Парадокс «скрытых денег»
Деньги — несущая конструкция бизнеса и смысл предпринимательства как такового. Хакеры с энтузиазмом стремятся деньгами завладеть, а предприятия много инвестируют, чтобы этому помешать. Вот почему укрепление информационной безопасности слоя финансовых транзакций — в центре внимания корпоративного кибербеза. А вот программы лояльности с присущими им милями и баллами (фактически аналогом денег) остаются словно на периферии таких мер. Баллы и мили не выглядят деньгами, однако экономически они ведут себя именно как обязательства компании перед клиентом и/или партнером. Когда бьют по программам лояльности, бьют по деньгам. Просто в другой форме.
Кейсы это подтверждают. В 2025 году атака на «Аэрофлот Бонус» нарушила работу системы на несколько дней; в
Инсайт для CEO. Инцидент с программой лояльности — это не очередной «сбой на периферии». Это событие, которое легко пересекает порог недопустимого. Налицо прямые издержки в виде дополнительной эмиссии баллов неавторизованным способом для использования в качестве оплаты товаров и сервисов; операционные потери (сбои бронирований, нагрузка на поддержку), юридические и репутационные последствия. Проще говоря, атака на лояльность — ещё один способ ударить по финансовому результату организации и по доверию к компании со стороны клиентов и партнеров.
«Баллы — это деньги»: не фигура речи
Минутка юридического ликбеза. С финансово-правовой точки зрения бонусные баллы/мили — обязательство компании перед клиентом. В понятиях МСФО (IFRS 15), любая обещанная награда учитывается как договорное обязательство/отложенная выручка и «распускается» в доход только когда клиент погашает награду (или когда баллы истекают). Иначе говоря, пока баллы на счетах — это ваш долг, а не доход.
Данный тезис из МСФО фигурирует в отчетности того же национального перевозчика. В документах для инвесторов у «Аэрофлота» есть строка Deferred revenue related to frequent flyer programme (отложенная выручка по программе лояльности) — и текущая, и долгосрочная. То же самое видим и у западных авиакомпаний. Скажем, та же Delta описывает loyalty program deferred revenue и признание дохода по мере погашения миль.
Одновременно в правилах самой программы подчеркивается, что мили не являются денежным эквивалентом для участника: «выплата денежного эквивалента... не производится», мили — «неденежные условные единицы». То есть, клиент не может требовать деньги, но оператор программы лояльности обязан обеспечить обещанную ценность (перелёт/услугу/возможность приобрести товар за баллы). А значит — держать под неё финансовый резерв.
Как это работает в экономике компании? Когда вы продаёте товар или сервис и вознаграждаете клиента милями или баллами, часть цены распределяется на будущую награду и идёт в обязательства. Когда клиент списывает мили, вы уменьшаете обязательство по программе и признаёте соответствующую выручку; одновременно отражаете расход — либо себестоимость предоставленного перелёта/товара, либо платеж партнёру, если награда погашена у него.
Если мили/баллы украдены и злоумышленники успели их погасить, у компании возникает расход — себестоимость предоставленной услуги или расчет с партнером. Если при этом вы как оператор программы лояльности восстанавливаете баланс клиенту, вы дополнительно увеличиваете отложенную выручку (обязательство) на сумму восстановленных миль. Это двойной удар по P&L: расход уже случился, а обязательство снова на месте.
Если погашение удалось отменить/откатить, расход снимается, а восстановление лишь возвращает обязательство к исходному уровню.
Любая дополнительная эмиссия свыше исходного баланса (компенсация «угнанных баллов») — это чистое увеличение обязательств и будущих расходов при погашении.
Инсайт для CEO. Баллы отражаются в балансе как обязательство. Их кража или недобросовестное списание — это финансовая проблема с очень вероятными юридическими последствиями, а никакая не «маркетинговая мелочь». За возникшие потери спросят не только клиенты, но и собственники, аудиторы и регуляторы.
Лояльность как новая поверхность атаки
Теперь вернемся в более привычный мир технологий. Программы лояльности живут на стыке ИТ, маркетинга и партнерской сети. Это десятки интеграций: мобильное приложение и личный кабинет, API партнёров, платформа e-commerce, колл-центр, внешние провайдеры доставки и оплаты, иногда — отдельный SaaS-вендор «лоялки». Каждый узелок этой сети — потенциальная точка входа. Чем больше этих узелков, тем существеннее поверхность атаки. Через оптику бизнеса защита программ лояльности нередко воспринимается как часть маркетинга, поэтому она бывает защищена хуже «основных» платежных систем.
Как пользуются такими пробелами киберпреступники?
● Захват аккаунтов (credential stuffing/фишинг). Массовые попытки входа с утекшими паролями и списание баллов на чужие покупки. Российский ритейл в пандемийных
● Слабые/"доверенные" интеграции. Атакуют партнёра. Он может владеть избыточными правами в API, быть подрядчиком колл-центра, владеть сервисным ботом. И вот уже через него злоумышленник получает легитимный канал для манипуляций с начислениями/списаниями.
● Отсутствие антифрода на транзакциях с баллами. По старой памяти считается, что «баллы — это не деньги». Значит, правила для них мягче: нет скоринга операций, нет порогов/лимитов, нет аномалий на уровне устройства/геопозиционирования. Чем хакеры успешно пользуются.
Инсайт для CEO. Атака на «лоялку» — не сбой на периферии. Она легко «переламывается» в недопустимое событие: на украденные баллы куплены собственно сервисы владельца программы, либо куплены товары у партнеров; лишившиеся своих баллов пользователи атакуют поддержку, перегружая ее; партнёры и регуляторы задают вопросы. Экономика проста: баллы ведут себя как квазиналичные, а значит, инцидент автоматически превращается в финансовую и операционную проблему. И уж точно превышает по своими масштабам «инцидент в департаменте маркетинга».
Как защитить программу лояльности
Есть две новости. Начнем с хорошей: защита программы лояльности в принципе возможна. Плохая состоит в том, что такая защита — это мультидисциплинарный процесс на стыке security, antifraud и продуктового управления. И именно в этой «сложносочиненности» кроется успех. И одновременно заключается главный вызов с организационной точки зрения.
Очевидно, для решения такой специфической задачи следует формировать команду так, чтобы она сочетала базовые компетенции с уникальным опытом, свойственным защите программ лояльности.
К базовым компетенциям следует отнести мониторинг угроз. Он осуществляется средствами SIEM/XDR и включает в себя события входа, смены реквизитов, списаний, операций «по доверенности», API-запросы партнёров.
Здесь же будет управление доступом (IAM): роли, минимально необходимые привилегии, жёсткий offboarding при увольнении (в один клик отключать учетку покидающего компанию от всех информационных систем), ключи/токены партнёров, секрет-менеджмент. И третья базовая компетенция — реагирование на инциденты: тематические плейбуки с условными названиями «Массовое списание», «Волна захватов личных кабинетов», «Компрометация партнерского API».
С уникальными акцентами несколько интереснее. Очевидно, что для «обычных» безопасников такой опыт либо не свойственен вообще, либо свойственен в меньшей степени.
В структуре коллектива необходим антифрод-эксперт, который разработает и наладит мониторинг поведенических моделей списаний, лимиты/скоринг транзакций, антибот-фильтры на регистрацию/вход.
Скорее всего, понадобится продуктовый аналитик. Он сформирует понимание «экономики баллов» (стоимость награды, партнерские расчеты), чтобы команда получила возможность быстрее и лучше находить злоупотребления, не удушив нормальный пользовательский UX.
Будут нелишними компетенции по безопасности интеграций, в рамках которых отдел будет постоянно проверять партнёрские API, изоляцию прав подрядчиков и call-центров, осуществлять контроль за «серыми» каналами (скрипты, боты).
И, как ни странно, в состав команды будет уместно включить пиарщика. Он подхватит кризисные коммуникации. Как минимум разработает и настроит для немедленного реагирования шаблоны для клиентов/партнеров/регуляторов, чтобы возвращать доверие в течение часов, а не недель.
А что по этим компетенциям на рынке? С одной стороны, идеально подходящие кандидаты встречаются редко. Их придется перекупать в финтехе/маркетплейсах/телекоме, реже — в авиаперевозках и офлайн-ритейле. С другой стороны, смежные специалисты встречаются — не сказать, что очень часто, но найти можно. Антифрод-аналитиков и специалистов по созданию безопасной пользовательской среды можно усилить опытными экспертами в сфере программ лояльности и тем самым сбалансировать компетенции.
Нужно быть готовыми к тому, что уровень компенсации для будущих сотрудников таких междисциплинарных команд будет несколько выше «универсальной» ИБ-позиции как раз из-за бизнес-критичности функций такой команды — даже если она не проговаривается вслух. Реально опытных свободных специалистов мало. А те, кто будет согласен на переговоры о смене работы, в рамках собственного опыта уже осознали свою экспертную ценность для бизнеса. Поэтому будет рационально планировать постоянное повышение квалификации в рамках предметной области для сотрудников с классическим ИБ-бэкграундом. Скажем, чтобы со временем переучить SOC/аналитика данных в аналитика antifraud для программ лояльности.
На протяжении переходного периода имеет смысл опираться на внешних партнеров для стартовой настройки правил/моделей безопасности программ лояльности, а также для отладки процессов внутри команды — пока еще не все специалисты вышли на свою «проектную мощность».
Инсайт для CEO. Защищать «лоялку» следует в контексте микса ИБ, antifraud и продуктовой логики. Без модели рисков и понимания экономики баллов security-контроли либо «пережмут» клиентский UX (и программой лояльности будет невозможно пользоваться), либо пропустят то, что реально классифицируются как недопустимое событие. Оптимальная форма — небольшая кросс-функциональная «ячейка» с ясными метриками и полномочиями.
Заключение
Программы лояльности из чисто маркетинговой истории превратились в новую линию киберфронта. На ней компании защищают не абстрактную «приверженность бренду», а вполне материальные обязательства. Баллы — это деньги, а атака на них — бизнес-риск, способный быстро перейти порог недопустимого события.
Из этого следует простая управленческая логика: защита «лоялок» должна быть встроена в общую стратегию кибербезопасности и риск-менеджмента наравне с платежами и ключевыми операциями. Важно не только сохранить доверие клиентов. Важно сохранить деньги, предсказуемость P&L и избежать лишних вопросов со стороны регуляторов и правоохранителей.
Иными словами, пока в отчетности баллы учитываются как обязательство, в практике управления они должны учитываться как деньги. Всё остальное — детали реализации.
