Страхи ритейла

Платежные протоколы больше небезопасны. Пользовательская поддержка онлайн-магазина может обернуться против самих пользователей. PoS-терминалы научились взламывать – оказывается, это не так уж сложно. Короче говоря, последние несколько лет добавили проблем с безопасностью ритейлерам по всему миру. По мнению антивирусной компании Panda Security, ушедший 2015 год вообще стал рекордным по количеству созданных вредоносных программ. При этом по числу заражений за этот же год Россия находится на пятом месте, пропустив вперед Китай, Тайвань, Турцию и Гватемалу.


АВТОР: Наталья Николаева

Новости от компаний, занимающихся безопасностью, выглядят настолько пугающими, что мы решили выяснить, а не преувеличена ли сейчас значимость информационной безопасности? Что касается охраны собственного периметра, вопрос в целом ясен: защищаться нужно, в этом на собственной практике убедились все юзеры, так или иначе использующие компьютер. «Средства защиты сетевого периметра организации не является экзотикой и защищает от базовых угроз, – подтверждает Светлана Гущина, руководитель отдела продвижения продуктов компании «Код безопасности». – Известно, что в Интернете распространяются вирусы и «атаки на дурачка». При отсутствии в компании базовых мер защиты сетевого периметра в виде межсетевого экрана, средства шифрования каналов связи и средства предотвращения вторжений невозможно гарантировать непрерывность деятельности компании – любые «случайные» атаки могут на несколько дней или даже недель приостановить работу критических для бизнеса ИТ-систем».

Гораздо интереснее другой аспект ИБ: что может случиться с коммерческой организацией, если она допускает утечки внутренней информации (а это не только коммерческие секреты, но и данные пользователей, следить за которыми обязывает Федеральный закон №152 «О персональных данных»)? Светлана Гущина поясняет: «Информационная безопасность в последние годы действительно стала «модной темой», что привело к появлению страха у пользователей и раздуванию скандалов. Информация об утечках конфиденциальных данных заполонила Интернет, но у многих возникает недоверие: действительно ли это так сильно вредит людям и организациям? В пример очень часто приводятся американские компании, в которых случаются утечки персональных данных клиентов. Стоит отметить, что в США компании обязаны отчитываться о произошедшей утечке и платить штрафы за каждую подобную запись. В России ситуация иная: штрафы налагаются на компанию в случае проверки со стороны регуляторов и обнаруженного несоответствия информационных систем требованиям законодательства. При этом не важно, произошла ли утечка и когда именно: за реализованные информационные риски никаких наказаний не предусмотрено. Вот и получается ситуация, что инцидент произошел, а наказания не последовало, и компания спокойно продолжает свою деятельность».

При этом информация, находящаяся в базах ритейлеров, особенно интересна злоумышленникам. По данным аналитического центра компании InfoWatch, секторы торговли и HoReCa – одни из наиболее привлекательных для киберпреступности.

«В 2015 году утечки данных в торговле составили 11% общего количества подобных инцидентов среди всех отраслей. Масштаб утечек, пусть и незначительно, но ежегодно растет, – отмечает Евгений Матюшенок, заместитель коммерческого директора SearchInform. – В качестве громкого примера 2015 года могу привести промоакцию российского подразделения одного из крупнейших китайских ритейлеров JD.com. В результате сбоя в системе защиты JD.ru в свободный доступ попали персональные данные более 5000 клиентов торговой площадки. В начале декабря фигурантом скандала, связанного с утечкой данных, стал китайский производитель электронных детских игрушек VTech. В результате инцидента пострадали как минимум 11,2 млн клиентов компании, из которых 6,4 млн – несовершеннолетние. Число российских пользователей, пострадавших в результате инцидента, сравнительно невелико – менее 1000 человек. Думаю, эти примеры достаточно веско указывают на актуальность проблем ИБ в ритейле».

Также стоит помнить, что до 54% утекающей информации приходится на платежные данные: реквизиты карт, номера счетов и так далее. Так, в течение последних лет набирали обороты атаки, нацеленные на кражу информации с кредитных карт непосредственно в момент их обработки в точке продажи, что угрожает любой организации, обрабатывающей платежи клиентов. Подробностями делится Михаил Кондрашин, технический директор компании Trend Micro в России: «Например, в конце прошлого года был обнаружен ботнет Андромеда, нацеленный на PoS-терминалы. Наше исследование показало, что боты при активации сканируют оперативную память в поисках информации с кредитной карты, которую в данный момент обрабатывает терминал. При этом используемые механизмы очень похожи на технологии защиты от утечек данных, только тут они используются злоумышленниками, чтобы вредонос был «всеяден» и находил конфиденциальные данные в любом ПО, обрабатывающем платежи».

Светлана Гущина напоминает, что многие онлайн-магазины предлагают возможность хранения данных банковских карт для ускорения процесса оплаты товаров. «Подбор паролей пользователей или перехват аутентификационных данных по незашифрованным каналам связи дает злоумышленникам свободный доступ к полной информации о данных кредитных карт покупателей», – поясняет она.

На практике мы видим, что компании, допускающие утечку данных своих клиентов, не исчезают с рынка. «Да, утечка данных, как правило, не приведет к банкротству компании, – подтверждает Сергей Хайрук, аналитик компании InfoWatch. – Но давайте взглянем на проблему иначе. Когда данные утекают, они не растворяются в воздухе, а так или иначе оказываются на черном рынке, где их используют, скажем, для оформления налоговых вычетов. Это отличный бизнес для мошенников. Причем зачастую крадут эти данные отнюдь не гении преступного мира, а обслуживающий персонал: официанты, медсестры – то есть обычные граждане, которые каким-то образом получили доступ к базе данных и воспользовались этим. Ритейлеры агрегируют огромное количество данных, и утечка такого объема грозит как минимум тем, что многим клиентам будет нанесен ущерб. Помимо государственного регулирования этого вопроса компании стоит опасаться претензий со стороны граждан, чьи данные утекли. Для ритейлера в этом случае есть стимул озаботиться сохранностью данных. Если на вас подан миллион исков хотя бы по 10 долларов каждый – это вообще-то серьезные деньги. В России никто не мешает физическим лицам подавать на такие легкомысленные компании в суд. Люди могут собраться в крупную административную группу и сделать это».

Полный текст статьи читайте в печатной версии журнала «МОЕ ДЕЛО.Магазин».

Еще в этой категории: « На грибной основе






Мнения экспертов

автор: Татьяна Санина, генеральный директор инновационного центра «Бирюч-НТ» (R&D центра ГК «Эфко»)
Естественный отбор
автор: Валентин Агарков, заместитель председателя комиссии ОП РФ по развитию малого и среднего бизнеса
Точка невозврата
автор: Михаил Николаев, генеральный директор торгового дома «Николаев&Сыновья», управляющий партнер семейного предприятия «Николаев&Сыновья»
Возможность не для всех