oбзор

Обзор: ИТ в ритейле 2013

Как подружить ИБ и мобильность?

Как подружить ИБ и мобильность?

Мобильная торговля удобна тем, что дает возможность делать покупки в любое время и в любом месте. Однако когда от темы удобства переходишь к теме безопасности таких покупок, удобство становится не так очевидно. 

Понятие мобильной торговли формировалось в нашей стране в несколько этапов. Сначала под ней понимали что-то вроде продаж мобильных телефонов или даже торговли на вынос. Затем появилась мысль о том, что торговый представитель мобилен в силу характера своей деятельности. А значит, когда он удаленно оформляет заказы в электронном виде через смартфон, то это, наверное, и есть мобильная торговля.



По прошествии некоторого времени россияне перешли к более общему определению мобильной коммерции как инновационного формата ритейла, в котором при продажах так или иначе “замешано” мобильное устройство. Подразумевается, что в этом процессе должны быть задействована сеть интернет. Хотя, например, покупку полюбившейся мелодии звонка для телефона посредством отправки SMS тоже можно отнести к m-commerce.



Таким образом, наиболее распространенное на текущий момент понимание мобильной торговли связано с тем, какой род коммерческой активности преобладает и какие устройства, каналы связи и способы оплаты при этом используют. Оно напрямую зависит от величины товарооборота по конкретному виду деятельности - чем он выше, тем “правильнее” оказывается текущее, наиболее распространенное определение m-commerce.


Сегодня в нашей стране мобильная коммерция чаще всего выступает в роли разновидности ритейла в его осовремененном, “оцифрованном” формате, как правило – все той же интернет-торговли.


Рост на стыке


Количество имеющихся у населения на руках мобильных устройств растет опережающими темпами. По своим возможностям флагманские гаджеты начинают конкурировать с ноутбуками, по площади зоны доступности подключения к каналам связи давно их опередили, а благодаря фактору постоянного наличия в кармане пользователя и возможности геолокации мобильные устройства получили ряд уникальных конкурентных преимуществ.


Планшеты и смартфоны находят множество применений внутри офлайн-ритейла. M-commerce сегодня служит логическим продолжением идей e-commerce, потому что позволяет сделать продажи, а также процесс их администрирования еще более удобным. Другой практически важный стык – это связка мобильного устройства с осуществлением платежей, например m-banking.



Популярность мобильной коммерции обусловлена потребностями нового поколения пользователей, которым от ритейлеров нужен современный функционал. Идея создать удобства для покупателей достигла в m-commerce своего крайнего проявления. Но как обеспечена безопасность этого процесса?



Поначалу неуязвимые


Сдерживающим фактором развития мобильного ритейла служит существование десятка различных платформ, для которых нужно создавать разные версии одного и того же приложения. Однако основные усилия разработчиков сосредотачиваются обычно на Android и iOS. И эксперты любят именно их сопоставлять по уровню ИБ.


Выглядит это примерно так. Сначала приводится масса довольно сильных доводов, в основном, в пользу iOS. Когда тема более-менее исчерпается, неожиданно вспоминают про специфичный для нашей страны джейлбрейк. После чего, начинают беседу о программной сути и потенциальных уязвимостях сравниваемых платформ заново. Если же при этом будет как-то затронута еще и тема сравнения свободного и проприетарного ПО вообще, то конца разговора вы, скорее всего, не дождетесь.



Чем больше внимания привлекает к себе та или иная платформа, чем активнее пользуются конкретным приложением, тем больше вероятность того, что в них начнут искать всевозможные “дыры”. На первых порах срабатывает “фактор первоначальной неуязвимости”: то, чем пользуется лишь ограниченное число людей, можно считать нужным только им. Потом, с ростом популярности, фиксируется появление первых вредителей, и встает тема ИБ.



Внимание ряда экспертов сосредоточено сейчас на проверке безопасности особо критичных и весьма показательных для всего рынка мобильных приложений систем ДБО, реализованных в рамках m-banking.



Судим по банкингу


В отчете компании Digital Security, составленном по результатам проверки клиентских банковских приложений, была указаны некорректность работы SSL, уязвимость к SQL-инъекции, XSS и XXE-атакам и т.д. Только половина таких уязвимостей подразумевала знание специфики конкретной мобильной платформы (iOS или Android). Анализ проводился методом, приближенным к тому, как это делают хакеры, пытающиеся “сломать” приложение. Отобранные мобильные приложения были взяты из общедоступных источников, вроде AppStore и GooglePlay.


Проверив в 2012 г. более 30 приложений с доступом к счету в российских банках (включая «Сбербанк», «Альфа-банк», ВТБ, «МТС-банк»), эксперты так и не смогли выявить ни одного, не имеющего уязвимостей, открывающих доступ к приложению или самому мобильному устройству и хранимой на нем информации либо к передаваемым через интернет-соединение данным и т.д.

Можно сделать предположение, что разработчики гораздо больше сегодня озабочены тем, чтобы вовремя успеть выйти на рынок с приложением, дающим пользователям новые “мобильные” возможности. То, что вы загрузили его с той или иной известной площадки, не дает никаких гарантий.


Понятно, что ДБО - это отнюдь не все, что можно придумать для того, чтобы осуществлять розничные сделки, пользуясь мобильным интернетом. В конечном итоге, пригодиться для этого может практически все, вплоть до Twitter.

Помимо интернета и банковских счетов, есть электронные кошельки, QR–коды, NFC, LBS и многое другое. В качестве одного из примеров можно привести проект "Сбербанка" и Kassir.ru, где деньги переводятся в результате обмена серией SMS сообщений.

Мобильный эквайринг


Незнакомый вам человек вставляет вашу банковскую карту в непонятного вида гаджет, торчащий из его смартфона, быстро проводит ею, чтобы считать магнитную полосу, а потом возвращает карточку обратно. “Это же обычный скиммер, человек пытается завладеть моими платежными данными,” – будет ваша первая естественная реакция.



Может быть, и так, а может быть - это стартапер из проекта Square, служащего сегодня ориентиром для многих. Оборот у Square сопоставим с оборотом всего нарождающегося и быстрорастущего российского электронного ритейла в целом.




Оборот Square сопоставим с оборотом российского электронного ритейла в целом


Для многих весьма притягательна возможность осуществлять денежные транзакции без наличных, сразу же на месте покупки, в обмен на услугу или товар и пользуясь при этом своим смартфоном. В конце концов, это хороший повод вынуть и успеть продемонстрировать окружающим свой айфон еще до того, как вышла его очередная, более свежая модель. Связанные со всем этим инновации и новые проекты плодятся в геометрической прогрессии, в том числе и в нашей стране.

Вопрос о применимости такого способа расчетов именно в России с ее фискальной строгостью, чеками, кассовыми аппаратами и пр. не имеет окончательного ответа. Хотя первые, достаточно серьезные проекты такого рода, как-то преодолевшие юридические препоны, уже есть. С другой стороны, почему бы, действительно, не начать рассчитываться мобильно-цифровым способом, если в рамках e-commerce, в принципе, можно проделать почти то же самое: произвести оплату через обычный продающий сайт, пользуясь его web-интерфейсом?

Что касается безопасности таких расчетов, то можно утверждать, что проблемы с ИБ, скорее всего, есть, а вот особых стимулов говорить о них у стартаперов, особенно на стадии поиска инвестиций и привлечения первых клиентов, нет. Часто о безопасности вспоминают уже в момент перехода от броского прототипа к реальному бизнесу. Очень может быть, что именно вопросы, связанные с ИБ, часто замедляют темпы роста таких проектов.

Возможности использования мобильных устройств в ритейле воистину неисчерпаемы, маркетинговая оболочка проектов для m-commerce обычно выше всяких похвал, а описывать их можно очень долго. Очевидные вопросы по части ИБ не останавливают, а, скорее, раззадоривают инноваторов.



Gartner предполагает, что рынок продаж мобильных приложений вырастет в этом году больше чем в 1,5 раза – до $25 млрд. Один только PayPal, работающий с мобильными платежами, провел их в 2012 г. на сумму около $14 млрд. Visa планирует сделать мобильные платежи массовыми, а ее представители освещают данную тематику, пользуясь фразами типа “безотлагательный приоритет”.

Создатели вредоносного мобильного приложения обещают своим “коллегам” получить код подтверждения операции по банковскому счету из перехваченного SMS

Возвращаясь к ИБ в ритейле, можно сделать очевидный вывод о том, что всякий раз, когда мобильные устройства весьма комфортным для пользователей способом подключаются к ИС ритейлера, используются для усиления совокупного эффекта от e-commerce или тем или иным образом применяются в процессе денежных расчетов, риски начинают расти.

Перспективы m-commerce необозримы и неоспоримы. Но можно сказать, что альтернатива “удобство или же безопасность” актуальна сейчас в мобильном ритейле как ни в каком другом, поскольку на практике часто приходится выбирать между первым и вторым.


Относительно защищенным признали Банк SIAB из СПб. Однако дело, конечно же, не в том, в каком городе лучше защищают мобильные приложения. Важно то, что исследователи так и не нашли серьёзных отличий мобильных платежных приложений от обычных.



Антон Степанов

Вернуться на главную страницу обзора