Säkra kunddatan: 5 tips för ditt CRM-system

Ert CRM-system är organisationens nav och innehåller känslig information såsom kunddata, personuppgifter (GDPR) och strategisk marknadsdata. Allt detta utgör tillsammans en högprioriterad attackyta för cyberbrottslingar och ett dataintrång här kan vara förödande. Vi har samlat 5 kritiska åtgärder som snabbt täpper till några av de vanligaste sårbarheterna och hjälper till att trygga er kunddatasäkerhet.

1. Skydda inloggningen genom stark autentisering

Stulna inloggningar – det första steget in mot att någon övertar ert CRM. Yes, ni hör det överallt och vi vet att det kan låta tjatigt, men att enbart förlita sig på lösenord räcker helt enkelt inte längre. MFA (Multifaktorautentisering eller tvåfaktorsautentisering), är idag nödvändigt, kanske den absolut viktigaste åtgärden för att stoppa riktade attacker.

Action:
Ställ in MFA för alla konton som har åtkomst till ert CRM, detta inkluderar anställda, konsulter, partners, och tekniska API-användare.

2. Minimera och segmentera åtkomst i CRM-systemet

När anställda eller konsulter har bredare åtkomst än vad deras roll faktiskt kräver skapar ni en onödig säkerhetsrisk. Om ett dataintrång sker, eller om en medarbetare missbrukar sin behörighet, blir skadan betydligt större. Se till att ni även segmenterar data internt, så att exempelvis säljare i region A inte kan se känslig kunddata för region B, och vice versa Implementera principen om Minsta Behörighet (Least Privilege).

Action:
Gör en access-inventering. Granska regelbundet allas behörigheter i ert CRM och begränsa antalet användare med “mass-export”- eller administratörsrättigheter. Detta skyddar både mot yttre hot och interna dataläckor, samt hjälper er att upprätthålla lagkrav som GDPR.

3. Säkra och övervaka alla API-integrationer

CRM är ofta integrerade med andra system (t.ex. ERP eller marknadsföringsverktyg) och kan via APIer skapa dolda bakdörrar. Dåligt säkrade API-nycklar riskerar att ge angripare direkt tillgång till er systemdata – helt utan att de behöver ta över ett användarkonto.

Action:
Behandla API:er som externa konton.
Inventera även här! Rotera era aktiva API-nycklar regelbundet och se till att de har strikt begränsade behörigheter (se tips 2) till endast den data som är nödvändig för integrationen.

4. Använd datamaskning i test- och utvecklingsmiljöer

Många stora dataläckor sker inte i de system som används av kund – utan i de testmiljöer som utvecklare och konsulter jobbar i. I dessa används ibland riktig kunddata för att testköra nya funktioner, vilket innebär att personnummer och annan känslig information inte alltför sällan ligger öppet och betydligt mindre skyddat än i “riktiga” system.

Action:
Var noga med att ersätta den riktiga datan med falska, men trovärdiga, värden. En adress som Storgatan 3A kan istället bli Fabriksvägen 18. Det ser äkta ut, men är helt påhittat.

5. Håll utkik efter ovanlig aktivitet

Det går inte att stoppa allt i förväg. Trots MFA, brandväggar eller andra skydd kan ibland det värsta hända, och då är loggar ofta den enda källan till vad som faktiskt hände.

Action:
Se till att en loggningsrutin finns på plats där ni granskar kritiska loggar åtminstone månadsvis. Håll särskilt utkik efter avvikande mönster såsom inloggning från okända platser, behörighetsändringar under konstiga tider eller massnedladdning av data och/eller filer. Använd gärna automatiska säkerhetsverktyg (SIEM) som larmar vid avvikande beteende.

Och du... Glöm inte att träna er första säkerhetslinje: personalen.

Många CRM-intrång börjar med phishing, bluffmail eller ett samtal från någon som uppger sig vara er “IT-support”. En enda felbedömning kan vara tillräckligt för att ge angriparen tillgång.

Gör säkerhetsmedvetenhet till en del av vardagen! Genomför enkla phishingtester och korta utbildningar – särskilt för sälj, marknad och kundservice, som ofta är offer för angriparna.