«Эльдорадо»: бизнес осознал важность защиты персональных данных

О роли государства в разработке требований к ИБ розничных компаний и о наиболее эффективных методах построения системы защиты персональных данных в своем интервью R&L рассказывает Константин Коротнев, руководитель службы информационной безопасности компании «Эльдорадо»

Константин Коротнев, руководитель службы информационной безопасности компании «Эльдорадо»

R&L:Как вы оцениваете сегодняшнюю ситуацию с ИБ в ритейле в целом?

К. Коротнев: Среди российских ритейлеров постепенно наступает понимание важности создания эффективных систем информационной безопасности. Представители бизнеса, топ-менеджмента, акционеры, владельцы компаний начинают осознавать наличие рисков, которые отнюдь не эфемерны и могут быть оценены в реальных убытках для бизнеса. Связано это с двумя тенденциями. Во-первых, бизнес оказывается все более зависимым от инновационных технологий, особенно в условиях перевода части процессов в облачное пространство. Во-вторых, увеличивается количество требований регуляторов, при этом они становятся все более жесткими.

Онлайн-ритейлерам уже хорошо знакома ситуация, когда в случае распределенной атаки типа «отказ в обслуживании» интернет-магазин оказывается недоступен, т. е. на определенный период времени перестает генерировать прибыль. Она входит в число наиболее существенных рисков, связанных с информационной безопасностью. Также актуальны риски мошенничества, различных злоупотреблений, например, когда внешние либо внутренние злоумышленники (инсайдеры) пытаются провести несанкционированные операции с начислением или списанием бонусов у клиентов. Значимость такого рода рисков обусловлена тем, что их реализация со стопроцентной вероятностью ведет к серьезному финансовому и репутационному ущербу.

Эффективность политики информационной безопасности «Эльдорадо» была засвидетельствована Роскомнадзором

Что касается бизнес-процессов, наиболее явно подвержены воздействию рисков ИБ закупка, учет, логистика, продажи, управление персоналом и управление финансами. Также в этом списке следует обязательно упомянуть риски, связанные с действующими программами лояльности, которые обусловлены наличием гигантских баз данных о клиентах (в частности, в базе данных «Эльдорадо» хранится информация примерно о 10 млн клиентов). с одной стороны, защита этих сведений предусмотрена требованиями регуляторов, с другой – компрометация данных означает неминуемую потерю клиентов, которые за дальнейшими покупками отправятся к конкурентам.

R&L:Существующие требования к ИБ в ритейле со стороны законодательства сегодня представляются вам достаточными или нуждаются в какой-либо доработке?

К. Коротнев: На мой взгляд, в целом работа в данной сфере идет в правильном направлении. Но при этом я считаю, что государство не должно в приказном порядке вынуждать ритейлеров использовать те или иные средства защиты от угроз: достаточно установить, например, высокие штрафы за утечку данных.

Игорь Ткачев, ведущий консультант отдела бизнес-анализа РДТЕХ

Игорь Ткачев: Ритейл в России является динамически развивающейся отраслью с высокой степенью конкуренции, которая разворачивается между игроками рынка на «поле» привлечения клиента путем изучения его потребностей и предпочтений, что требует сбора и обработки информации о нем. В связи с этим информация о клиентах представляет особую ценность для ритейла как одно из основных конкурентных преимуществ в борьбе за рынок. Информация используется во множестве бизнес-процессов при участии большого числа сотрудников, среди которых наблюдается высокая «текучка».

Информация о клиентах может передаваться третьим лицам в интересах ведения бизнеса, например, для формирования программ лояльности, доставки грузов и т. д. С другой стороны, информация о клиентах относится к категории персональных данных, сбор и обработка которой должны осуществляться в соответствии с федеральными законами и требованиями регуляторов, при этом ответственность за нарушение законодательства в последнее время увеличивается. Налицо явные угрозы информационной безопасности – инсайдеры, внешние соисполнители и нарушения требований обработки ПДн, которые могут привести к ослаблению конкурентных преимуществ. в соответствии с этими угрозами должны быть выстроены меры, предотвращающие или снижающие риски информационной безопасности. в частности, ограничен доступ инсайдеров только к необходимой для выполнения работы информации с по- мощью средств управления доступом и периодически должен проводиться аудит прав доступа. к сожалению, даже известные ритейлеры в связи с большой текучестью кадров часто используют единственную учетную запись для нескольких сотрудников и не блокируют ее при их увольнении. Передача информации третьим лицам должна быть соответствующим образом оформлена, чтобы избежать в дальнейшем претензий со стороны субъекта персональных данных. Увеличивающаяся ответственность операторов персональных данных может в какой-то момент породить поток претензий и «выбросов» в СМИ как средство ослабить конкурента. По данным Росстата, в последнее время наблюдается замедление темпа роста розничного товарооборота в России, что еще больше усилит конкуренцию в ритейле и породит новые методы борьбы за выживание

Антон Разумов, руководитель группы консультантов по безопасности Check Point Software Technologies

Антон Разумов: В ритейле, как и во многих других отраслях бизнеса, существует ряд стандартных угроз информационной безопасности. в отличие от банковской сферы, где значительная часть рисков связана с операциями по банковским картам и бдительностью их владельцев, в розничной торговле преобладают такие угрозы, как сетевые хакерские атаки и утечки корпоративной информации.

Компании-ритейлеры работают с разными видами критически важной информации – документами, контрактами, базами данных поставщиков и клиентов. Так, утечка персональных данных клиентов может существенно повлиять на репутацию компании и повлечь финансовые потери. Утечка информации может происходить как в результате кибератак, так и из-за неосторожности или злого умысла сотрудников. Сегодня сотрудники все чаще используют в работе разнообразные мобильные устройства вроде ноутбуков, планшетов и смартфонов, которые не защищены от стороннего проникновения. Если даже внутренняя сеть компании имеет надежную систему защиты, подключение к общественным сетям с мобильных устройств не может гарантировать полную защиту корпоративных данных.

Еще одним уязвимым местом для ритейлеров является торговля в интернете и электронная коммерция. В случае атаки типа DoS (denial of service — «отказ в обслуживании») пользователи онлайн-магазина не могут сделать заказ, в результате чего компания несет материальные и репутационные убытки. Из-за DDoS-атак ритейловые сети теряют возможность оперативно формировать и отслеживать заказы на поставки, что может привести к сбоям в ассортименте и прочим потерям. Часто DDoS используется не для того, чтобы прервать работу сервиса, а в качестве маскировки для проведения масштабной кибератаки, результатом которой может стать взлом корпоративной сети, утечка конфиденциальной информации и т. д. Сегодня хакеры не используют какой-то один тип атак — они применяют комплексные атаки, то есть целый набор технологий и методов взлома. Каждая компания должна понимать, что многоуровневые атаки требуют такой же многоуровневой системы защиты

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

Михаил Башлыков: Проблемы информационной безопасности в торговых сетях связаны с форматом их работы. Если мы имеем в виду ритейл, не имеющий интернет-бизнеса, то угрозы достаточно стандартны: это защита корпоративной инфраструктуры, офисных сетей от взломов, спама, вирусов

Если же магазин работает в онлайн-формате, к этим рискам прибавляется проблема атак на ресурсы, их работоспособности в целом. Крупный интернет-магазин должен озаботиться созданием надежного дата-центра или использовать его ресурсы по аутсорсинговой модели. Ведь покупатели ждут от магазина постоянной доступности.

Для обеспечения безопасности интернет-магазинов следует использовать облачные сервисы, которые гарантируют защиту от DDoS-атак, которая может повлиять на доступность сайта, внедрять системы сетевой безопасности и другие инфраструктурные решения.

Но вне зависимости от типа торговой компании должно быть обязательно выполнено одно из ключевых требований – обеспечена защита персональных данных клиентов в соответствии с законодательством. Эти данные попадают в системы, так как практически все торговые сети сегодня так или иначе применяют в своей деятельности программы лояльности, они собирают данные в результате анкетирования, получают их из процессинговых систем при оплате товаров банковскими карточками.