oбзор

Обзор: ИТ в ритейле 2013

Онлайн-ритейл: как гарантировать безопасность

Онлайн-ритейл: как гарантировать безопасность

Идея продавать товары через интернет тесно связана с обеспечением комфорта и безопасности для потребителей. Потребителями ИБ-решений в данном случае являются не только покупатели, но и сами электронные ритейлеры и их партнеры. Чего конкретно они должны и хотят получать от ИБ?

Объем российского рынка электронной коммерции эксперты уверенно характеризуют цифрами свыше $10 млрд, а темпы его ежегодного роста оценивают в десятки процентов в год. По сравнению со многими другими рынками, эти цифры звучат впечатляюще. Но в общем и целом, долю e-commerce в обороте российского ритейла можно считать более чем скромной – это лишь несколько процентов.



Список причин того, что российский e-commerce никак не займет достойное место в ряду других способов продать товар в розницу, достаточно длинный и хорошо всем известный. Среди них неуверенность в том, что предоставленными для проведения платежа данными виртуальный продавец распорядится должным образом.



Около 10% интернет-магазинов закрывается каждый год, но на смену им приходят новые, во все возрастающем количестве. Некоторые покупатели стараются, во избежание возможных проблем, чтобы сумма остатка на их карточке не превышала стоимость создания и раскрутки небольшого интернет-магазина. Они заводят отдельную карту для покупок в интернет, предпочитают вести расчеты наличными и, в итоге, менее охотно и часто расстаются с деньгами, чем могли бы. Лозунг о том, что e-commerce - это удобно и выгодно, звучит для российских покупателей не слишком убедительно. Для того, чтобы исправить ситуацию, электронный ритейл должен быть еще и безопасен.



Казалось бы, срок доставки товара не особенно влияет на риски при покупке в интернет. Но на практике этот фактор весьма значим для покупателей, сомневающихся в надежности продавца. “Оплата товара, точнее способы и надежность оплаты, а также доставка товара - это два наиболее важных аспекта функционирования e-commerce в любой стране. И Россия здесь не исключение. Предложите своему покупателю удобный для него способ оплаты и гарантируйте ему доставку товара в день покупки, и вы сразу же окажетесь в лидерах рынка,” – поделился мнением представитель интернет- гипермаркета электроники “Ютинет”.



Безопасность платежной инфраструктуры


Основным регулятором вопросов безопасности карточных платежей в РФ долгое время были стандарты международных платежных систем - в силу их доминирующего положения на отечественном рынке. Увеличить объем обслуживаемых российских транзакций стремятся сегодня многие крупные системы электронных платежей, например, PayPal. Все более популярными в сфере e-commerce становятся Яндекс-Деньги, Web Money, Qiwi. Практикуются и другие способы оплаты. Необходимость подключить к сайту очередной платежный сервис заставляет электронных ритейлеров делать дополнительные шаги навстречу безопасности.



Ускорить процесс нарастания доли электронного ритейла в составе обычного может 161-ФЗ "О национальной платежной системе". По мере того, как будут вступать в силу его положения, вопрос контроля со стороны банка над соблюдением стандартов безопасности интернет-магазинами, прибегающими к его сервисам, станет весьма злободневным. Если клиент воспользуется правом отказаться от “чужой” мошеннической транзакции, а товар вместо него уже кто-то неведомый успеет получить, то ущерб, начиная с 2014 г., будут возмещать осуществившие перевод денег магазину банки или платежные системы, работающие в РФ. И “дырявые” партнеры-коммерсанты, хостящиеся там, где подешевле, станут им ни к чему.



“Говорить о том, к чему все это приведет, пока рано, - рассуждает по поводу 161-ФЗ и e-commerce Евгений Афонин, начальник отдела безопасности банковских систем компании «Информзащита». - Но можно предположить, что разные кредитные и расчетные организации выберут различные пути решения такой проблемы. Кто-то откажется от данного направления бизнеса, перестанет работать с коммерсантами. Другие вложат дополнительные средства в ИБ. Возникнет спрос о страховании транзакций в электронной коммерции, которое пока в РФ не развито. В любом случае, можно предположить, что банки будут ужесточать свои требования к работающим с ними магазинами. И стремиться тем или иным способом переложить на них риски, которые возникают у кредитных организаций в связи с ужесточением регулирования в сфере электронных расчетов.”



Еще более нетривиальный круг вопросов возникает в связи с деятельностью крупных международных платежных систем в России. Что будет, если при использовании платежной системы в РФ не будут своевременно учтены требования 161-ФЗ? В принципе, это выведет платежную систему за рамки российских законов, и осуществлять свою деятельность в РФ наравне с другими платежными сервисами, играющими по российским правилам, она не должна. С другой стороны, во всемирной сети, наверное, можно найти многое, что так или иначе выходит за эти самые рамки.



У международных платежных систем есть свои эффективные и оперативно работающие механизмы по предотвращению мошеннических, или даже просто сомнительных с их точки зрения, платежей путем запрета непонятной транзакции. Окажется ли достаточно интересным соотношение объема проводимых через них в России платежей с возникающими при этом рисками, чтобы крупные зарубежные игроки начали менять свои правила под законодательство конкретной страны? И как конкретно российские законодатели будут препятствовать тем, кто по местным правилам играть не захочет?



Оставляя эти сложные темы в стороне, уже сегодня можно сказать, что изменения в законодательстве должны повысить фактический уровень потребительской безопасности при покупках в интернет со всеми вытекающими отсюда для e-commerce последствиями. Потребители обретут уверенность. А дерзко манкирующие правилами безопасности владельцы торгующих ресурсов рискуют остаться не у дел.



Ритейлеры как потребители


Текущая активность многих российских интернет-магазинов в области заказа услуг ИБ часто ограничивается покупкой у провайдеров отдельных сервисов защиты от DDoS, причем небольшие магазины не делают даже этого. Изменения законодательства, рост фактического уровня требований, предъявляемых к магазинам со стороны работающих с ними партнеров и покупателей, а также собственные коммерческие интересы ритейлеров ведут к тому, что спрос на ИБ со стороны e-commerce постепенно растет, а уделившие достаточное внимание этому вопросу крупные отечественные игроки электронного ритейла начинают получать определенные конкурентные преимущества, увереннее чувствовать себя в условиях постепенной консолидации нового рынка.



“Основной канал продаж в электронной коммерции - это интернет. Нельзя забывать про издержки, которые, при неработающем сайте, автоматически превращаются в прямые убытки: маркетинговые расходы, аренда склада, и т.д., - рассказал CNews представитель интернет-гипермаркета «Ютинет». – Сегодня в большинстве компаний применяется обязательное дублирование всех служб и сервисов, которые должны позволить восстановить работоспособность сайта в течение нескольких минут, если произойдет какой-либо сбой. Более того, все персональные данные клиентов необходимо хранить в зашифрованном виде. Это позволит рассчитывать на сохранение конфиденциальной информации в случае сбоя системы.”



На многих электронных ритейлеров можно посмотреть как на потребителей, которым нужна доступная по цене безопасность, реализуемая через комплексные автоматизированные продукты и сервисы, упакованные в простой, понятный интерфейс, обеспечивающие в совокупности многоуровневую защиту потока транзакций и накопленных данных. Интересное, с точки зрения погруженного с головой с торговлю интернет-бизнесмена, решение проблем с ИБ должно одновременно подразумевать высокую степень самообслуживания с возможностью прибегнуть к дополнительным сервисам, организованным по схеме ИБ-аутсорсинга, в особенно сложных случаях. Отдельное преимущество получают ИБ-продукты и сервисы, предынтегрированные с чем-нибудь еще, уже и так используемым в электронном ритейле.



“Выделил бы две группы операторов электронной коммерции с полярным отношением к проблеме ИБ. Первая: крупные торговые площадки, которые, как правило, имеют политику безопасности, специалистов в штате и пр. Вторая: мелкие интернет-магазины, которые этим вопросом не озабочены, кроме отдельных исключений, - сегментирует электронную торговлю Дмитрий Васильев, генеральный директор NetCat. – Даже если у владельца магазина встает вопрос: “Будет ли мой проект безопасным?”, он, как правило, полагается на встроенные в используемую CMS решения. Аналогично сегментируются и услуги, связанные с ИБ. Например, полноценный технический аудит ИС - услуга дорогая и редко востребованная, а автоматизированная, менее глубокая проверка системы на наиболее известные уязвимости - вполне доступная.”



CMS и новые измерения безопасности


Всесторонняя защита CMS и дописанного к ней кода в процессе работы продающего сайта составляет, пожалуй, главную тему, относящуюся к ИБ в e-commerce. “Ни в одном типовом контракте на разработку сайта вы не найдете раздела, посвященного полноценному аудиту безопасности, поскольку это вещь достаточно дорогая, – обозначил одну из проблем Сергей Рыжиков, генеральный директор «1С-Битрикс». – В свое время мы вывели на рынок монитор производительности приложений. У хостеров, владельцев сайта и разработчиков появился повод для предметного разговора на тему скорости работы сайтов”.



“В марте этого года мы первыми, не только в России, но и в мире, вывели на рынок новый сервис – сканер безопасности, интегрированный с CMS, – сообщил спикер. - Он позволит противопоставить обычному в таких случаях тезису разработчиков, доводящих сайт под требования клиента - “все что мы делаем, то и безопасно”, - некие объективные, измеримые данные, о которых заказчики смогут предметно поговорить в том числе и со специалистами по ИБ”.



Предлагаемая клиентам схема защиты сайта достаточно сложная, многокомпонентная. Но для пользователя все выглядит просто и понятно. Важным моментом является добавление нового измерения безопасности - защиты на уровне взаимодействия приложения с хостингом. WAF постоянно проверяет пользовательский трафик на предмет устранения возможных SQL-инъекций, ХSS и всякого рода вредоносных запросов, накапливая данные по ним в логе. Web-антивирус работает с исходящим трафиком на тот случай, если чужой код попытаться как-то внедрить в сгенерированную пользователю страницу в обход файрвола, например – через канал FTP.

Сканер запускается по запросу администратора сайта. Сначала проводится его внутренняя проверка на уровне настройки конфигурации и пр., затем проверятся код сайта - как CMS, так и дописанный разработчиками, рассказывает Сергей Рыжиков.

На третьем этапе сканер обращается к облачному сервису и решение, установленное у хостера, проходит внешнюю проверку уже на системном уровне. Это позволяет владельцу сайта самому, простым способом регулярно оценивать и предотвращать угрозы и уязвимости в комплексе, не полагаясь всецело на мнение непосредственных разработчиков сайта.



Сервисы и аппараты


Многие успешные коммерсанты ищут сегодня для своих интернет-ресурсов оптимальное сочетание производительности, которая выше всего при аппаратной реализации средств защиты. И оперативного сервиса, позволяющего в какой-то степени воспринимать ИБ-вендора и провайдера как коллегу и партнера по бизнесу.



“После высокопроизводительной очистки легитимного сетевого трафика, позволяющей защитить от мультимиллионных атак типа DDoS, начинается работа процессоров, определяющих атаки на уровне приложений, выявляющих поведенческие аномалии и пр., после чего он проходит через IPS с логированием данных для системы отчетности. Аппаратное устройство DefensePro может работать автоматически. В сложных случаях, при поступлении анонимных угроз и пр., есть дополнительный сервис минутной доступности для удаленного мониторинга устройства нашими инженерами,” – рассказал Алексей Кушнир, региональный директор по СНГ Radware DefensePro.



На электронный ритейл, так же, как и на торговлю обычную, сильно влияет сезонность спроса. В то же время, e-commerce часто быстрее реагирует на SaaS-предложения, в том числе и в сфере ИБ. “WAF AppWall также рассчитан на автоматическую работу, поскольку сам способен зонировать (и перезонировать при каждом изменении) сайт, выбрать, или предложить администратору, и применить раздельные политики безопасности. Его не обязательно покупать, решение допускает виртуализацию для работы под VMware и т.д. Американские хостеры сейчас активно предлагают сервис elastic WAF, реализованный на базе AppWall, где оплата идет от трафика. Но главный российский стимул при покупке – это пока, скажем так, реакция на уже случившееся, а не проактивность,” – отметил Алексей Кушнир.



ИБ для хостера


Хостерам, обеспечивающим ИБ для своих клиентов из e-commerce, тоже нужны интегрированные решения. “Серверная платформа безопасности Deep Security позволяет обеспечить ИБ инфраструктуры ЦОД, начиная от физических серверов и заканчивая облачными сервисами. Комплексное решение защищает виртуализированные системы и сами гипервизоры, позволяя контролировать их целостность. Закрывает вопросы антивирусной защиты в привязке к распределенным, высоконагруженным системам, обеспечивает межсетевое экранирование, функции IPS, WAP и др., обеспечивая сбор данных и отправку их в SIEM и предоставляя единый, удобный пользователю интерфейс. Решение сертифицировано на соответствие основным международным стандартам, нормативным требованиям, действующему российскому законодательству”, - сообщил Николай Романов, технический консультант Trend Micro РФ и СНГ.



Всем нам нужен ток в розетке и свет от лампочки, но не каждый готов постоянно ходить по дому с паяльником, тестером и мотком провода, перекинутым через плечо. Примерно в этом духе и ключе развивается сейчас ИБ применительно к e-commerce. Потребительская безопасность в web, во всех ее смыслах и аспектах, постепенно становится для ритейлеров из интернета актуальной потребностью. Техническая реализация может и должна в наши дни быть сложной, но электронный ритейл явно желает удовлетворять свою потребность в ИБ максимально простым и естественным, с точки зрения конечных пользователей, путем.

Антон Степанов

Вернуться на главную страницу обзора