Материал из PL Engineering
Кто ответит за информационную безопасность в ритейле?
До самого последнего времени торговые сети уделяли большое внимание борьбе с кражами. Но развитие информационных систем заставило их всерьез задуматься об информационной безопасности.
С банальным воровством в торговых залах худо-бедно борются уже много лет. Накоплен грандиозный опыт выявления, профилактики и наказания за подобного рода действия. В последнее время на помощь охране пришли противокражные системы и системы видеонаблюдения. А вот в области информационной безопасности проблем хоть отбавляй.
Сопоставим три факта. Первый касается списка отраслей экономики России, дающих максимальный вклад в ВВП страны. Второй факт - реальное падение уровня жизни населения. Третий - это данные о том, что в 2010 году российские хакеры заработали 2,5 млрд долл. (по данным исследования Group-IB, проведенному совместно с аналитиками компаний ESet и Leta IT Company).
Если даже наивно предположить, что киберпреступностью в России занимаются исключительно россияне, и воруют они пропорционально вкладу в ВВП, то выходит, что вся крупная и средняя розничная торговля примерно одну неделю в году работает исключительно на нужды компьютерного андеграунда. А экономический кризис только усугубляет этот факт.
Виды мошенничества в торговых сетях
Источник: Canadian Retail Security Syrvey, 2010
Вряд ли подобные скоординированные действия под силу аграриям и рабочим. Это дело рук оставшихся без доходов высококлассных специалистов в области hi-tech, юристов и финансистов – всех тех, кто входит в систему глобального отмывания денег, полученных в результате компьютерного мошенничества. Глупо отрицать и то, что существуют проблемы с собственными сотрудниками – инсайдеров и мошенников внутри компании никто не отменял.
Что думают по этому поводу представители ИТ-индустрии? Какие тренды и тенденции они отмечают в области обеспечения информационной безопасности в торговле? Естественно, начать надо с того, что ИБ – это отражение развития информационных систем торговых компаний, которые, в свою очередь, следуют за потребностями бизнеса. Как обеспечить безопасность данных
Роман Карась, управляющий продажами в ритейле G Data Software в России и СНГ, рассказывает: "Рассматривая ритейл-сети как потребителей ИТ, можно с уверенностью сказать, что в мире тенденции последнего времени направлены на снижение издержек бизнеса, так как это особенно актуально в кризисные времена".
Среди этих тенденций использование систем самообслуживания DIY (Do It Yourself) и большее внимание к специализации традиционных ERP-систем: создание специализированных программ и модулей, более гибко учитывающих различные детали ритейл-направлений.
Далее - интеграция этих программ или ERP с системами CSM и CRM, повышение роли Head-Office в общем процессе управления ERP, поиск возможных решений, способных значительно ускорить процесс ритейл-покупки и уменьшить трудозатраты. Например, использование беспроводных тегов NFC (Near Field Communications) – технологии, когда данные о товаре или услуге можно считать с использованием смартфона и затем им же и оплатить товар.
Эксперт продолжает: "Автоматизация ритейла в России пока не успевает следовать за этими мировыми трендами. У нас усилия ритейлеров и интеграторов направлены на окончательный переход с отечественных и зарубежных нишевых систем на полномасштабные ERP. Клиенты начинают осваивать управляющие и аналитические функции ERP-систем, отрабатывается взаимодействие front-back-head office. И кое-где есть попытки внедрить передовые элементы из мировой практики".
По наблюдениям представителей G Data Software, компании применяют комплексные системы обеспечения ИТ-безопасности, что находится в русле общей тенденции предотвращения всех угроз. Большинство производителей предлагают системы класса EndpointProtection, растет роль криптографических средств защиты данных, в первую очередь финансовых.
Директор по маркетингу компании Securit Александр Ковалев указывает на следующее обстоятельство: "Раньше точки продаж и центральные офисы у большей части ритейлеров существовали отдельно. Это накладывало отпечаток и на информационную безопасность, ведь кроме антивируса компьютеры на местах ничего "не тянули". Да и зачастую ужасная связь с отдаленными филиалами всё равно не позволяла производить сколько-нибудь серьезный контроль".
Сегодня ситуация серьезно поменялась, и многие ритейлеры рассматривают отсутствие контроля над точками как недополученную прибыль.
Г-н Ковалев продолжает: "Так как деление на офис и точки продаж всё еще существует, можно выделить два наиболее популярных направления работы с ритейлерами. Первое — это защита от утечек информации из центрального офиса. Тут нет почти никаких отличий от других отраслей, разве что куда большее внимание уделяется защите маркетинговой, закупочной и логистической информации. Второе — защита от различных махинаций и утечек на точках продаж. В качестве примера можно привести одного из лидеров сотового ритейла, который активно использует Zlock для выявления продавцов, которые прошивают телефоны покупателей или копируют на них платный контент мимо кассы".
Информационная безопасность для всех
Возможно, речь идет только о проблемах крупного бизнеса, а у коллег из среднего сегмента "голова болит о другом"? Алексей Шевченко, руководитель отдела поддержки крупных корпоративных проектов Eset, так не считает. По его словам: "В ритейле сейчас продолжается автоматизация всех ключевых бизнес-процессов, причем это касается не только крупных сетей федерального масштаба, но и небольших региональных розничных сетей. Автоматизация бизнес-процессов, с одной стороны способствует повышению управляемости бизнеса, оптимизации процессов. Но с другой повышает риски внешнего или внутреннего вмешательства в работу ИС, что может привести к потере конфиденциальной бизнес-информации, персональных данных, а также к другим финансовым рискам".
В связи с этим специалисты, отвечающие за информационную безопасность, стремятся всеми силами повысить уровень требований к решениям, позволяющим им контролировать ситуацию, противодействовать утечкам и препятствовать внешнему воздействию. В этом случае они обращаются к мировым и российским стандартам в области построения систем ИБ, среди которых все большее распространение получает стандарт ЦБ РФ.
Алексей Шевченко продолжает: "Отдельно хотелось бы отметить усиливающуюся тенденцию перехода к оплате покупок пластиковыми банковскими картами. Это дополнительная "головная боль" для специалистов по ИБ розничных сетей, так как возможность удовлетворения указанной потребности клиентов накладывает на предприятие необходимость обязательного удовлетворения требований стандарта PCI DSS".
На законе "О персональных данных", стандарте PCI DSS и их влиянии на ритейл предлагаем остановиться чуть подробнее в следующей статье обзора. А этот материал резюмировать словами Максима Эмма, директора департамента аудита компании "Информзащита".
Так, на вопрос CNews Security: "Какие тренды в автоматизации ритейла и обеспечения информационной безопасности ИС в этом сегменте в мире и в России можно выделить?", он ответил: "Основных трендов три. Во-первых, в связи с резким скачком электронной коммерции - развитие протоколов и методов онлайн торговли, обеспечивающих большую безопасность, чем существующая технология CVV – VBV, SecureCode, 3D Secure. Во-вторых, переход на сквозное шифрование "ent-to-end ecryption" для оффланового ритейла. И, наконец, развитие альтернативных платежных механизмов типа NFC для оплаты мобильными телефонами и прочими устройствами (переход с обычных пластиковых карт)".