Киберграмотность в компании: почему целостная защита становится приоритетной задачей ритейлеров (мнения экспертов)

Секреты банковских карт, личные данные покупателей и конфиденциальная информация о продажах – всё это делает розничную торговлю одной из наиболее привлекательных целей для киберпреступников. Информационная безопасность и ее улучшение внутри компаний – непрерывный процесс для отрасли, где важно доверие клиента к цифровым сервисам. Ритейлеры должны развивать киберграмотность и приспосабливаться к новым типам угроз. Только так можно уберечь своих клиентов и бизнес и быть готовыми к новым вызовам. 

Сергей Калмыков, СЕО федерального кибербез-хаба Кибердом, пообщался с экспертами крупных розничных компаний, чтобы выяснить, с какими атаками чаще всего сталкивается ритейл, почему компаниям важно выстраивать целостную систему защиты и развивать киберграмотность сотрудников и как это сделать.

За первые четыре месяца 2023 года эксперты F.A.C.C.T.  зафиксировали 75 утечек из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с аналогичным периодом прошлого года, когда было зафиксировано 49 утечек. Жертвы – крупнейшие финансовые и страховые компании, IT-компании, государственные структуры, компании в сфере информационной безопасности. Как и в прошлом году, ритейл-компании тоже входят в группу риска.

Несколько цифр, иллюстрирующих серьезность ситуации:

– Общее количество баз данных российских компаний, оказавшихся на андеграундных форумах и тематических Telegram-каналах в 2022 году, составило 311. 

– Общее количество строк данных пользователей в утечках 2022 году – 1,4 млрд, что фактически превысило население России в 10 раз.  

– Больше всего объявлений было обнаружено на форумах — 241 база, а в Telegram появились 70 баз. 

– Массовая публикация объявлений в мессенджерах — тренд 2022 года, раньше подобные случаи были единичными.

«В отличие от прошлого года, когда злоумышленники выкладывали базы в публичный доступ бесплатно, стараясь нанести наибольший ущерб компаниям и клиентам, в 2023 году злоумышленники вернулись к прежней тактике, стараясь заработать на утечках, например, продавая данные или прибегая к шантажу жертвы с целью получения выкупа», – Валерий Баулин, генеральный директор компании F.A.C.C.T. (бывшая Group-IB в России и СНГ).

Киберугрозы ритейл сектора

В прошлом году с утечками информации столкнулись 67% ритейлеров в России и СНГ. Наиболее распространенными оказались утечки данных о клиентах и сделках (71%), финансовой информации (41%) и технической документации (21%). 

Информационная безопасность в ритейле не имеет отраслевых стандартов безопасности, а уровень государственного регулирования, в отличие от многих других секторов экономики РФ (финансы, телеком и пр.), ограничивается общими законами (например, о персональных данных). При этом ритейл – очень динамичный бизнес, который в последнее время максимально цифровизован и сильно зависит от работоспособности критичных бизнес-процессов. 

Эксперты отмечают, что за последние 2 года количество атак увеличилось, а сами они стали «глубже» – злоумышленники ищут новые техники и способы подстройки, чтобы успешно обходить системы защиты. 

«Нельзя сказать, что ритейл сталкивается с принципиально новыми атаками и векторами, однако мы видим, что теперь у злоумышленников меняются цели и многие из техник, которые находились “в тени”, стали использоваться чаще», – Дмитрий Безбородов, архитектор ИБ отдела кибербезопасности Магнит.

● По-прежнему для ритейла, как и для других отраслей, актуальны атаки, направленные на нарушение работы критичных бизнес-процессов, работы онлайн-сервисов (например, DDoS атаки), и атаки с применением социальной инженерии на клиентов с целью получить доступ в личные кабинеты к их данным. 

● Одними из самых распространенных остаются фишинговые почтовые рассылки, маскирующиеся под рассылки банков, госорганов, партнеров и пр. Сейчас мошенники стали использовать не только вирусные документы, но и вставлять ссылки с фразой «отписаться от рассылки», которые также содержат вирус или фишинговую страницу. 

● Распространены публично легитимные сервисы переадресаций, которые имеют положительную репутацию, но впоследствии переадресуют на мошеннический сайт. При этом многие системы безопасности не могут проверить конечный сайт, так как первичный сервис был доверенным. Злоумышленники используют бесплатные сервисы «CAPTCHA», скрывая свои ресурсы за системой анти-бот, которая обычно используется для защиты от мошенников. Некоторые средства защиты, выполняя проверку сервиса, не могут пройти и этот этап. 

● Актуальны атаки с применением физических устройств в торговых точках, с помощью которых злоумышленники пытаются атаковать сеть магазина и централизованную инфраструктуру. Данные устройства устанавливаются скрытно от сотрудников СБ или ИБ непосредственно на территории компании или удалённо с использованием wi-fi как канала для атаки. 

Для установки внутри помещения мошенники нередко используют социальную инженерию, чтобы вводить в заблуждение сотрудников компании и представляться ИТ-поддержкой. 

«Работа с такими угрозами требует от ИБ слаженной координации со службами безопасности и ИТ, а также тонкой настройки операционных процессов магазинов и наличия собственной высококвалифицированной CSIRT (Computer Security Incident Response Team)», – отмечает Александр Марков, директор департамента информационной безопасности X5 Group.

● Заметен фокус на чистое мошенничество (например, заставить клиента отменить заказ и дать смс-подтверждение для снятия средств с карты клиента) и монетизацию через использование программы лояльности. Цель такого метода – перекупка товара по сниженным ценам с учётом использования средств лояльности, в том числе и чужих (других клиентов).

Риск-ориентированный подход

Особенность ритейл-сектора заключается в том, что компании работают с большим количеством данных и должны защищать не только себя, но и своих клиентов. Например, X5 Group, как ведущая продуктовая розничная компания в России, обрабатывает данные более 17,3 млн покупателей ежедневно. Очевидно, что киберстабильность компании и безопасность данных клиентов становится одной из приоритетных задач ритейлера. С другой стороны, важный фактор – цена товара на полке, в которую наряду со всем остальным включена и стоимость мер защиты. Поэтому ритейлеры должны точно понимать, что они защищают и от чего, и управлять тем, сколько это стоит. 

Несоблюдение мер по защите данных может привести к серьезным финансовым потерям и ухудшению репутации компании. В последнее время всё больше ритейлеров переходят на риск-ориентированный подход, который позволяет видеть большую картину и работать с учетом возможных рисков в своем бизнесе. Такой подход позволяет бизнесу максимально зарабатывать, не неся потерь, больше, чем он готов, и держать низкие цены для покупателей.

Один из ключевых элементов этого подхода – оценка рисков. Она позволяет определить существующие угрозы и оценить их потенциальный вред. На основе такой оценки компании могут разработать стратегии защиты данных и предотвращения нарушений безопасности.

«В X5 Group мы строим риск-центричную информационную безопасность, при этом сами риски мы определяем бизнес-языком, а не техническим, как это принято во многих международных стандартах и практиках риск-менеджмента. Риск-распространения шифровальщика в сети компании ничего не говорит бизнесу о тех последствиях, которые наступят для компании. А вот риск массовой остановки кассового обслуживания клиентов в более чем Х% магазинах на Y часов уже понятен и легко интерпретируется бизнесом в финансовые показатели. Совместно с бизнесом и цифровой командой Х5 Технологии мы определили до 10 рисков, реализация которых может привести к невыполнению целей компании или потере бизнеса целиком. На входе мы взяли стратегию компании, финансовые планы и результаты оценки критичности бизнес-процессов в рамках процесса обеспечения непрерывности бизнеса. Исходя из того, что основная цель любого бизнеса – заработок, мы провели оценку временных и стоимостных параметров риска, в основе которой лежит доработанная методика стоимостного анализа рисков – FAIR. В итоге получили 10 рисков, актуальные вектора атак по MITRE и методы защиты. Оценив эффективность методов защиты, из присущих рисков получили остаточные и их уровни относительно риск-аппетита», – Александр Марков, директор департамента информационной безопасности X5 Group.

Имея на руках оценки и зная эффективность каждого контроля для рисков информационной безопасности становится понятно, куда наиболее эффективно инвестировать. Не всегда это оказывается развитие средств защиты или процессов информационной безопасности для снижения определенных ранее рисков. Порой гораздо выгоднее рассмотреть инвестиции в ИТ-инфраструктуру и модернизацию процессов ИТ.

«На первый план выходит зависимость товародвижения от внешних систем регулятора, например, ЕГАИС, Честный Знак. В момент атак на эти ГИС могут быть перебои с отгрузкой, вплоть до полной остановки. Это мы наблюдали в прошлом году – ГИС атаковали, и рынок испытывал проблемы. Вы можете рассчитать день вашего простоя из-за отсутствия обмена с ЕГАИС, Честного Знака, ВетИС или другой ГИС, к которой привязаны ваши бизнес-процессы. Атаки не только на вас, но и на сами ГИС должны быть включены в карту рисков и проработаны вами в обязательном порядке», – Лев Шушпанов, руководитель управления инфраструктуры и поддержки Simple Group.

Ритейлерам необходимо вести диалог с регулятором, выносить предложения по обмену через зашифрованные каналы данных. Защищайте интеграции, пишите план реагирования, оценивайте ваши риски. Нужно учитывать вашу зависимость не только от государственных систем, но и от доступности для вас других внешних сервисов. Это могут быть как интеграции между облачной телефонией и вашими ЦОД, так и доступность DNS зон вашего регистратора доменных имен. Техническое решение есть всегда, но лучше продумать и подготовить его заранее.

---

Читайте также: МТС RED: ИТ, промышленность и ритейл – наиболее атакуемые хакерами отрасли

---

Важно не только обеспечить безопасность технических средств и программного обеспечения, но и развивать культуру безопасности на всех уровнях – уделять внимание обучению своих сотрудников и развивать киберграмотность компании. Только при комплексном подходе можно эффективно защитить себя от всех потенциальных угроз.

«Сочетание естественного желания человека сэкономить и получить персональное промо с высокой технологической клиентоориентированностью российского ритейла, поддержкой самых разных форматов заказа и оплаты даёт достаточно широкое поле для возможностей мошеннических действий, применяемых схем, работы социальной инженерии. И вопросы кибербезопасности для ритейла лежат не только в сфере защиты собственных данных и бизнес-периметра, куда относятся и персональные данные, но и самого процесса комфортной и безопасной покупки для клиентов. Бизнес-модель М.Видео-Эльдорадо ориентирована на создание бесшовного клиентского опыта онлайн и в магазинах, это значит, что с точки зрения кибербезопасности мы должны обеспечить бесперебойную, но безопасную работу не только внутренних систем, но и всего контура клиентских решений. Информационная безопасность становится критически важным аспектом развития и обновления всех ИТ-продуктов. Важным направлением работы тут становится повышение грамотности и образование в сфере киберугроз как среди сотрудников, в первую очередь, нашего розничного персонала, так и среди клиентов. И это та сфера, где ритейлерам имеет смысл выступать сообща, повышая осведомленность покупателей о потенциально возможных схемах мошенничества», – считает руководитель департамента информационной безопасности «М.Видео-Эльдорадо» Александр Орешков.

Сегодня, в эпоху участившихся киберугроз, перед ритейлерами возникают новые вопросы, как наиболее эффективно улучшать ИТ-инфраструктуру и подготовить свои команды к новым вызовам. Централизованная помощь российским компаниям в создании результативных систем кибербезопасности и повышении уровня киберберграмотности – одна из миссий проекта Кибердом, который откроется осенью этого года в Москве. Кибердом станет нейтральной средой для обмена опытом и эффективного взаимодействия экспертов информационной безопасности, бизнеса, государства и будущих кадров. 

Сергей Калмыков, 
СЕО федерального кибербез-хаба Кибердом.

Для NEW RETAIL