Информационная безопасность в ритейле: многоуровневый подход и план реагирования
Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ
Ритейл сегодня – это миллионы клиентов и их кредитных карт, новые технологии для распознавания людей и моментальной оплаты товаров, — по данным аналитического центра НАФИ, каждый десятый россиянин пользуется смартфоном для бесконтактной оплаты товаров. На протяжении многих лет злоумышленники разрабатывали все более изощренные способы атак на POS-терминалы и розничные сети. Каждый третий ритейлер уже подвергался атакам хакеров, и размах, и опасность этих атак только возрастают.
Онлайн- и офлайн-ритейл: атакуют всех
Киберпреступники активно пытаются похитить персональные и финансовые данные потребителей, которые они сообщают при совершении интернет-покупок, а также участвуя в цифровых маркетинговых кампаниях и программах лояльности. Неудивительно, что более трети всех ритейлеров уже стали жертвами атак злоумышленников.
Похищенные сведения продаются на черном рынке по цене до 20 долларов США за запись, поэтому информация по кредитным картам, личные контактные данные, даты рождения и покупательские предпочтения – то, на что виртуальные воры нацелены в первую очередь.
Пример этой ситуации – взлом систем ритейлера GameStop. Успешно похитив имена, адреса и реквизиты банковских карт заказчиков, включая CV-коды, хакеры выставили их на продажу в даркнете.
Кроме того, компания Forever 21 пополнила список жертв, пострадавших от атак на торговые терминалы. Среди них такие ритейлеры, как Chipotle, Kmart, Brooks Brothers, Target и T.J.Maxx. В случае с Forever 21 хакеры получили доступ к платежной информации потребителей, отключив шифрование на POS-устройствах – технологию, которую торговая сеть внедрила всего два года назад.
Как показало наше исследование сайта интернет-магазина AliExpress, еще один популярный метод, с помощью которого злоумышленники воруют клиентскую информацию у ритейлеров – фишинг. В данном случае он использовался в сочетании с XSS-атакой, чтобы повысить уверенность пользователя в том, что на сайте не происходит ничего необычного. Действительно, в течение прошлого года преступники использовали имена таких крупных розничных продавцов, как Amazon, Best Buy, Walmart и Nike, чтобы вовлечь потребителей в мошеннические схемы с использованием интернет-магазинов.
Ущерб, который при этом наносится репутации организаций, а также сопутствующие финансовые издержки, могут быть огромными. По некоторым оценкам, каждая украденная клиентская запись в среднем обходится компании в 172 доллара США. В эту сумму входят расходы на устранение последствий взлома, коммерческие потери вследствие простоя, нормативные штрафы и юридические издержки. Кроме того, по данным наших опросов, если ритейлер подвергся нападению со стороны киберпреступников, около 20% покупателей не будут пользоваться этим магазином. Это высокая цена, которую приходится платить за то, чего можно избежать.
Что делать?
В мае 2018 года вступил в силу Общий регламент ЕС по защите данных (GDPR). Этот документ будет иметь далеко идущие последствия для ритейлеров, в том числе для тех, которые работают в международном масштабе. Чтобы избежать последствий хищений данных, компаниям необходимо принять стратегию безопасности, основанную на внедрении динамичных архитектур с современными защитами, работающими в режиме реального времени.
В первую очередь, в рамках этой общей стратегии Стандарты Безопасности Данных Платежных Карт (PCI DSS) должны стать повседневными бизнес-операциями. Для этого необходим активный мониторинг работы защитных систем, обеспечивающий эффективную и надлежащую их эксплуатацию. Второе условие – применение политик аудита безопасности в режиме реального времени и гарантия правильности настроек и эксплуатации средств контроля защиты, например, межсетевого экрана, антивируса, систем IPS (для предотвращения вторжений) и DLP (для предотвращения потери данных).
Ритейлеры, которые используют POS-терминалы, также обязаны обеспечить сквозное шифрование всех транзакций с кредитными картами — это позволит обезопасить данные потребителей. Особенно важно изменить точку зрения на защиту сети: это больше не единый периметр, а множество разнообразных точек доступа.
Жизненно необходим многоуровневый подход, охватывающий обязательное исполнение, контроль и управление. Мы рекомендуем выстроить план безопасности вокруг шлюза и терминалов. Эта система должна обнаруживать и блокировать вредоносное ПО, предназначенное для заражения устройств, сбора и извлечения клиентских данных. Еще одно необходимое условие – политики безопасности и автоматизированные защиты, настроенные администратором, должны содержать конкретные, обязательные к соблюдению правила по управлению доступом и работе с данными.
Наконец, у бизнеса должен быть план действий на случай атаки. Это позволит избежать ущерба для репутации и коммерческой деятельности компании. Такой план должен быть отработан, чтобы все задействованные в нем участники знали свою роль и порядок взаимодействия с другими членами команды реагирования.