Для торговых компаний актуален весь спектр традиционных вопросов ИБ, касающихся защиты периметра корпоративной сети, регулярных обновлений ПО, контроля за внешними и внутренними подключениями к информационным системам при помощи межсетевых экранов и IPS, разграничения доступа пользователей и пр.

“Особенно важен контроль над привилегиями пользователей, – подчеркивает Илья Четвертнев, директор департамента проектирования и сервисных услуг компании «Информзащита». - Нельзя допускать того, чтобы один и тот же сотрудник имел, скажем, полномочия сдать и принять товар у самого же себя. Для защиты документооборота предприятия торговли все активнее начинают использовать электронную подпись.

Также ритейлеры, имеющие доступ к данным пластиковых карт, дополнительно должнывыполнить требования стандарта PCI DSS”.

Выполнить их непросто. Претензии, предъявляемые в случае нарушений соответствия стандартам PCI DSS к западным компаниям, по нашим меркам достаточно суровы. Примером может быть судебная тяжба из-за $13 млн. американской Genesco с Visa, оштрафовавшей ритейлера за то, что, по утверждению Genesco, злоумышленники с помощью вредоносных программ получили доступ к данным, идущим в банк для одобрения транзакции по платежным картам.

Впрочем, на отечественных ритейлеров все подобного рода строгости распространяются пока в меньшей степени, особенно если речь идет не о собственном процессинге торговой компании, а лишь о подключении к платежным сервисам отечественных банков.

Фактор географии

Тема защиты документооборота ритейлеров при помощи ЭЦП интересна тем, что затраты по переходу на заверенные электронные документы могут обернуться для торговой компании, обрабатывающей много первички, экономией вкупе с повышением личной ответственности исполнителей и общего уровня безопасности.

“Электронно-цифровая подпись и специализированные провайдеры ЭДО позволяют как сократить затраты на бумагу и картриджи, так и значительно ускорить процессы оформления документов в компании,” – подчеркивает Александр Заржецкий, руководитель департамента автоматизации непродовольственных предприятий розничной торговли "1С-Рарус".

Понятно, что чем шире географический размах деятельности сети, тем выше окажется масштаб от сокращения операционных затрат на “бумажную” работу.

“Основная специфика крупного сетевого ритейла – территориальная распределенность. Соответственно, многое зависит от того, насколько далеко разнесены торговые объекты, что за каналы связи используются, какие требования по части ИБ предъявляются к собственным подразделениям и компаниям-контрагентам, как контролируется соблюдение политик безопасности. Торговые сети часто выступают в роли инициаторов процессов, обеспечивающих ИБ, например, в случае взаимодействия со своими франчайзи,” – сообщил Илья Четвертнев.

Новые угрозы WMS

Важный аспект деятельности многих ритейлеров - это склад торговой компании, защита его информационных систем. “С WMS часто работают не только работники склада, но могут, в ряде случаев, взаимодействовать клиенты. Сегодня для этого все чаще используют мобильные устройства, особенно если речь идет о больших складах крупных ритейлеров или дистрибуторов,” – утверждает спикер.

“Злоумышленники, действуя в сговоре со складскими сотрудниками, могут организовывать различные схемы неправомерных списаний и последующих хищений товара. Причем на охраняемую территорию склада заходить для этого им не придется. Помочь им в этом могут как раз упоминавшиеся выше мобильные устройства. Учитывая дефицит кадров и относительно низкие зарплаты многих работников нижнего звена на складских комплексах, эта угроза в наши дни становится все актуальней. Защита Wi-Fi сетей и использование ПАК, осуществляющих идентификацию “своих” мобильных устройств, имеющих доступ к WMS, в сочетании со стандартными процедурами аутентификации пользователей, позволяют достаточно эффективно решить эту проблему,” – уверен Илья Четвертнев. Похожие соображения можно сегодня распространить и на защиту других систем ритейлеров, помимо WMS.

Данные ERP

Крупные и средние торгующие компании адаптируют ИТ-решения под свои нужды практически всегда. “Наверное, только правовая система и видеонаблюдение у нас работают без доработок. Все остальное прикладное ПО написано с нуля или доработано, связано между собой силами отдела. Чтобы процессы работали, их нужно каждый день анализировать, улучшать,” – поделился практикой Александр Черемушкин, начальник отдела ИТ Торгового дома «Крестовский».

Круг вопросов по защите ERP беспокоит сейчас многих клиентов, в том числе из торговли. “Самописные” ERP и приложения постепенно заменяются в ритейле разработками вендоров. Поводов и способов подключения различных компьютерных устройств к ERP становится все больше. Но может ли сегодня один только вендор гарантировать безопасность помещенных в ERP данных?

“При обретающем сегодня популярность доступе к ERP с мобильных устройств, становится актуальной защита от вредоносного ПО, которое может проводить операции без ведома владельца планшета или смартфона. Помимо прочего, необходимо учитывать, что ERP система не является коробочным продуктом. Она всегда дорабатывается интегратором под нужды конечного пользователя. Качество такого кода зачастую является сомнительным с точки зрения безопасности. В нашем опыте встречались случаи, когда анализ такого кода выявлял уязвимости, используя которые, злоумышленник мог получить неконтролируемый доступ к ERP – системе,” – рассказал Олег Сафрошкин, менеджер по развитию бизнеса компании «Информзащита».

Средства защиты

В любом случае, использование дополнительных средств для защиты информационных систем торговых компаний становится все более актуальным. Конкретный выбор решений диктуется форматом сети и спецификой розничных торговых операций, причем какой-то конкретный тип используемой системы необходимость в таких средствах, вообще говоря, не отменяет. Причем единого для всех и, притом, недорогого продукта или решения купить на рынке ИБ сегодня не получится.

Ритейл подразумевает обработку большого количества транзакций в режиме реального времени. В частности, база данных ERP, как правило, должна быть организована как OLTP-система (Online Transaction Processing). Попадающая туда информация обычно нормализуется и разносится по множеству таблиц. Поэтому контроль, например, за одними только запросами пользователей не даст нужного результата. В то же время, к защите разрастающейся во времени и пространстве сети, в которой работает ERP, можно применить специализированные подходы, которые применяют для фильтрации трафика, проходящего через веб-приложения.

Что связывает лояльность, биометрию и комплаенс?

Наряду с вышесказанным, применение тех или иных технических средств защиты трудно назвать специфической особенностью ритейлеров. Также часто бывает довольно сложно ответить на вопрос об отличительных особенностях торговых компаний по части выполнения общих требований по защите ПДн в соответствии с 152-ФЗ. “В 2012 г. в структуре наших проектов по защите персональных данных наблюдалось некоторое увеличение доли заказчиков из торговых организаций. Но пока она, все-таки, ниже по сравнению с долей финансовых структур или промышленных предприятий,” - рассказала Светлана Гущина, продакт-менеджер по ИБ компании «Микротест».

“С термином «персональные данные» у представителей предприятий торговли почти неизбежно возникают ассоциации с расходами на защиту соответствующей информации. Но биометрические технологии позволяют использовать персональные данные покупателей для извлечения прибыли и сокращения издержек,” – напоминает генеральный директор BioLink Solutions Константин Сорокин, ссылаясь при этом на успешную западную практику. Если вы скажете, что биометрия пока что очень далека от реальной отечественной практики, то рискуете ошибиться. “Сейчас в нашей компании идет внедрение биометрической системы контроля. Она позволит автоматически вести учет рабочего времени и обеспечивать контроль доступа к системам, установленным в магазинах,” - рассказал Иван Бояркин, начальник отдела поддержки «Модный Континент» (бренд INCITY).

Также к специфике деятельности ритейлеров можно отнести их, ставшую уже привычной, активность в связи с внедрением CRM и прочих систем и модулей ERP, позволяющих персонализировано работать уже не с потребительскими сегментами, а на уровне индивидуальных покупателей. Как известно, ритейлеры при этом могут объединять и делать централизованными усилия повернуться лицом к отдельному, конкретному человеку. “Для нашей компании новым направлением в 2012 г. стала интеграция системы лояльности с другими розничными сетями,” – рассказал в этой связи Сергей Кухарев, департамент ИТ сети магазинов «Высшая Лига».

Вся эта деятельность не может не иметь проекции на защиту всякого рода персонализированных данных, помимо информации с платежных карт, проходящей обычно “транзитом” мимо кассовых терминалов в торговом зале. “Закон 152-ФЗ особым образом волнует ритейлеров, выдающих именные карты лояльности. Если ведение таких карт передается аутсорсеру, то значительная часть сопряженных с этим комплаенс-рисков перекладывается на него, при условии что ритейлер уделит нужное внимание формулировке условий договора на обслуживание,” - полагает Олег Сафрошкин.

Аутсорсинг и ИБ

Все чаще сегодняшние ритейлеры прибегают и к услугам аутсорсеров. Поводы для этого, с точки зрения ИТ-специалистов, могут быть самыми разными. “В ближайшем будущем мы планируем использовать аутсорсинг печати во всех наших магазинах, а также использовать облачный хостинг как альтернативу собственным вычислительным мощностям при возникновении аварийных ситуаций,” – поделился планами ритейлера Сергей Кухарев. Общий знаменатель для потребностей в аутсорсинге можно подвести, вспомнив о экономии затрат ритейлера.

Как все это проецируется на вопросы безопасности? Аутсорсер выступает для ритейлера в качестве партнера, так или иначе выстраивающего с ним систему взаимодействия, в том числе и при помощи ИТ-средств. Понятно, что общий уровень ИБ такого рода системы будет определяться защищенностью ее самого слабого звена, в качестве которого, теоретически, может выступить ИС провайдера аутсорсинга.

Отечественным трендом последних лет можно назвать предложение целого комплекса услуг аутсорсинга для одного отраслевого клиента. Так, торговой компании запросто могут сейчас предложить аутсорсинг на системных принципах по принципу взаимодействия “из одного окна”, в качестве которого выступает Service Desk, что максимизирует получаемый от этого совокупный экономический эффект не только в процентах, но и в рублях. Впрочем, экономические предпосылки для такого “пакетного” вывода на аутсорсинг сразу целого набора услуг и сервисов, часто бывают гораздо более очевидными, чем аспекты, связанные с должным обеспечением ИБ.

Поэтому отдельного упоминания заслуживает постепенно развивающийся у нас аутсорсинг услуг ИБ, к которому торговые компании пока прибегают эпизодически, в формате консалтинга, например, для приведения ИТ-систем в соответствие изменяющимся требованиям регуляторов.

Вспоминается и об услугах ЦОД, очевидно, наиболее интересных для динамично развивающихся, “распределенных” и “мобильных” ритейлеров и дистрибуторов. Особенно если сравнивать их по этим критериям с заказчиками из многих других, более “локальных” и “стационарных” отраслей. “На наш взгляд, рынок ритейла продолжает расти. Доли рынка не фиксированы и могут сильно изменяться из-за слияний и поглощений. В настоящий момент задачи оперативного развертывания точки продаж с минимальными затратами и безопасное ее подключение к централизованным ресурсам кампании крайне востребованы, так же как и соответствующие продукты и решения Citrix, используемые для этих целей ведущими компаниями рынка ритейла,”- рассказал Дмитрий Тихович, менеджер по работе с партнёрами в России и странах СНГ компании Citrix.

В то же время, крупные аутсорсеры часто строят свои ЦОДы. А небольшие торговые компании довольно осторожно прибегают к использованию сторонних облачных сервисов. Высокотехнологичные аутсорсеры часто способны гарантировать клиентам из ритейла более высокий уровень безопасности, чем их собственные отделы. Но для торговых компаний традиционным является желание решать круг вопросов, сопряженных с ИТ и ИБ, силами внутренних подразделений, держа при этом свои данные при себе – хотя бы, из соображений “на всякий случай”.

Также понятно, что услуги аутсорсинга ИБ и облачные сервисы сегодня достаточно сложно представить в одном пакете с комплексным предложением по поддержке POS-терминалов, обслуживанию компьютеров и аутсорсингом заправки картриджей в центральном офисе ритейлера.

Какого рода мотивы и соображения по поводу ИБ играют роль при обращении торговой сети к поставщику внешних услуг чаще всего определяется спецификой формата и основного продукта, реализуемого торговой сетью.

В целом, можно сказать, что эпизодическое и фрагментарное обращение ритейлеров даже к высокотехнологичным аутсорсерам, уделившим немалую долю своих средств обеспечению ИБ для клиентов, является весьма печальным обстоятельством. Поскольку именно таким способом торговая компания могла бы сегодня закрыть широкий круг ИБ-вопросов.