Контакты
Подписка
МЕНЮ
Контакты
Подписка

Нужна ли информационная безопасность ритейлерам?

В рубрику "ИТ-интеграция" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Нужна ли информационная безопасность ритейлерам?

Традиционно, если сравнивать, например, с банковским, телеком- или военно-промышленным секторами, информационная безопасность (ИБ) не является приоритетным направлением в ритейле – и как составная часть в общей структуре обеспечения безопасности предприятий, и как составляющая в ИТ-направлении. Во многом это объясняется высокой конкуренцией в торговле и, соответственно, жесткими требованиями к высокой операционной эффективности и бюджетам. При секвестировании бюджетов в периоды отсутствия роста предприятий и особенно в кризисные периоды затраты на ИБ сокращаются одними из первых
Сергей Прохоров
Член экспертного совета компании "Инфозащита",
CIO ряда крупных ритейловых компаний

В отрасли розничной торговли отсутствуют управленческие стандарты или сложившиеся практики по ИБ: информационная безопасность может быть составной частью как в службе безопасности предприятия, так и в службе ИТ. Только наиболее крупные ритейлеры имеют в собственном штате службы ИБ, состоящие, как правило, из отдела в несколько сотрудников или даже одного выделенного менеджера-специалиста по ИБ, а немногочисленные значимые проекты обычно осуществляются силами профильных интеграторов.

Факторы и перспективы, определяющие потребности в ИБ

Существующие тенденции развития ИТ-ландшафтов и технологий в розничной торговле, географический рост и укрупнение ритейлеров требуют большего внимания к информационной безопасности. На фоне ежегодного расширения доли сетевого ритейла, являющегося основным потребителем актуальных технологий ИБ, в общем объеме торговли среди основных факторов, определяющих изменение роли ИБ для предприятий отрасли, можно выделить следующие.

Увеличение территориальной распределенности интегрированных источников данных
Повышает риски надежности ИТ-среды, что требует стандартизации подходов как к защите данных, приложений и каналов связи, так и к переходу на новые, более надежные системы с централизованным управлением.

Массовое применение облачных технологий и виртуализации
Этот неизбежный технологический тренд также заставляет обращать отдельное внимание на информационную безопасность сред с применением более надежных средств защиты, не требовавшихся ранее.

Активная консьюмеризация
С одной стороны, это повышает эффективность производственных процессов, с другой – требует отдельного внимания в технической реализации, обеспечении защищенного доступа, его четком регламентировании, необходимости сохранения корпоративной информации внутри предприятия. В большинстве компаний отрасли стандартом де-факто является удаленный доступ к корпоративной почте, а по направлениям непрерывного цикла – к рабочим столам сотрудников для использования учетных систем и бизнес-приложений. Слабо защищенный доступ к почтовым ресурсам не обеспечивает сохранность почты внутри компании, и при увольнении сотрудника его переписка "уходит" вместе с ним. Это массовое явление. Более того, переходя из компании в компанию внутри отрасли, сотрудники часто искренне не понимают и под разными предлогами всячески препятствуют ограничениям привычного для них ранее выноса корпоративной информации "на сторону".

Усложнение топологий обмена данными во фронт-офисах
Еще меньше 10 лет назад торговые сети могли использовать кассовые аппараты, работающие не то что в единой среде обмена данными, но даже как локальные устройства. На смену им пришли POS-терминалы, уровень интегрированности которых в общий информационный ландшафт был невысок, обмен данными был весьма простым и, как правило, ограничен файловым обменом определенных форматов, что не требовало повышенной защищенности. В настоящее время уровень интеграции POS-терминалов довольно высок, обмен данными с ними многоуровневый и распределенный. Так, в рамках одной торговой операции POS-терминал может обмениваться данными онлайн с несколькими распределенными системами: внешним процессинговым центром, банковским терминалом, учетной системой в облаке и локальной учетной системой бэк-офиса магазина. Все это требует адекватного уровня защиты.

Массовое использование персонифицированных подходов к покупателям
При этом применяются различные как внутренние, так и построенные во внешних средах системы лояльности – неизбежный маркетинговый тренд. Внедряемые системы лояльности требуют, как правило, обработки персональных данных (ПД) покупателя, которые поступают в ИТ-системы обычно из заполненных покупателем анкет при получении дисконтных карт, сертификатов или при их внесении покупателем на сайте компании. ПД используются в нескольких ИТ-системах, могут передаваться контрагентам ритейлера (например, при доставке товара), доступ к ним внутри компании может иметь большое число сотрудников. Очевидны как необходимость централизованного хранения таких данных, так и доступ к ним из ИТ-систем в точках продаж.


В системах также хранится торговая история покупателя и финансовая информация, искажение или потеря которой может обернуться компании как денежными, так и репутационными потерями. В последнее время ритейлеры начинают внедрять системы идентификации покупателей с технологиями распознавания лиц, которые стали уже существенно более продвинутыми. Эти данные объединяются с персональной информацией о покупателе и являются дополнением к данным в аналитических системах. Необходимость защиты таких данных, разнесенных в гетерогенной информационной среде торговой компании, очевидна.

Развитие онлайн-торговли
Активно развивающаяся в России в последние годы интернет-торговля, появление новых интернет-магазинов у компаний традиционной торговли добавляет риски защищенности корпоративной ИТ-среды. Используемые интернет-приложения в большинстве случаев интегрированы в общий ИТ-ландшафт, и дальнейшее развитие омниканальности в торговле эту интеграцию только усиливает и усложняет. Причем угрозы защищенности и целостности усиливаются не только для фронтовых систем, но и для всей корпоративной информационной среды.

Мобильный тренд
Появление торговых мобильных приложений для клиентов также в последние годы является массовым и будет развиваться в дальнейшем, что на фоне увеличения атак и вирусов в mobility-сегменте требует дополнительного внимания со стороны ИБ. Мобильный тренд охватывает и ряд других ранее не используемых технологий. Если раньше в точках продаж ритейлеры могли обходиться лишь проводным доступом к ресурсам, то сейчас применение Wi-Fi стало просто необходимым для обеспечения торговых процессов. Это и мобильные кассы с доступом по Wi-Fi к корпоративной среде, и цифровые планшеты для работы персонала магазинов, обмен информацией с которыми тоже осуществляется по Wi-Fi и которые тоже интегрированы с корпоративными системами. Появляются интегрируемые в общую корпоративную среду системы по Wi-Fi-идентификации и отслеживанию локации покупателей. Увеличение рисков, связанных с использованием Wi-Fi в точках продаж, требует отдельного подхода к обеспечению ИБ.

Social Media
Социальные сети являются еще одной потенциальной угрозой. Системы аналитики, управления лояльностью и онлайн-торговли у ритейлеров все чаще становятся интегрированными с социальными сетями. Причем информационный обмен осуществляется в обе стороны.

Оптимизация учетных процессов, документооборота
Переход на электронный документооборот (ЭД), который представляет собой часть операционной оптимизации и влечет сокращение расходов и ресурсов, в полноценном виде не может быть эффективно реализован без применения соответствующих технологий с использованием ЭЦП и центров сертификации. И это важно не только в случаях ЭД с внешними организациями и госорганами, но и внутри предприятий. Очевидно, реализация ЭД внутри предприятий без использования средств идентификации и защиты целостности данных, построенных на технологиях ИБ, влечет за собой соответствующие проблемы при разборе инцидентов, риск которых здесь очевиден и который отсутствовал ранее при бумажном документообороте. Такие случаи известны.

Развитие финансовых операций
В ряде сегментов (Digital, Fashion, DIY, Horeca и др.) наряду с традиционными способами осуществления оплат возможны покупки товаров и услуг в кредит. Кредитные операции проводятся в том числе с использованием инфраструктуры и приложений торговой точки. Уже сейчас реализуются системы оплат с применением технологии NFC в смартфонах покупателей (операторы мобильной связи предлагают специальные SIM-карты), а ряд сетей оказывает услуги денежных переводов. Развитие финансовых операций требует не только соответствующего обеспечения ИБ в местах продаж, но и соблюдения стандартов ИБ для осуществления этих операций.

Что дальше…

Несмотря на столь значительные изменения к настоящему времени в ИКТ торговых предприятий, случаи аудита систем управления информационной безопасностью (СУИБ), прежде всего на предмет соответствия ФЗ № 152 "О персональных данных", PСI DSS или ISO 27001, остаются единичными. Массово этим пренебрегают средние и небольшие торговые сети, стремящиеся не отставать в маркетинговом развитии и иметь необходимые конкурентные преимущества, но считающие для себя возможным сократить расходы на то, что не дает очевидного value. Отчасти этому способствует неопределенность как в применении ФЗ № 152, так и в отсутствующих действенных механизмах контроля его исполнения. О необходимости же соответствия PCI DSS вообще вспоминают нечасто. Ключевыми же заказчиками построения СУИБ и их аудита, как правило, выступают либо службы безопасности предприятий, включающие в себя направление ИБ, либо службы ИБ, выделенные из общего ИТ-департамента с собственным бюджетом. В компаниях, где задачи ИБ решаются в ИТ-подразделении, зачастую в и так ограниченном ИТ-бюджете не всегда находится место для построения полноценных качественных систем ИБ, их аудита и сопровождения. Очевидно, проблематика ИБ у торговых сетей становится шире. Если раньше задачи обеспечения информационной безопасности решались по большей части с использованием одного-двух специализированных средств контроля и информационной защиты, а также встроенных в базовые системы технологий (системы антивирусной защиты – возможно, с IDS, IPS – и МСЭ, встроенные средства управления телекоммуникационным оборудованием, средства управления доступом бизнес-приложений и системного ПО), то в настоящем и будущем изменение политик защиты и применяемых технологий, равно как и наличие стратегии ИБ, ритейлерам необходимы. По данным компании HeadHunter, в большей степени потребности в специалистах по ИБ проявляют рынки ИТ, телекома, безопасности и банковской сферы. Ритейл остается в аутсайдерах. Сохранится ли эта тенденция, или же обеспечивать информационную безопасность в ритейле в большей степени предстоит интеграторам? В любом случае без изменения стратегий, затрат и политик ИБ ритейлерам не обойтись.

Опубликовано: Журнал "Системы безопасности" #6, 2014
Посещений: 10192

  Автор

Сергей Прохоров

Сергей Прохоров

Член экспертного совета компании "Инфозащита",
CIO ряда крупных ритейловых компаний

Всего статей:  2

В рубрику "ИТ-интеграция" | К списку рубрик  |  К списку авторов  |  К списку публикаций