Киберриски продуктового ритейла и борьба с ними: опыт «Азбуки вкуса»

Когда мы совершаем покупки в магазине у дома, то не думаем о хакерах и кибервирусах, но сами ритейлеры делать это обязаны, ведь утечка персональных данных или остановка работы магазинов могут очень серьезно ударить по покупателям и бизнесу.

Всего несколько лет назад крупные ритейлеры не задумывались об информационной безопасности. Хотя еще в 2013 году аналитики InfoWatch отмечали , что уровень защищенности платежных данных в мире у ритейлеров довольно низкий: почти половина всех киберинцидентов, связанных с оплатой, приходилась именно на торговый сектор.

В 2016 году «Азбука вкуса» стала пионером в российском сегменте, создавшим профильный департамент, — во многом потому, что наш топ-менеджмент «вышел» из ИТ-индустрии. В начале 2020 года компания первой на своем рынке запустила Bug Bounty — программу вознаграждений за поиск уязвимостей, позже подключилась к международной платформе HackerOne, а этой весной стала технологическим партнером форума Positive Hack Days.

В ритейле один отвечает за всех

Специфика продовольственного бизнеса делает его информационную защиту более сложной задачей, чем для компаний других рынков. Общий уровень подготовки и технической грамотности персонала довольно низкий. При этом в последние годы ритейловые компании цифровизируются в очень высоком темпе. Вместе эти факторы создают повышенный уровень рисков. Усложняет поддержку ИБ-ритейлера большое количество компаний-партнеров, которые поставляют готовые решения и электронные сервисы (кассовые узлы, ПО, видеонаблюдение). Каждого необходимо контролировать и проверять его продукты на предмет безопасности: недостаточная защищенность даже одного из них может иметь финансовые и репутационные последствия для всей компании. Один уязвимый кассовый узел может привести к остановке торговли, несовершенная защита личного кабинета — к краже бонусных баллов и как следствие — к растрате бюджета, уменьшению товарооборота и негативу пользователей.

Причем денежный вопрос затрагивает ритейлеров чаще других компаний: по данным SearchInform, к мелкому финансовому ущербу приводят 36% всех отраслевых ИБ-инцидентов, а к крупному — 12%. Наша компания тоже регулярно сталкивается с кибератаками и попытками приостановить торговлю, особенно в пиковые периоды вроде недели перед Новым годом. Например, в прошлом году злоумышленники атаковали сайт и потребовали «выкуп» в несколько десятков миллионов рублей.

Количество DDoS-атак постоянно растет, особенно заметно оно увеличилось за время пандемии. Успешно справляться с ними помогают мониторинг и быстрая реакция на инциденты: в среднем реагирование начинается через 3 минуты после оповещения о подозрительной активности. Потом каждую атаку мы анализируем и решаем, что нужно сделать, чтобы она не повторялась в будущем.

Что делает «Азбука вкуса» для защиты данных

В «Азбуке вкуса» мы построили защиту на трех «китах»: хорошей ИТ-архитектуре, обучении персонала и дружбе с «белыми» хакерами.

ИТ-архитектура. Команда информационной безопасности очень плотно взаимодействует с разработкой. Внедряя новые решения, мы всегда контролируем процесс на каждом этапе и стараемся учесть и обозначить риски для информационной безопасности уже на ранней стадии. Все проекты, которые выводятся во внешний контур, проходят через ряд средств защиты информации.

Обучение сотрудников. Специфика продуктового ритейла заключается в том, что бо́льшая часть персонала, как правило, далека от ИТ, но социальная инженерия, фишинг и вредоносные рассылки — будни ритейлеров, и распознавать письмо или звонок мошенников должны уметь и продавец-консультант, и курьер, и маркетолог, и даже повар на фабрике-кухне.

Мы стараемся менять ситуацию за счет обучения коллег: лекциями, постоянной коммуникацией и сбором обратной связи. Регулярно готовим инструкции, которые помогают сотрудникам сделать процессы в их работе безопасными. Так, например, учим, какие данные нельзя разглашать, какие сообщения нельзя открывать, и всегда просим персонал обращаться в ИТ-поддержку — даже при малейшем подозрении, что гаджет взломан или заражен вирусом.

Конечно, трудности остаются: сотрудникам пока сложно оценивать масштабы рисков. Но в целом уже можно сказать, что лояльность к ограничениям и требованиям отдела информационной безопасности среди коллег повысилась. Теперь они умеют и стараются обращаться в отдел за консультациями, когда возникают трудности.

Пандемия подтолкнула к еще более усиленной работе с людьми: когда все ушли на удаленку, фокус защиты переместился с периметра офиса на каждого конкретного человека. Ведь ни домашний интернет, ни персональный компьютер ИБ-специалисты не могут контролировать, а если атакованный ПК подключится к корпоративной сети, пострадать может весь бизнес.

Развитие комьюнити и «обеление» хакеров. Весной прошлого года мы решили, что необходим «взгляд со стороны», и предприняли довольно серьезный шаг: впервые в российском фуд-ритейле привлекли «белых» хакеров. Для этого предложили комьюнити найти уязвимости наших сайтов и приложений за вознаграждение.

Сотрудничество продолжается до сих пор: мы считаем, что программы типа Bug Bounty должны работать на постоянной основе. Во-первых, они легализуют труд хакеров: грубо говоря, нащупывание «дыр» в нашей «броне» покупаем мы, а не злоумышленники. Вот, например, за первые полгода с помощью этой программы мы выявили 108 уязвимостей, из которых почти 23% были критическими. Заплатили за это чуть больше полумиллиона рублей — небольшая сумма, если речь идет о потенциальных убытках от этих багов.

Кстати, один из инцидентов, который помогли обнаружить участники программы Bug Bounty, был связан как раз с риском, о котором говорилось выше, — с резким ростом количества внешних проектов и постоянным взаимодействием с подрядными организациями. Всего в течение суток они заметили, что по неосторожности команды разработки в доступе оказались сенситивные данные.

Почему конкурентам надо настраиваться на Coopetition вместо Competition

Мы видим огромный спрос со стороны партнеров на поддержку в области информационной безопасности: ведь часто компании вроде курьерских служб или поставщиков продуктов — относительно небольшие. А ответственность за уязвимость получается общей.

Чтобы культура информационной безопасности в ритейле развивалась, отрасли жизненно необходимы профильные мероприятия вроде форумов, открытых столов, хакатонов — всего, что может дать участникам рынка знания, практический опыт и инструменты киберзащиты. В том числе поэтому «Азбука вкуса» стала технологическим партнером Positive Hack Days.

И речь уже не только про защиту информации с камер видеонаблюдения и турникетов, из анкет с персональными данными или при оплате карточками. Риски и ответственность возрастают кратно с развитием биометрии. По оценке Juniper Research, уже к 2025 году количество подобных платежей в мире вырастет с $404 млрд до $3 трлн. Пароли в случае их утери можно заменить или восстановить, а биометрическая информация останется скомпрометированной навсегда, ведь человек не может изменить отпечатки пальцев, строение радужной оболочки глаза или голос. И чтобы найти действительно надежные решения в этой области, конкурентам придется действовать сообща: взаимодействие в духе сoopetition, или по-русски «коокуренции» — гибрида от слов cooperation (кооперация) и competition (соревнование), становится все более актуальным даже среди корпораций. Пока где-то фармацевтические гиганты Pfizer и BioNTech объединяются для совместной работы над вакциной от ковида, чтобы сделать безопасной нашу офлайн-среду, ИБ-департаменты в современном ритейле могут сотрудничать, чтобы не оставить места вирусам в онлайне.