11:21, 11 апреля 2018,
11:21
4470
Информационная безопасность в ритейле: как не потерять все данные
Роман Волов, технический эксперт компании TESSIS (ЗАО «СИС»), официальный дистрибьютор компании Gemalto.
Роман Волов, технический эксперт компании TESSIS (ЗАО «СИС»), официальный дистрибьютор компании Gemalto.
Все проблемы информационной безопасности, которые имеются в сегменте ритейла, давно известны. Главная из них заключается в том, что забота о безопасности в IT-сегменте стоит у ритейлеров далеко не на первом месте. Жесткая конкуренция и необходимость постоянного развития бизнеса требуют вложения крупных сумм, поэтому на непрофильных строках бюджета стараются сэкономить, урезая расходы, в том числе на финансирование информационной безопасности. Отсутствие должного внимания может привести к таким неприятным последствиям, как хакерские атаки, взломы и хищение личной информации, которые в дальнейшем ставят под угрозу репутацию и положение на рынке.
Ритейлеры стремятся повысить лояльность клиентов и предлагают привилегированным покупателям особые условия: проводя опросы и анализируя предпочтения потребителей, магазины предоставляют именные скидочные карты, персонализированные предложения, рассылки и др. Всю эту информацию нужно тщательно защищать, так как в случае их потери можно столкнуться с рядом неприятных последствий – от штрафных санкций со стороны государственного регулятора и потери своей репутации до перехода клиентов к конкурентам и коллективного иска со стороны пострадавших.
Утечки данных происходят достаточно часто, но о них не говорят. По статистике, каждую секунду в мире происходит кража порядка 60 учетных записей. Несмотря на замалчивание таких историй, некоторые из них все равно проникают в сеть.
Так, в 2017 году самый крупный интернет-ритейлер Amazon столкнулся с чередой атак на своих пользователей. По сообщению аналитического центра InfoWatch, злоумышленники похищали неактивные учетные записи, чтобы предлагать несуществующие товары, за которые пользователи платили реальные деньги.
Многие покупатели и не предполагают, что информация об их частной жизни может оказаться на просторах интернета. Так, eBay допустил утечку истории заказов своих клиентов в Google – среди потерянных данных были и сведения о покупках тестов на беременность, наличие наркотиков и ВИЧ.
Что касается ситуации на российском рынке, то в 2017 году Роскомнадзор начал проверку более 80 интернет-магазинов, допустивших незаконное распространение персональных данных покупателей в интернете. Владельцы этих сайтов будут установлены через регистраторов доменных имен, и материалы по фактам нарушений требований конфиденциальности персональных данных будут направлены в прокуратуру.
Причиной послужила одна из многих утечек данных. Например, российские пользователи «Яндекс» смогли найти бланки пассажиров РЖД, которые заказали билеты через сайт railwayticket.ru – ресурс, который, как оказалось, не имеет отношения к РЖД. Руководитель проекта признал факт утечки данных.
Ритейл быстро развивается, но вместе с тем растут и риски утраты важной конфиденциальной информации, и способствуют этому несколько факторов.
Отсутствие законодательства
Проблема, с которой сталкиваются ритейлеры, — отсутствие какого-либо законодательства в этом секторе. Если взять, например, банковскую сферу, то в ней немало нормативных документов, которые требуют от банков соблюдения стандартов информационной безопасности. В ритейле такие нормативы отсутствуют. Одним из основных правил, которым руководствуются игроки рынка, выступает 152-ФЗ – федеральный закон «О персональных данных». Его соблюдение обязательно, но отсутствие регулярных проверок зачастую заставляет средний и крупный сегменты ритейла закрывать на это глаза.
Уже сейчас ритейлерам нужно смотреть в будущее, так как нормативная база в области информационной безопасности продолжает совершенствоваться. В связи с этим представителям отрасли лучше заранее привести все нормативы в соответствие с международными требованиями по обеспечению информационной безопасности, нежели ожидать выхода соответствующей нормативной документации.
Распределенная структура
Ритейлеры постепенно уходят от формата «одного офиса» – все большую популярность набирает распределенная инфраструктура. Практически у всех крупных игроков на рынке есть удаленные сотрудники и представительства в других регионах. Децентрализация позволят сэкономить на кадрах и расширить географию бизнеса. Повысился спрос и на услуги аутсорсинговых компаний – бухгалтерию больше не обязательно держать в штате, гораздо удобнее становится привлекать сторонние организации, которые будут проводить финансовые операции. Учитывая все эти факторы, получается довольно устрашающая картина: офис отсутствует, филиалы компании разбросаны по всей стране, а часть операций выполняют сторонние подрядчики. Кроме того, сюда можно добавить актуальную проблему текучки кадров, когда один и тот же региональный представитель сегодня работает на одну организацию, а завтра – на другую. Так и хочется спросить: «А не страшно вам за свой бизнес?». В такой ситуации децентрализованная инфраструктура особенно нуждается в надежной защите.
Облачные технологии
Переход в «облако» позволяет ритейлерам экономить на развертывании собственной инфраструктуры хранения и обработки данных, используя готовые решения, которые без труда можно масштабировать. Кроме того, облачные технологии дают возможность обрабатывать и анализировать большой объем данных. Несмотря на то, что каждый провайдер стремится максимально защитить свои серверы, риск утечки данных все равно присутствует. Основным фактором в таком случае выступает вопрос доверия к провайдеру, так как именно он может получить информацию, которая хранится на сервере. Очевидно, что доступность данных в этом случае изменить нельзя, однако на рынке существуют решения по шифрованию записей, основной принцип работы которых состоит в обеспечении прозрачного шифрования виртуального сервера. Такое шифрование делает, по сути, бессмысленными любые попытки украсть информацию либо несанкционированно ею воспользоваться. Технология доверенной загрузки гарантирует, что недоверенное лицо не сможет запустить виртуальный сервер и получить доступ к конфиденциальным данным. Решение реализует и основную концепцию безопасного хранения данных, заключающуюся в раздельном хранении ключей и самой зашифрованной информации.
Как защитить свой бизнес?
Применение единой системы многофакторной аутентификации и шифрования конфиденциальной информации позволит существенно сократить риски по ее несанкционированному использованию, а в некоторых случаях – полностью исключить. Если данные все же были украдены, шифрование не позволит их просмотреть. Для ритейла такие технологии играют особую роль, поскольку в первую очередь помогают сохранить деловую репутацию и повысить уровень доверия со стороны потребителей. Такие изменения в дальнейшем приведут к увеличению клиентской базы, а значит, – и количества продаж.