Как IPv6 меняет правила игры в безопасности ресторанного бизнеса

Пока владельцы ресторанов переживают из-за роста цен на продукты и нехватки линейного персонала, в цифровой инфраструктуре заведений зреет новая угроза. Гостевой Wi-Fi, умные кассы, онлайн-бронирование и системы видеонаблюдения уже работают в единой сети. Достаточно одной уязвимости в «умной» кофемашине, чтобы парализовать работу всей точки или, что хуже, скомпрометировать платежные данные гостей. Почему традиционные методы защиты больше не работают и при чем здесь технология слайсинга IPv6, сегодня поделился эксперт по информационной безопасности и  архитектуре распределенных сетей Игорь Краев.

Почему владелец сети ресторанов должен сейчас думать о каких-то протоколах IPv6

– Игорь, в ваших предыдущих материалах мы разбирали тему ответственности за ИБ на предприятии и архитектуру бесшовного масштабирования. Давайте спустимся с небес на землю — в ресторан. Почему владелец сети ресторанов должен сейчас думать о каких-то протоколах IPv6?

– Давайте начнем с боли, которая уже есть, но которую пока не все осознали. Ресторан сегодня — это высокотехнологичное мини-предприятие. Там одновременно работают три, а иногда и четыре несовместимых по требованиям безопасности контура.

Смотрите: есть контур платежей (эквайринг, кассы 54-ФЗ), где любая задержка или потеря пакета — это очередь и потеря прибыли. Есть контур гостевого Wi-Fi, который по закону  должен идентифицировать пользователя, но при этом он — открытая дверь для атак. Есть контур видеонаблюдения и внутренней телефонии. И, наконец, самый уязвимый — контур умной кухни (IoT-датчики температуры, холодильники, печи).

С точки зрения руководителя службы безопасности, держать все это в одном «цифровом котле» — профессиональное преступление. Потому что взломав точку доступа Wi-Fi, злоумышленник оказывается в одном сегменте с кассовым сервером.

– Но ведь существуют виртуальные локальные сети, межсетевые экраны. Почему этого недостаточно?

– Это работало вчера. Виртуальные локальные сети и старые методы — это как перегородка из гипсокартона. Они обозначают границу, но при DDoS-атаке или перегрузке интернет канала (например, кто-то из гостей начал смотреть фильм в 4K) эта «стенка» рушится. Начинается резкий рост задержки передачи данных, и ваш терминал оплаты не может связаться с банком. Кассир перезагружает систему, гости нервничают, вы теряете деньги.

Есть много решений этих и подобных вопросов, но сегодня поговорим об очень надежной и своевременной технологии для сферы услуг. IPv6-сетевой слайсинг, описанный в том числе в международных стандартах IETF  для современных сетей, — позволяет строить не перегородки, а несущие стены в сети.

Pv6-сетевой слайсинг для современной сферы услуг.

– Объясните на простом примере: что такое «слайс» для ресторана?

– Представьте автомагистраль. Сейчас весь ваш трафик (и «Скорая помощь» с платежами, и мусоровоз с 4К фильмами) едут в общей пробке. Мы делаем выделенную полосу для экстренных служб с жестким ограничением на въезд для посторонних.

Слайс — это логический, изолированный сегмент вашей же сети. «Нарезаем» один физический кабель на несколько независимых «труб».

1. Слайс А (Платежный/Критический): Гарантированная полоса пропускания, сверхнизкая задержка. Даже если вся сеть забита видео с Рутуб или ВК, этот слайс работает идеально. Это то, что называется сверхнадежная связь с низкой задержкой.
2. Слайс Б (Гостевой Wi-Fi): Живет своей жизнью, не влияет на Слайс А. При атаке на Wi-Fi страдает только он.
3. Слайс В (Видеонаблюдение): Выделенный канал под тяжелый архивный трафик, который не должен мешать работе кассира.

– В ваших материалах на РБК поднимался вопрос ответственности за информационную безопасность. Кто в ресторанном бизнесе должен отвечать за внедрение таких технологий? Это же не уровень системного администратора?

– Абсолютно верно. Это стратегическая задача владельца бизнеса или управляющего сетью. Потому что речь идет не о настройке роутера, а об архитектуре устойчивости бизнеса.

Системный администратор отвечает за то, чтобы «все работало». Владелец отвечает за то, чтобы бизнес не встал из-за киберинцидента или технологического сбоя. Внедрение IPv6-слайсинга сегодня — это фундамент для бесшовного масштабирования. Если у вас 1–2 ресторана, вы еще можете контролировать это вручную. Если больше, а вы планируете расти, — вы теряете управляемость. Архитектура слайсинга позволяет тиражировать настройки безопасности автоматически. Открыли новую точку — слайсы «включились» по шаблону, риски исключены на программном уровне.

Стоимость внедрения IPv6 и слайсинга для ресторанного бизнеса

– Владельцев бизнеса волнуют два вопроса: стоимость и надежность. IPv6 и слайсинг — это дорого?

– Давайте посчитаем стоимость не-внедрения, потому что внедрение это просто типовое современное оборудование, а сделаем оценку по другим критериям. Простой одной кассовой зоны в час-пик в популярном ресторане — это сотни тысяч рублей упущенной выручки и репутационные потери.
С точки зрения «железа» — оборудование с поддержкой слайсинга уже есть на рынке, и оно не дороже качественного корпоративного оборудования предыдущего поколения. Более того, внедрение слайсинга часто оптимизирует расходы на каналы связи. Вам не нужно покупать два дорогих кабеля (один под интернет, второй под видеонаблюдение), вы покупаете один физический канал, но с помощью слайсинга гарантируете в нем изолированную полосу под каждую задачу. 

– Приведите конкретный пример угрозы из жизни ресторана, от которой спасет IPv6-слайсинг.

– Сеть ресторанов быстрого питания. Злоумышленники через уязвимость в дешевом IoT-датчике температуры холодильника (который подключен к Wi-Fi) проникли в общую локальную сеть. В классической «плоской» сети они видят кассовый сервер. Цель — атака программ-вымогателей на базу данных лояльности или стоп-листы.
Результат: утром кассы не открываются, гости без карт лояльности, простой 3-4 часа, вызов специалистов, потеря данных.

При использовании слайсинга: трафик от датчика холодильника жестко заперт в своем «подвале». Он физически не может «дотянуться» до финансового контура. Это принцип нулевого доверия, реализованный на сетевом уровне.

– И все же, звучит футуристично. Мы правда уже живем в эпоху, когда ресторану нужен «сетевой слайсинг из стандарта 5G»?

– Мы живем в эпоху, когда ресторан не может работать без ИТ. А ИТ без IPv6 скоро не сможет масштабироваться. IPv4 адреса кончились, операторы уже переводят мобильные сети на IPv6. Ваши гости с телефонами на IPv6 стучатся в ваш IPv4-роутер, проходя через трансляцию адресов, что создает дополнительную точку отказа и задержку.

Нет необходимости ставить телеком-ядро в ресторане. Нужно использовать принципы, заложенные в архитектуру IPv6  для построения современной, безопасной и надежной сети предприятия.
Руководителю по безопасности это дает предсказуемость. Это и есть «дифференцированная гарантия качества». На практике для ресторана это означает: «Мой эквайринг будет работать с задержкой не более 5 мс, что бы ни делали гости в Wi-Fi».

– Ваш прогноз на ближайшие 2-3 года для отрасли общепита в контексте кибербезопасности?

– Мы увидим разделение на два типа заведений. Те, кто продолжает относиться к сети как к «проводу с интернетом», будут регулярно терять деньги на инцидентах и сбоях, списывая это на «глюки софта». И те, кто внедрит концепцию изолированных слайсов. Вторые получат конкурентное преимущество: скорость обслуживания, бесперебойность доставки и доверие клиента к безопасности платежей. IPv6-слайсинг сегодня — это инвестиция не в технологию, а в непрерывность гастрономического бизнеса.