Как обеспечивается информационная безопасность в ретейле

Ретейл давно перестал быть просто магазинами — сейчас это сложные цифровые экосистемы с множеством внутренних и внешних сервисов: от программ учета товаров и управления клиентами до онлайн-маркетплейсов и приложений лояльности. Недавние инциденты с заметными игроками сектора сетевой торговли показали — взлом может стоить сотни миллионов рублей за несколько дней простоя и привести к потере доверия клиентов.

В этой статье мы обсудим, какие угрозы наиболее актуальны для ретейла, и какие практики помогают защитить бизнес от кибератак.

Специфика атак для ретейла

Кроме привычных мотивов — вымогательства или кражи данных — в отрасли распространены «репутационные удары». Конкурентная борьба и хакеры-активисты менее разрушительны с точки зрения финансовых потерь, но все равно больно бьют по имиджу и лояльности клиентов.

Без аналитики и персонализированных маркетинговых кампаний уже не обходится ни один крупный игрок ретейла. Компании собирают и накапливают огромные массивы информации: от контактных данных и историй покупок до предпочтений и привычек пользователей сайта или приложения. Ценность таких данных для хакеров очевидна: они легко монетизируются на теневых рынках или используются в новых атаках.

Основные векторы атак

По данным исследования аналитиков из Positive Technologies, 68% атак происходит с использованием вредоносного программного обеспечения, которое в каждом втором случае доставляется обычным письмом на электронную почту. Масштабы коммуникаций в ретейле зачастую больше, чем у коллег из других сфер. Тысячи писем ежедневно уходят и приходят — от поставщиков, логистики, маркетинговых рассылок. В таком потоке легко замаскировать фишинг, а невнимательность сотрудника может обернуться днем открытых дверей в инфраструктуру компании.

Еще 42% атак были реализованы через использование уязвимостей. При этом точки входа могут быть разными: веб-приложения, неправильно настроенные сервисы внутри корпоративной сети или даже физическое вмешательство — когда не та флешка попала, куда не следовало.

Отдельно стоит отметить внутренние угрозы. Временный персонал, сменяющиеся специалисты и подрядчики не всегда соблюдают правила информационной безопасности и могут непреднамеренно или специально стать одним из звеньев атаки. Три четверти всех инсайдерских инцидентов происходит именно из-за человеческой ошибки.

Вход через цепочки поставок также остается популярным — он позволяет злоумышленникам работать «по-крупному». Так, через одного контрагента в среднем можно выйти на 10 крупных игроков, которых он обслуживает. А защитные меры подрядчиков очень часто серьезно уступают защите в периметре энтерпрайза и остаются слабым звеном.

Практики защиты из опыта вендора

Мы в «АйТи Бастион» видим, что эффективная защита всегда строится на трех уровнях: технологии, процессы и культура. Нельзя просто «спрятаться» за самыми мощными ИБ-системами, забыв об информированности и кибергигиене сотрудников. Так же, как и нельзя просто внедрить «безопасные», но непонятные или неудобные для производства процессы — они будут нарушаться.

Технологии. Для ретейла особенно важны средства защиты эндпоинтов, регулярное обновление библиотек и фреймворков, сегментация сетей и контроль уязвимостей. Значимую роль играют системы мониторинга событий и обнаружения аномалий, позволяющие вовремя выявлять подозрительную активность.

Процессы. Ретейл чувствителен к скорости и бесперебойности, поэтому процессы безопасности должны быть встроены в операционную деятельность. Аудит уязвимостей, формализация правил доступа, четко зафиксированные политики безопасности. Проверка подрядчиков на соответствие требованиям ИБ. Многие компании до сих пор не связывают информационную безопасность с бизнесом, хотя они напрямую могут влиять на эффективность друг друга.

Культура. Без людей — никак. Они нажимают на ссылки, создают пароли, управляют ИТ-системами и пишут код, поэтому эффективная стратегия защиты должна начинаться именно с обучения человека. Самый банальный сценарий — фишинговая рассылка — до сих пор остается самым распространенным способом взлома. Обучение должно быть регулярным и максимально прикладным. Для ритейла культура безопасности — это продолжение культуры сервиса и заботы о клиенте.

Как PAM помогает ретейлу

Каким бы способом ни началась атака — через фишинг, цепочки поставок или компрометацию — злоумышленник всегда стремится закрепиться в инфраструктуре, нарастить права и увеличить зону своего влияния. Поэтому торговые компании внедряют управление привилегированным доступом (PAM, от англ. Privileged Access Management) как ключевой элемент надежной защиты.

PAM — это класс решений, которые контролируют использование административных и технических учетных записей c расширенными привилегиями: кто, когда и зачем получает повышенные права, а главное, — как их использует.

PAM делает так, чтобы права выдавались не «навсегда и всем», а строго по задаче, на ограниченное время и с жесткой аутентификацией — это снижает шанс, что временный подрядчик или уставший сотрудник станет точкой компрометации. Каждое подключение фиксируется, сессии записываются и привязываются к конкретному запросу: подсистема СКДПУ НТ Мониторинг и аналитика позволяет не просто «стенографировать» сессии, а внедрять автоматизации на основе поведенческих паттернов. Когда нужно — доступ отзывается мгновенно, и вы видите, кто, когда и что делал в системе, даже если атака начиналась максимально неочевидно. При необходимости можно восстановить ход действий пользователя в прошлом — сессии выгружаются в формате логов и видеозаписей с тайм-кодами.

PAM позволяет централизовать управление привилегиями, но при этом не мешать операционной деятельности — доступы можно выдавать автоматически по согласованному процессу, интегрировать с каталогами пользователей и системами учета, а контроль не требует от штатного администратора постоянного присутствия в каждой точке. Все это снижает риск «человеческого фактора» и делает эксплуатацию более предсказуемой.

Отдельно стоит отметить требования регуляторов, актуальные для ретейла, среди которых 187–ФЗ, 152–ФЗ, 239–ФЗ, приказы ФСТЭК России № 17 (117) и № 21. Согласно требованиям, управление доступом должно быть основано на принципе минимально необходимого и строго контролируемого уровня прав. Поэтому в случае инцидента без PAM будет невозможно доказать кто, когда и зачем получил доступ, а значит, компания попадает под риски неисполнения требований.

Принимая решения о внедрении платформы класса PAM, необходимо осознавать, что информационная безопасность данным шагом не ограничивается. РАМ является частью стратегии защиты: он хорошо «встраивается» в уже существующие механизмы мониторинга и усиливает те элементы, которые вы уже используете. Грамотно настроенная система привилегий превращает множество потенциальных точек отказа в управляемые события — и для ретейла это чаще всего оказывается именно тем шагом, который позволяет удержать бизнес на ногах в момент кризиса.