Внутренняя ИТ-безопасность в ритейле: мышь ловить или крупу сторожить? И то, и другое!

Цифровизация ритейла – это не только переход торговли в онлайн. Это еще и более полное использование информационных технологий для разнообразных целей. В частности, очень хорошо работают программные средства в области защиты информации. 

А ритейлеру, как правило, есть что защищать, поскольку в такой высококонкурентной области, подверженной быстрым изменениям, выход конфиденциальных данных за пределы компании может иметь катастрофические последствия. 

Например, если конкурент узнает закупочные цены или условия промоакций, он сможет продавить поставщика и выбить цены ниже, таким образом компания может утратить конкурентное преимущество. То же самое касается цен на недвижимость. Торговые сети постоянно покупают, продают и берут в аренду торговые площади, стоимость которых исчисляется миллионами. Эти миллионы отражаются на стоимости товаров и напрямую влияют на привлечение покупателей. Бывает обидно, когда конкурент добивается более низких цен на недвижимость, потому что топ-менеджер «слил» ему информацию. 

Как избежать такого конфуза?

Или взять, например, технологию собственного производства. Обилие относительно стандартного ассортимента уже не удивляет покупателя, но нишевые товары разрабатываются под конкретную целевую аудиторию. И выйти на переполненный рынок товаров и услуг не так просто. В данном случае очень важно сохранить коммерческую тайну, чтобы ее не перехватили конкуренты и не стали производить похожий или аналогичный товар по более низкой цене. 

Как уберечь информацию от утечки? 

Если контроль процесса работы в производственном помещении относительно проработан, то сохранность информации о концепции защищена, как правило, не так хорошо, и это является головной болью владельцев и топ-менеджеров магазинов и торговых сетей.

Объем конфиденциальной информации, с которой работает любой ритейлер, очень велик и включает в себя разнообразные сведения: от персональных данных, работа с которым регламентируется на законодательном уровне, до коммерческой тайны, в которую может входить, например, рецептура собственного производства. 

В данной статье мы остановимся на вопросах защиты конфиденциальной информации при помощи программных средств. Возьмем для примера сеть продуктовых супермаркетов.

Критически важная информация, которая ни в коем случае не должна попасть за пределы организации – это, например, закупочные цены, условия и сроки промоакций на те или иные продукты. Важно не допустить, чтобы эти сроки совпали со сроками местных конкурентов, – компания недополучит прибыль, потому что половина покупателей придет к конкуренту. Также крайне важно сохранить в тайне цены на недвижимость, поскольку это один из важных факторов создания конкурентоспособной цены. Не говоря уже о рецептуре изделий собственного производства, которая вырабатывалась годами, либо была куплена по франшизе, либо ее уникальность сильно зависит от поставщика сырья: это именно та информация, сохранность которой важна для региональных рынков в конкурентной борьбе с федеральными сетями. 

Конечно, можно ограничить использование смартфонов сотрудниками в производственном помещении, но это не единственный способ утечки информации. Человеческий фактор играет здесь ключевую роль. 

Недоверие могут вызывать как новые сотрудники, так и персонал со стажем, особенно если в силу тех или иных причин лояльность работников снизилась. Особая категория – топ-менеджеры, которые имеют доступ ко многим внутренним документам. Да и рядовые сотрудники в курсе регламентов бизнес-процессов, и случайно могут стать легким орудием злоумышленников. Хотелось бы знать наверняка, что они лояльны к работодателю.

Как показывает статистика, большинство случаев утечки информации происходят по недосмотру, по причине незнания правил или отсутствия регламентов. 

Защита коммерческой тайны на предприятии начинается с определения, что именно составляет коммерческую тайну, какие документы и данные наиболее ценны, какая информация имеет критическое значение для поддержания концепции, выдерживания стандартов, прохождения экспертизы качества и пр. Определение круга таких документов и проставление на них грифа «Секретно» уже снимает 90% инцидентов, поскольку многие утечки совершаются без злого умысла, по недосмотру или незнанию. Вряд ли большинство сотрудников не дорожит своим рабочим местом настолько, чтобы с легкостью совершать запрещенные действия. А регулярные ликбезы, информирование и обучение сотрудников приемам защиты информации поддержат не только режим коммерческой тайны, но и лояльность сотрудников: учеба работает лучше, чем карательные меры.

Для технического контроля особо важной информации используются системы мониторинга, которые не только позволяют отслеживать движение информации внутри компании, но могут защитить необходимые документы от копирования, перемещения, внесения изменений, вывода на печать, отправки по почте. 

Такая система позволяет отслеживать:

• чем именно занимались сотрудники, имеющие привилегированный доступ;
  
  
• копировали ли файлы на флешках или других съемных носителях, вообще использовали ли съемные носители;
  
  
• совершали ли выход в интернет, на какие именно сайты, с указанием времени, которое они там проводили и действий;
  
  
• некоторые сайты можно поставить под особый контроль, когда скриншоты с экрана снимаются чаще, а кейлоггер предоставляет полную информацию по нажатию клавиш на клавиатуре;
  
  
• перемещение, копирование, отправка файлов на печать, по почте, в облако.

И если уж инцидент произошел, сотрудник совершил сознательно хищение информации, отправил критически важные сведения, то такая система позволит расследовать все обстоятельства: что именно было отправлено, куда, по каким каналам, какие люди к этому причастны и пр. Это даст возможность выявить инсайдера, который сливает информацию на сторону, и понять, каким именно способом он это делал. 

Как правило, злоумышленники пользуются не одним каналом передачи информации, есть возможность поймать их за руку при одном из способов передачи данных. Если же система мониторинга среагировала на факт утечки ценной информации, то служба безопасности может моментально отреагировать и заблокировать пользователя во внутренней ИТ-системе, а далее известны случаи, когда инсайдера ловят тут же за компьютером. Если вдруг не получится решить вопрос с сотрудником моментально, то результаты работы системы мониторинга можно использовать в суде как юридические доказательства вины. 

Для того чтобы оценить, насколько вам необходима установка системы мониторинга, компании-поставщики предлагают своим клиентам тестовый период, в течение которого можно оценить уязвимости системы информационной безопасности на предприятии, и даже раскрыть инциденты.

В последнее время тестовый период стал отраслевым стандартом на рынке систем информационной безопасности, поскольку компании нужно понимать, что за продукт она приобретает и удобно ли с ним работать. Как правило, такие системы можно установить самостоятельно, с помощью инструкций вендоров. В случае затруднений инженеры технической поддержки окажут необходимую помощь. 

Информация, полученная в тестовый период, дает представление, как минимум, о трудовой дисциплине. Когда сотрудники приходят на рабочее место и когда уходят, не занимаются ли во время рабочего дня посторонними вещами? В частности, известны случаи, когда сотрудники занимались майнингом, используя ИТ-ресурсы компании. Раскрываются случаи параллельной работы в другой компании, и конечно, факты слива информации. Кроме того, вы получаете картину, как именно осуществляется движение информации в вашей компании. 

Поверьте, там будут сведения, которые вас удивят. Специалисты вендоров в конце тестового периода помогут выгрузить отчеты и интерпретировать данные. 

Вернемся к ритейлу. 

Один из вопросов, который, возможно, не дает покоя владельцу, – может ли он доверять своим топ-менеджерам? И на него может ответить система мониторинга. Работа с особо ценной информацией, корректность изменений в критически важных документах, телефонные переговоры – все эти факты система фиксирует и помогает раскрыть злоумышленника. 

Правомочно ли это с юридической точки зрения? – спросите вы. Отвечаем: да, если соблюдены определенные формальности. В частности, право работодателя использовать систему мониторинга должно быть прописано в договоре найма. Кроме того, сотрудники должны быть предупреждены о том, что оборудование, которое принадлежит работодателю, предназначено для выполнения производственных функций, и использование его по другому назначению запрещено. Как правило, этого бывает достаточно, чтобы не допустить 90% нарушений. 

1. В компании определен и составлен перечень сведений, относящихся к коммерческой тайне
2. В компании имеется политика безопасности
3. В компании имеется Положение о коммерческой тайне
4. Используются грифы секретности
5. Назначены сотрудники, ответственные за поддержание режима коммерческой тайны
6. Введена система прав доступа
7. Проведен учет лиц, имеющих доступ к информации, относящейся к коммерческой тайне
8. Порядок использования конфиденциальных сведений прописан в трудовых договорах с сотрудниками
9. Порядок использования конфиденциальных сведений прописан в договорах с контрагентами
10. В компании имеются правила внутреннего трудового распорядка
11. В трудовых договорах имеется пункт о том, что оборудование является собственностью работодателя и использование его в личных целях запрещено
12. В трудовых договорах имеется пункт о том, что работодатель может установить систему мониторинга или DLP-систему, с помощью которой производится контроль доступа к критически важной информации
13. Все сотрудники ознакомлены под роспись с документами в области информационной безопасности
14. Созданы условия для соблюдения режима коммерческой тайны (сотрудникам выданы персональные учетные записи, при необходимости – устройства хранения, перечни категорий информации, сейфы и пр.)
15. Разработана программа обучения сотрудников мерам информационной безопасности