oбзор

Обзор: ИТ в ритейле 2013

О безопасности заботятся в основном крупные компании

О безопасности заботятся в основном крупные компании

Торговые компании частенько не понимают необходимости внедрения ИБ-решений. Им свойственно заботиться, в первую очередь, о снижении издержек, а ИБ-решения напрямую не влияют на их предотвращение. За системами комплексного управления инцидентами к интегратором обращаются, в основном, крупные компании.

Ритейлеры всем интересуются, но мало покупают. ИБ-решения плохо продаются. К таким тезисам часто сводятся ответы ИТ-компаний о безопасности в ритейле, которые не понимают, как можно пытаться покупать безопасность вперемешку с заправкой картриджей и зачем ждать, чтобы что-то нехорошее случилось, вместо того, чтобы принимать превентивные меры? Инвестиции в безопасность можно просчитать на предмет окупаемости. Так почему же ритейлеры довольно редко это делают?



Торговля, в свою очередь, ждет от “безопасников” реалистичного изложения сути рисков, уязвимостей, угроз для бизнеса и понятного объяснения содержательной части многочисленных решений, которые им предлагают. Идея о том, что можно вложить большие деньги в безопасность, и не получить полной и абсолютной ее гарантии, ритейлеров явно смущает. Смешивать же понятия, игнорировать управленческого плана расчеты и смотреть на то, что же там в итоге остается на расчетном счете – дело для ритейлеров естественное.



Можно предположить, что круг вопросов, связанных с ИБ, они склонны рассматривать в контексте , прежде всего, экономической безопасности. Вопросы эксплуатации торгового оборудования волнуют их не меньше, чем защита ИТ-решений, если она может быть сопряжена с фактическими денежными потерями.



Аргументация на уровне возможных убытков для торговой деятельности, связанных с ИБ, не всегда оказывает на ритейлеров должного влияния. Хотя бы потому, что не все торговые компании заинтересованы в разоблачении мошенников в тех случаях, когда они не нанесли бизнесу прямого материального или репутационного ущерба.



Безопасность и торговое оборудование


Продавцы, систематически обвешивающие покупателей, существовали в торговле всегда. Из более свежих и “технологичных” примеров вспоминается случай, когда злоумышленнику удалось изменить код кассовой программы, в результате чего она перестала правильно сводить баланс. Недостачу наличных в несколько сотен тысяч рублей выявили лишь через несколько месяцев после увольнения захватившего с собою часть выручки кассира. На стыке информационной и экономической безопасности с ИТ постоянно появляется что-то новое.



“Есть черный рынок, на котором продаются аппаратные закладки для заправочных автоматов, – рассказывает про специфику розничных компаний, управляющих сетью АЗС, Олег Сафрошкин, менеджер по развитию бизнеса компании «Информзащита». - Одно время был даже сайт, на котором их можно было купить. Но он быстро закрылся, после того как были выявлены реальные хищения в одной из сетей заправок. Схема такая. Если протянуть к бензоколонкам провод, чтобы незаконно ими управлять, манипулируя показаниями счетчиков, то это быстро обнаружит служба внутренней безопасности торговой сети. Аппаратная радио-закладка позволяет делать то же самое при помощи безобидного на вид брелка автосигнализации. Три кнопки которого перепрограммированы на “недолив клиенту”, “слив остатка” и “пришел проверяющий с мерной емкостью”. Недолив 50 гр. топлива с литра при заправке полного бака никто из клиентов не заметит. Но за смену работникам заправки, действующим в сговоре с сервисным инженером, установившим им закладку в колонку, набегает достаточно для безбедной жизни. Торговой сети, где были выявлены такие систематические хищения, мы дали рекомендации по устранению уязвимостей по возможному искажению данных с правильно работающих счетчиков топлива при отправке их в ERP и пр.”



Безопасность инженерно-технических средств и торговых устройств оказывается в поле зрения ритейлеров в связи с необходимостью обеспечить комплексную безопасность. Распространение систем типа Self-Checkout ставит перед ними новые проблемы, а решения для касс типа Cash Cycle Management System открывают перед ними новые возможности по снижению потерь от злоупотреблений и сокращению затрат на обработку наличных денег. Круг вопросов по безопасности в связи с инженерной инфраструктурой сводится, таким образом, к тому, о каком оборудовании, технических средствах и внедряющихся инновациях идет речь на конкретном розничном предприятии. А также - к цене и правильной постановке самого вопроса по поводу безопасности.



Несмотря на всю важность инженерной составляющей, возможность манипуляции с потоками данных, нераздельно связанных с современным ритейлом, всегда будет главной потенциальной угрозой для торговой деятельности, поскольку именно здесь возможны наибольшие потери. А желание каким-то образом свести все многообразие видов, форм, проявлений и аспектов безопасности в сегодняшней торговле к чему-то единому и вразумительному, вполне объяснимо.



Централизованная безопасность


Для крупных ритейлеров, в полной мере озабоченных собственной репутацией, становится актуальным видеть картину с безопасностью целиком и централизованно управлять всеми рисками, сопровождающими их деятельность.

“Инициативные обращения крупных клиентов из розницы в последнее время отличаются тем, что они бывают часто связаны с Security Operations Center (SOC) – построением системы эффективного управления ИБ, в первую очередь, в части инцидент –менеджмента, - рассказал Илья Четвертнев, директор департамента проектирования и сервисных услуг компании «Информзащита». - От систем типа SIEM, SOC отличается, прежде всего, организационно, - техническая часть дополняется бизнес-процессами Service Desk. В России такое сочетание иногда еще называют Ситуационный центр с добавлением слов о том, что он специализирован для решения вопросов ИБ. Например SOC у нас называют Центрами управления инцидентами ИБ и т.д.”



“В общем и целом, можно сказать, что в сегменте отечественного ритейла зарождается спрос на комплексные бизнес-ориентированные решения класса GRC (Governance, Risk and Compliance — управление, контроль рисков и соответствие требованиям). Причем причиной этому служат не изменения законодательства, а, скорее, реальные бизнес-потребности крупных ритейлеров, их желание целиком видеть картину и контролировать ситуацию с ИБ в растущей, распределенной в масштабах страны торговой сети,” – считает он. Это отличается от основных мотивов внедрения GRC-систем в развитых странах, где основным драйвером для этого являются, вообще говоря, требования законов.



Тем не менее, идея свести воедино весь широкий спектр деятельности – от обеспечения комплаенса, накопления знаний и применения лучших практик ИБ, до регулярного аудита и своевременной реакции на всякого рода события, связанными с данными, инфраструктурой и взаимодействием с платежными банковскими системами, а также оперативного мониторинга всего стека применимых ИТ-решений, - выглядит более чем логично с точки зрения ритейлера, ориентированного на эффективность инвестиций и предотвращение потерь.

GRC не отменяет, а подразумевает применение всех привычных ИБ-специалистам средств и способов защиты. В то же время, подход “все в одном” более понятен, чем объяснения на языке IRM/DRM, DLP, VPN, IAM и прочих решений, суть которых раскрыта до конца лишь в толстых учебниках по ИБ. GRC представляет собой некую организационную основу, вокруг которой можно постепенно логично выстроить все связанное с обеспечением безопасности в торговой организации.



Однако еще не факт, что средний ритейлер сможет подойти к GRC-вопросу с привычных ему экономических позиций, ожидая окупаемости сделанных вложений в течение пары ближайших лет. Вместе с тем, работа по западным стандартам безопасности может повысить стоимость компании, что существенно для крупных игроков из ритейла, озабоченных привлечением внешних инвесторов, в том числе и через механизм торговли акциями на международных биржевых площадках.



Дважды сетевой ритейл


Сетевые ритейлеры растут сегодня не только вглубь, но и вширь, приглядываясь к электронной коммерции в сети интернет. Российский e-commerce в денежном исчислении, в основном, состоит из оплат за продажи товара. Низкий порог выхода на этот перспективный рынок заставляет многих торговцев задуматься о том, чтобы занять на нем место уже сегодня.

Для того, чтобы инвестировать серьезные средства в дополнительные каналы продаж, ритейлерам нужны аргументы, помимо общего плана стратегических соображений. Многих из них сегодня сдерживают опасения по поводу возможных эффектов от наложения онлайн-продаж на давно и стабильно работающий офлайн-канал.



Вместе с тем, некоторые из ритейлеров уже увидели в электронной коммерции приятное добавление к их основному бизнесу и начали присматриваться даже к мобильным продажам в рамках m-commerce. Помимо прочего, новые каналы взаимодействия с покупательской аудиторией могут быть полезны и в ходе маркетинговых акций QR-кодов, раздачи электронных скидочных купонов, помощи покупателям при ориентации в пространстве торгового зала, полезной для увеличения итоговых продаж, а также поддержке ритейлером онлайн сервисов для потребительского кредитования и пр.



Сегодняшние розничные торговцы любят темы, касающиеся индивидуализации товарного предложения, и воплощают их в своих программах лояльности. “Скидочная” лояльность то отступит под натиском начисляемых покупателю баллов и бонусов, то снова станет злободневной и актуальной. Понятно, что возможности генерации индивидуальных предложений для покупателей по каналам электронной и мобильной торговли с использованием эффекта социальных сетей гораздо шире, чем раздача скидок или выдача тефлоновых сковородок в обмен на начисленные баллы, которые, вдобавок, нужно копить для этого несколько лет. И гораздо удобнее для современных покупателей, чем набор “лояльных” карточек, распирающих кошельки многих горожан.



Многие производители раньше, чем сети, отреагировали на те возможности, которые открывают перед ними доступные широким массам каналы индивидуальных коммуникаций. Скажем, предложение получить скидку или подарок за покупку товара в обмен на sms с кодом, взятым с его упаковки, представляет собой ни что иное как установление первоначального контакта с потребителем. Или покупку лида, если говорить на языке e-marketing, причем, по весьма сходной цене. “Довольно большое внимание уделяется конкуренции между интернет-услугами и традиционными системами лояльности,” - считает Константин Усаковский, руководитель дирекции по работе со стратегическими рынками компании “АйТи”. “Первоочередные задачи ритейлеров в настоящий момент – создание персонализированных программ лояльности и развитие канала e-commerce,” – полагает Наталья Гурова, директор практики Non-Food Retail, Columbus Россия и СНГ.



Многие сети, по инерции прошлых времен, ограничивают свою web-деятельность сайтом-визиткой с адресами магазинов и центрального офиса. Их более продвинутые коллеги постепенно добавляют туда каталоги с возможностью дистанционно купить и заказать доставку ряда товаров. А то, что e-commerce представляет собой точку роста розницы и на порядок опережает офлайн-торговлю по темпам развития, понимают, сегодня, пожалуй уже все.

Несмотря на это, большинство сетевых ритейлеров пока не привыкло всерьез расценивать даже очень крупных интернет-торговцев как своих прямых конкурентов из-за несопоставимости общих объемов продаж в онлайне и офлайне. Хотя такие игроки розничного рынка, как книготорговые сети, уже пожалуй, успели ощутить всю сложность конкуренции с Ozon.ru и пр. в полной мере. Более того, сама идея сначала ходить в магазин за консультациями, а потом покупать товар, пользуясь агрегаторами типа Яндекс.Маркет, не может не раздражать многих консервативно мыслящих ритейлеров.



К когорте довольно неожиданно появившихся из интернета конкурентов для отечественных торговых компаний, могут со временем, не менее внезапно, добавиться и крупные международные игроки, хотя не все сегодня воспринимают такую угрозу как актуальную. “Для того, чтобы освоить новый рынок, западным онлайн ритейлерам необходимо решить следующие основные задачи - русификация web-ресурсов и, конечно, вопросы логистики. Пример тому - американская компания eBay”, - размышляет по этому поводу Сергей Елисеев, специалист Центра решений для розницы РДТЕХ.



Мелкую розницу интернет-канал тоже сегодня часто привлекает. Хотя бы тем, что стартовые затраты относительно небольшие, и при реализации таким способом продавцы сталкиваются с гораздо меньшим количеством реальных ограничений. Сфера отечественной электронной торговли пока что не отрегулирована законодателями окончательно. В частности, не рассматривался вопрос по поводу возможности наращивания продаж через “виртуальную” сеть после достижения порога доминирования ритейлера в регионе.



Многоканальная безопасность


К интернет-продажам приступают сегодня все новые торговые компании. “У нас будет не просто интернет-магазин, в котором можно только выбрать и купить товары. Он будет дополнительным инструментом для общения клиента с сотрудниками нашей компании, для выбора не отдельных товаров, а интерьерного решения, естественно, с возможностью приобрести его удаленно,” – делится планами ИТ- директор компании "Старик Хоттабыч" Георгий Пырков.



“Некоторое время мы использовали аутсорсинг интернет-магазина у одного из ведущих операторов на рынке РФ, фактически предоставляя свой товар на реализацию, но низкая доля маржи и ценовая конкуренция привела нас к задаче по созданию собственного интернет-магазина и логистики товаров до двери покупателя. Уже в этом году планируем повторно запустить в работу собственный интернет-магазин и довести процент реализации через этот канал до 5-7%,” – рассказал Сергей Кухарев, директор департамента ИТ сети магазинов «Высшая Лига».



Уже сейчас понятно, что по мере роста благосостояния населения, повышения значения индекса уверенности потребителей и пользовательского опыта, доля интернет-товарооборота будет расти. А наибольшими преимуществами будут пользоваться те классические ритейлеры, кто сумеет выстроить новый, весьма специфичный для них канал на базе уже созданной складской и транспортной инфраструктуры, обеспечив при этом надежную интеграцию с уже используемыми ИС. “В первую очередь, различие между этими двумя каналами обусловлено разницей в организации бизнес-процессов, в числе которых кассовая специфика, логистика, ценообразование, маркетинг и т.д. Однако есть и общие функциональные блоки, например, закупки, финансовое обеспечение,” - пояснил Константин Усаковский, руководитель дирекции по работе со стратегическими рынками компании “АйТи”.



Из изложенного выше следует еще один вывод - о том, что одной из важных задач станет обеспечение ИБ при торговле новым способом. Тех отечественных офлайн-ритейлеров, кто не знает специфику ИБ в e-commerce, может ждать немало огорчений, а тех, кто предпочитает иметь дело исключительно с наличными – много хлопот. “Специфика отечественного e-commerce сегодня, пожалуй, в том, что основным драйвером роста защищенности магазинов и пр. являются банки-эквайеры, осуществляющие расчеты по платежным картам. Вместе с рынком электронной коммерции растет и объем таких платежей. Сюда же относятся расчеты при помощи небанковских платежных систем,” – поделился Евгений Афонин, начальник отдела безопасности банковских систем компании «Информзащита».



“Не менее значимой задачей для мультиформатных ритейлеров является обеспечение доступности ресурсов в режиме 24х7. День или даже час простоя для торговых компаний влечет за собой не только репутационные риски, но и прямые потери денежных средств. Зная это, при построении комплексной системы информационной безопасности мы уделяем особое внимание вопросу обеспечения доступности ресурсов торговой компании,” – рассказала о практике работы компании «Микротест» Светлана Гущина, продакт-менеджер по ИБ.

Антон Степанов

Вернуться на главную страницу обзора