivå så att de bland annat bara får tillgång till de olika typer av kanaler som de är utbildade för.

Kontaktcenterchefer och utvecklare har högre behörighetsnivåer som bland annat låter dem gå in och lyssna på konversationer eller bygga integrationer till andra system, ett område där kontaktcentervärlden ligger långt framme när det gäller så kallad low code- eller no code-utveckling.

– När man är på den nivån är det otroligt känsligt vad jag faktiskt kan göra för någonting, på gott och ont, säger Fredrik Karlsson.

Banker åtnjuter högt förtroende

Han tar vidare upp den kundmässiga aspekten av säkerhet, där det gäller att bygga upp ett förtroende och samtidigt vara transparent. Här nämner han finansbranschen som ett lyckat exempel eftersom exempelvis banker åtnjuter ett högt förtroende bland kunderna när det gäller hanteringen av säkerhetsfrågor.

I finansvärlden är det vanligt att kunder identifierar sig direkt i kontakten med företag och här ligger Sverige långt framme med användningen av bank-id och liknande tjänster för säker inloggning.

– Sverige är lyckligt lottat med Freja, BankID och den typen av lösningar som adresserar kundmötet och det vore kanske önskvärt i vissa fall att placera fler saker som handlar om kundkommunikation bakom en sådan identifieringsmekanism, resonerar Fredrik Karlsson.

Ska vara lätt att göra rätt

När det kommer till medarbetarna i kontaktcentret så är det viktigt att det ska vara lätt att göra rätt när det gäller de säkerhetsmässiga aspekterna. Om något i systemet fallerar ska det till exempel per automatik inte falla inom medarbetarens ansvar att se till att säkerheten upprätthålls. I stället kan man bygga integrationer som förhindrar att exempelvis transaktioner inte går igenom om inte inspelning av samtal fungerar som det är tänkt.

Även om Fredrik Karlsson är av uppfattningen att kontaktcenter inte tillhör de primära system som brukar bli måltavlor för cyberattacker, så kan kontaktcentret mycket väl följa med i fallet. Om företaget utsätts för en överbelastningsattack, så kallad ddos-attack, så kan följden bli att vissa kontaktkanaler, till exempel chatten, sätts ur funktion.

– Rent teoretiskt skulle någon också kunna attackera chatten för att sänka den kanalen, men det är vanligtvis inget som vi ser hända. Däremot kan man öppna upp en sårbarhetsvektor via chatten eller andra kanaler.

Skadliga länkar skickas via mejl

En vanlig attackmetod just nu är att en skadlig länk infogas i ett mejl, eller annan typ av meddelande, och om man inte har vidtagit rätt skyddsåtgärder så kan man som användare råka aktivera skadligt innehåll genom att klicka på en länk eller fil.

Många som tar emot e-post har hyfsad koll på vem som är avsändaren, men om man arbetar inom kundservice hanterar man allsköns olika kunder som både chattar och skickar olika slags textmeddelanden, bland annat via sociala medier.

– Här öppnar man en sårbarhetsvektor som riskerar att bli kritisk och här ska man kanske fundera på att identifiera kunderna innan man låter dem skicka information till företaget. Man kan också använda systemet för att selektera vilka användare som får skicka visst slags innehåll.

Fredrik Karlsson nämner Skatteverket och hur de drar en skarp gräns mellan inloggade och icke identifierade kunder, där endast den första kategorin tillåts chatta med en mänsklig medarbetare i kontaktcentret.

Stora organisationer har bäst skydd

För att minimera riskerna när man öppnar nya kontaktvägar, som exempelvis chatt, kan man genomföra så kallade penetrationstester och försöka säkerställa att man inte riskerar att få in skadlig kod. Men enligt Fredrik Karlsson är risken att endast större företag och organisationer, med fler resurser tillgängliga på it-avdelningen, lyckas skydda sig mot dessa hot på ett tillräckligt bra sätt.

I dag väljer många att migrera sin kontaktcenterplattform till en molnbaserad lösning och här finns flera säkerhetsmässiga fördelar när det kommer till nya kanaler som exempelvis chatt. Däremot kan de uppstå ett annat slags säkerhetsproblematik:

– Från att du behöver it-kompetens så behöver du i stället avtalskompetens och lag- och regelefterlevnadskompetens. I slutändan förlitar du dig helt på ett annat företag som ska kontrollera säkerheten och det sker intrång och läckage med jämna mellanrum som kanske inte skulle ha inträffat om man i stället använt en kundplacerad lösning.

”Behöver olika kompetenser för att hantera frågorna”

– Jag skulle inte säga att det ena nödvändigtvis är bättre eller sämre än det andra, men du behöver olika kompetenser för att hantera säkerhetsfrågorna beroende på vilket vägval du gör och som organisation så blir du inte mindre ansvarig för säkerheten även om du lägger ut kontaktcentret i en molntjänst, fortsätter Fredrik Karlsson.

Om olyckan väl är framme och hela eller delar av ett företags it-system slås ut så kan följden bli att kundservice får en oerhört viktig funktion när kundtrycket snabbt ökar.

– Det är viktigt att ni kan vara tillgängliga och besvara frågor även om ni kanske inte kan göra så mycket åt saker och ting. Ni måste kunna fortsätta kommunicera som företag, säger Fredrik Karlsson.

Senaste artiklarna

Telekom idag

Telekom idag Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv om aktuell teknik.