Если уровень ИТ в целом у российского ритейла уже довольно высок, то все, что касается информационной безопасности, по мнению специалистов, не так однозначно. Многое в вопросах защиты информации зависит от того, насколько серьезно руководство компаний воспринимает риски. Как это ни странно, зачастую в ритейле не решены даже базовые требования по ИБ, нет элементарных средств защиты. Но обычно отношение к ИБ резко меняется после первого же инцидента.

Покупательские секреты

Современные торговые сети активно работают с персональными данными своих покупателей. При этом чем больше компания, тем выше риск потери информации. Системы, которые позволят собирать информацию о покупателях, будь то решения по стимулированию продаж или интернет-магазин, представляют из себя информационные системы персональных данных (ИСПДн). В крупном ритейле аккумулируются различные персональные данные и их комбинации. Есть даже торговые сети, обладающие собственными процессинговыми центрами и выполняющие требования PCI DSS. Но, как правило, в стандартный набор персональных данных входят фамилия, имя, отчество, адреса проживания, телефоны и адреса электронной почты.

Инцидентов, получивших огласку в широкой общественности, в ритейле практически не было. «Но локальные утечки не такая уж и редкость, - обращает внимание Дмитрий Дудко, ведущий инженер Центра компетенции информационной безопасности компании «АйТи». - Они связаны с отсутствием базовой подготовки в области ИБ у конечных пользователей».

Размер имеет значение

С точки зрения защиты информации, к специфическим особенностям ритейла можно отнести, например, распределенную архитектуру системы безопасности и наличие специализированных клиентских устройств, таких как кассовые комплексы. «При этом подобная система безопасности подчиняется тем же законам, что и любая другая, - говорит Алексей Филатенков, начальник отдела ИБ компании «Открытые технологии». – В небольших организациях данной сферы есть тенденция внедрять средства защиты типа «все-в-одном», в крупных организациях – делать ставку на специализированные решения каждого типа».

Если раньше наиболее приоритетной задачей, которую решали предприятия ритейла, была защита персональных данных, то сейчас ситуация изменилась. В настоящий момент крупные российские торговые сети, как правило, строят интегрированные системы информационной безопасности с развитыми системами мониторинга и управления ИБ.

Ахиллесова пята

Как это ни странно звучит, но к наиболее уязвимому звену системы защиты ритейл-организации можно отнести ее персонал. Ведь именно он напрямую взаимодействует с активами компании – товаром и деньгами. Соблазн у недобросовестных сотрудников очень велик, и нужен комплекс специальных мероприятий, чтобы минимизировать эти риски. Поэтому в последнее время сети уделяют внимание системам противодействия мошенничеству (так называемые «антифрод-системы»).

«Уровень мошенничества в значительной степени зависит от направления деятельности компании, используемых ею информационных технологий, внедренных инструментов контроля и качества процесса борьбы с мошенничеством, - комментирует Алексей Сизов, руководитель группы противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет». - Если в случае противодействия хищениям со стороны третьих лиц можно достичь высокого уровня эффективности за счет выстроенных процессов и технологий борьбы, то мошенничество со стороны внутренних сотрудников является более щекотливой темой. Внутреннее мошенничество имеет очень много точек реализации. Такие хищения сложнее обнаружить (если только речь не идет о прямом воровстве товарной продукции)».

Поэтому торговым компаниям необходимо либо контролировать все действия сотрудников, либо тщательно выстраивать высокоинтеллектуальные автоматизированные системы для всей совокупности внутренней деятельности и процессов продаж, закупок и логистики. «Эффективность продажи, закупки и логистики прямо пропорциональна качеству внутреннего контроля деятельности сотрудников и вовлеченности службы безопасности в процесс борьбы, - отмечает Алексей Сизов. - Сегодня большинство компаний внедряют автоматизированные системы выявления и реагирования на существующие или вероятные угрозы внутреннего мошенничества».

«С нашей точки зрения, сейчас именно фрод − причина основных финансовых потерь ритейлеров, - резюмирует Игорь Ляпунов, директор Центра информационной безопасности компании «Инфосистемы Джет». - При этом многие компании даже не видят эти утечки, и задача подразделений ИБ их выявить».

Высокий уровень потерь эксперты компании «Инфосистемы Джет» главным образом связывают с низким уровнем культуры на предприятиях торговли в совокупности с высокой текучкой кадров низшего звена. В таких условиях на некоторых должностях мошенничество становится практикой работы. Простота реализации хищений является дополнительным фактором, которые подталкивает к противоправным действиям. Например, средний ритейлер портативной электроники сегодня терпит финансовые убытки в результате фиктивных переводов (когда сотрудник осуществляет перевод на стороннюю банковскую карту − свою, знакомого, сообщника) без фактического внесения денежных средств в кассу. Не меньшую проблему сегодня составляет фиктивная выдача кредитов под покупку товара, при оформлении которой используются документы, по которым ранее был оформлен, к примеру, контракт сотовой связи.

При этом важную роль играет распространенность практики удержания убытков компании не с конкретного виновника хищения, а с группы сотрудников. В этом случае честные сотрудники ставятся в условия, когда очередное удержание приводит их к осознанию необходимости либо смены места работы, либо работы по «нормам» сотрудников, реализующих противоправное действия. В большинстве случаев, такой подход к удержаниям вызван невозможностью сформировать достаточную доказательную базу, фиксирующую виновность и конкретного сотрудника, трудоемкостью процесса проведения расследований.

Торговая мобильность и онлайн

Другое актуальное направлении для реализации защитных мер – безопасность клиентских устройств в ритейле. Алексей Филатенков отмечает, что в торговых предприятиях часто используются клиентские устройства с уязвимым ПО, без установленных обновлений, да и подобрать совместимые средства защиты для таких устройств бывает сложно. Также, по словам эксперта, нельзя игнорировать растущий сегмент торговли с использованием мобильных приложений – они тоже требуют защиты.

Также много опасений связано с обеспечением защиты информации в интернет-магазинах. Безопасность онлайн-сделок выполняется везде по-разному. Многие онлайн-магазины вообще не обрабатывают персональные данные (во всяком случае, они так говорят). Если говорить о практической стороне дела со стороны клиента, то, по данным Дмитрия Дудко, дальше использования SSL никто из представителей интернет-торговли не идет.

Алексей Филатенков подчеркивает, что бурный рост мобильных устройств и онлайн-сервисов в ритейле обязательно должен учитываться при построении системы защиты. По его словам, во-первых, должна быть обеспечена безопасность при разработке ПО для онлайн-торговли. Во-вторых, при написании самих приложений разработчик должен следовать лучшим практикам и стандартам, позволяющим снизить уязвимость данных приложений. В-третьих, необходимо обеспечить защиту веб-приложений от атак извне, например, с помощью межсетевых экранов уровня приложения. В-четвертых, следует обеспечить безопасность самих мобильных устройств.

Опрошенные CNews эксперты единодушны: универсальных ИБ-решений нет. Для защиты предприятий ритейла можно применять все те же средства защиты, что и для организаций других секторов рынка. Однако, при выборе таких решений нужно учитывать некоторую специфику торговых организаций, например, наличие специализированных клиентских устройств.

А продолжающаяся уже несколько кварталов экономическая стагнация скорее позитивно скажется на рынке решений ИБ для торговли, считает Игорь Ляпунов. В условиях стагнации ИБ-риски, связанные с деятельностью сотрудников, только растут. В ритейле они особенно высоки, так как компании оборачивают огромные плохо контролируемые средства, которые проходят небольшими платежами в распределенных географических структурах.