Будет трушная история, которую я никогда не рассказывал, но расскажу сейчас.
Жил всяк бизнес не тужил, делал себе сайты один раз и на всю жизнь. А потом наступил 22 год и пошли кибератаки. Мы, как вендор, усилили всякие процессы по ИБ, подключили больше пентестеров и белых хакеров для исследований, начали еще чаще выпускать всякие фиксы всех возможных уязвимостей и обновления безопасности.
И самое большое заблуждение с которым я тогда жил - "если человеку 10 раз объяснить, что чтобы не взломали нужно прежде всего обновлять софт - он его обновит"
С тех пор маркетинг обновлений стал для меня и самым большим челленджем, и самым страшным ночным кошмаром. Мне нужно было разобраться. Я общался с кибербезниками, чтобы перенять их опыт. Я подключался ко всем возможным расследованием, чтобы разобраться в паттернах. Я сам голосом звонил пострадавшим от взломов и разбирался с ними, что у них пошло не так. Я даже подключил реального психолога, с которым разбирал причины, по которым люди не хотят устанавливать обновления.
Обычно диалог с владельцами сайтов выглядит так:
- - Когда последний раз ставили обновления?
- - Ну мы сайт запустили в 2018 с агентством и больше не трогали.
- - А почему не ставили?
- - Ну сайт работает. Работает - не трогай.
- - Если бы вы его обновили - он бы перестал работать?
- - Подрядчик сказал, что надо проверять.
- - Вы нашу рассылку читали что "Ваш сайт в опасности?"
- - Да, видел письмо.
- - А новости смотрите?
- - Ну да.
- - А почему тогда не обновляли?
- - Ну не знаю, у меня ж все работает, а хакерам мой бизнес нафиг не сдался.
Нет, справедливости ради - иногда бывают и объективные барьеры, которые усложняют обновления. Жесткая кастомизация, которую надо тестировать. Подрядчики, если в штате нет технарей. Отсутствие процессов CI/CD.
И вот у нас сейчас в маркетинге выстроен отдельный омниканальный процесс маркетинга обновлений. Мы уже научились не просто говорить "обновляйтесь", а помогать тем, для кого это реально сложно. Это не только информирование по почте и раздел на сайте, как многие думают. Это огромные рекламные посевы. Походы на подкасты и радио. Выступления на конференциях. Отдельный Telegram-канал. Когда ликбиза не хватает - помогает техподдержка в сложных случаях.
По честному - мне всех жалко и хочется помочь. Это для меня прям личная история и личный вызов, как бывшего веб-разработчика. Потому что за несколько лет поиска психологических причин в головах людей я понял, что называть это халатностью - неправильно. Это какие-то глубокие ограничения на уровне прошивки нашего мозга, которые зашиты у нас в подсознании. Нам очень сложно мыслить в категориях будущих рисков, и мы в этом не виноваты. Поэтому для ИБ так важна дисциплина и выстроенные процессы, даже если ваш бизнес - автосервис.
И это чисто репутационная, и даже социальная тема. Потому что на 1C-Битрикс: Управление сайтом сделан почти весь рунет. Буквально - это миллионы сайтов, посмотрите на исследование наших коллег из CyberOK. Чисто статистически о нас много говорят. И дыра в безопасности у одного сайта из миллионов, который 5 лет не ставил обновления - это потенциальная дыра в репутации для нас. За каждым таким инцидентом - реальный пострадавший человек со своей болью и установками.
Поэтому маркетингу приходится заниматься кибербезом. А количество установленных клиентами обновлений мы заносим буквально в KPI.
Дискуссия