Утечки информации в розничных торговых сетях: специфика и методы борьбы
Экспертный комментарий Дениса Суховея, директора по развитию бизнеса направления баз данных компании "Аладдин Р.Д."
Стремительное проникновение информационно-коммуникационных технологий во все сферы жизнедеятельности человека и общества повлекло как положительные, так и отрицательные последствия. Компьютеризация различных организаций позволила ускорить взаимодействие между служащими, а также оптимизировать их работу. Однако наряду с увеличением скорости работы появились новые возможности и для недобросовестных сотрудников. Теперь они могут быстро и просто, не покидая своего рабочего места, передать конфиденциальную информацию третьему лицу. Угроза, которую представляют собой утечки информации, актуальна и для сферы розничной торговли.
О специфике защиты информации в этой сфере рассуждает Денис Суховей, директор по развитию бизнеса направления баз данных компании "Аладдин Р.Д.":
"Специфика защиты в этой области исходит из определения ценных видов и типов информации данного бизнеса. Совершенно очевидно, что наиболее ценными информационными активами розничной торговли являются: данные о закупочной, продажной стоимости товаров и услуг в сетях; статистические данные реализации и логистики товарных масс; финансовые данные и экономический анализ организации.
В специфику также необходимо включать особую модель нарушителя в данном виде бизнеса. Конкурирующие организации как нигде в других отраслях заинтересованы в обладании вышеуказанными информационными активами конкурентов. Другими словами, обладание подобной информацией – это понимание стратегии конкурентов. Отсюда и вытекает важность контроля действий внутреннего нарушителя в розничных сетях. Ведь именно внутренние сотрудники имеют доступ к ценным данным. Однако и в данном вопросе деталям следует придавать максимальное значение. Следует понимать, что у большинства пользователей (сотрудники розничных сетей) современных информационных систем достаточно ограниченные возможности кражи или непреднамеренной передачи больших объёмов критичной для бизнеса информации. Поэтому риски утечки за счёт действий обычных пользователей достаточно низкие. Другое дело – злонамеренные действия или халатность администраторов информационных систем и СУБД. Привилегированные права доступа позволяют "админу" нанести максимально критичный ущерб организации. В кризисное время эта ситуация только лишь обостряется.
Таким образом, необходимо дифференцировать риски и реализовывать меры безопасности только там, где защита будет действительно эффективной. К таким мерам можно смело отнести криптографическую защиту обрабатываемой и хранимой информации. Шифрование файлов на рабочих станциях и серверах – это простой в реализации и экономичный способ "защиты от админа" и предотвращения утечек критичной и важной информации.
Однако не стоит также забывать о защите информации в СУБД. Задача сама по себе достаточно технологически непростая, при этом осложняется высокой нагрузкой и большими объёмами хранимой в СУБД информации. Однако и по данной задаче существуют проверенные временем простые и удобные решения".
Для обеспечения безопасности компании очень важно защитить каналы передачи конфиденциальной информации. Руководитель отдела по работе с технологическими партнёрами компании "Актив" Кирилл Мещеряков рассказывает о том, как можно минимизировать угрозу перехвата данных, передаваемых по электронной почте:
"Один из наиболее уязвимых каналов утечки информации – системы электронного документооборота и, соответственно, электронная почта. Как правило, такие каналы редко защищены должным образом и в основном информация передаётся в открытом виде. Это делает возможным отслеживание сетевых подключений и, как следствие, получение передаваемых данных злоумышленниками.
Обычно такую проблему можно решить путём пересылки зашифрованного архива с передачей секретного пароля посредством другого канала (например, через смс). Однако постоянно использовать такой способ крайне неудобно. Также в компаниях, где имеются службы ИБ, такой способ передачи файлов неприемлем ввиду невозможности контролировать исполнение пользователями парольной политики. В данном случае поможет внедрение инфраструктуры PKI, которая, помимо ПО, подразумевает использование аппаратных средств защиты информации".
Насколько востребовано программное обеспечение, предотвращающее утечки данных, в сфере розничной торговли? Чтобы ответить на этот вопрос, необходимо определить с какими киберугрозами сталкиваются такие компании. Ведущий эксперт по информационной безопасности компании КРОК Евгений Дружинин выделяет основные актуальные угрозы информационной безопасности предприятий сферы розничной торговли:
"Для розничных сетей актуальны все основные общеизвестные угрозы, начиная от внешних сетевых атак и заканчивая внутренним несанкционированным доступом и утечками данных.
Поэтому необходимость обеспечения защиты от утечек конфиденциальной информации актуальна так же, как и защита от DDoS-атак и вирусов, обновление используемого программного обеспечения, а также фильтрация трафика веб-приложений и контроль подключений к информационным ресурсам и сетям. За предотвращение утечек информации отвечают решения класса DLP (data loss prevention), они позволяют контролировать информационные потоки (от электронной почты до вывода на печать), выявлять места хранения конфиденциальной информации, своевременно обнаруживать и предотвращать утечки. Но помимо непосредственного контроля за нежелательными перемещениями данных важно не допустить нежелательного доступа к критичным сведениям внутри компании, ведь больше 50% всех утечек происходит по вине сотрудников компании вне зависимости от сферы её деятельности. Для этого реализуется разграничение пользовательских прав доступа к ключевым хранилищам данных и бизнес-приложениям. Например, данные о финансовой отчётности, прибыли и себестоимости продукции могут быть доступны финансовому директору и бухгалтеру, объем торговых операций, кассовых транзакций и складских запасов – логистам, клиентская база – руководству и маркетологам".
Необходимость использования в сетях розничной торговли многофункционального механизма защиты от утечек данных подчёркивает начальник отдела специальных проектов центра компетенций по информационной безопасности компании "Техносерв" Сергей Терехов:
"Существующие проблемы с утечкой данных в розничных торговых сетях практически невозможно решить единственным классом решений (DLP), представленным на рынке. Несмотря на возможный финансовый или репутационный ущерб при утечке критичных конфиденциальных сведений конкурентам, для розничных торговых сетей не менее актуальными являются проблемы "утечки денежных средств", упущенной выгоды по результатам мошенничества со стороны персонала, которые составляют до 5% от операционной прибыли.
Для правильного выбора ПО для защиты от утечек бизнес-руководство в первую очередь должно ответить на два основных вопроса:
- Защищаемся ли мы от внешнего или внутреннего нарушителя? Так, например, CIO одной крупной ритейловой сети в ходе беседы сообщил, что "сотрудники компании-конкурента за утренней чашкой кофе читают отчёты и планы продаж". Результаты аудита информационной безопасности наглядно продемонстрировали незащищённость сетевого периметра перед атаками на критичные информационные системы для закупок/поставок, формирования отчётности и системе ERP со стороны сети Интернет. Поэтому приоритет был отдан защите от утечки данных к внешним нарушителям путём усиления защиты периметра сети с использованием комплекса программно-аппаратных средств.
- Насколько приемлемым и контролируемым является ущерб от действий мошенников и злоумышленников? В период кризиса существенно возрастает мотивация злоумышленников, повышается конкуренция и вопросы оптимизации затрат выходят на первый план.
Итак, представим: при ответе на поставленные вопросы мы сформировали портрет злоумышленника – сотрудник розничной торговой сети, который в рамках своей легитимной деятельности допускает утечку конфиденциальной информации и проводит мошеннические операции, приводящие к значительному ущербу для компании. Именно так можно сформулировать одну из наиболее ключевых нерешённых проблем информационной безопасности в торговых розничных сетях.
В качестве понятных примеров актуальных сценариев мошеннических операций можно привести следующие сценарии:
Манипуляции с прайс-листом и картами лояльности. Когда сотрудник, осуществляющий продажи, имеет техническую возможность установки цены на товар, не соответствующей официальному прайс-листу компании. Такая возможность позволяет сотрудникам продавать товары по цене ниже официальной, иногда дополнительно используя свои карты лояльности, предоставляя таким образом несанкционированные скидки родственникам, знакомым, а также любым покупателям. Продавец получает повышенный официальный бонус от продаж, а также "фиктивный бонус" в виде разницы между официальной ценой и ценой скидки, а компания лишается существенного дохода.
Фиктивные возвраты. Недобросовестный сотрудник может создать возвратный чек, воспользовавшись в качестве документального подтверждения чеком, оставленным ранее покупателем (либо без реального чека). В этом случае в ККМ (контрольно-кассовая машина) возникает неучтённый излишек наличности. Возникающую при этом недостачу товара трудно выявить, она может быть обнаружена только путём инвентаризации спустя длительное время, когда мошенник уже, скорее всего, не будет работать в компании.
Для выявления различных мошеннических схем в торговых розничных сетях была бы актуальна система защиты от утечек данных и гарантирования доходов, реализованная в виде одного продукта или с использованием интеграции нескольких технических решений. К полезному функционалу такой системы стоит отнести:
- Динамическое профилирование сотрудников торговой розничной сети в зависимости от их должности (системы, с которыми осуществляется работа, типы конфиденциальной информации, нетипичная активность в социальных сетях и сети Интернет, переписка по внутренним каналам с нетипичными получателями и так далее), формирование профиля и его обновление в режиме машинного обучения.
- Выявление аномального поведения сотрудников.
- Выстраивание цепочки взаимосвязей между различными группами сотрудников для выявления сговора и корпоративных мошеннических схем.
- Обогащение данными со сторонних систем, включая данные по событиям из бизнес-систем (данные о входе-выходе, данные о проведённых операциях и так далее), системы СКУД, а также сведениями из социальных сетей.
- Функционал мониторинга и расследования инцидентов утечки данных и мошеннических действий.
Существующие тренды в области развития систем класса DLP лишь подтверждают, что традиционный контентный анализ не эффективен для решения актуальных задач предприятий и дальнейшее развитие этих систем будет происходить в сторону всестороннего контроля взаимодействия и коммуникаций между сотрудниками".
Халатность в вопросе защиты корпоративной информации недопустима, поскольку цена такого подхода для предприятия может быть слишком высокой. Осознают ли это ритейлеры? Менеджер по продукту компании Balabit Чаба Краснаи указывает на вторичность вопроса кибербезопасности для предприятий розничной торговли:
"Рынок розничных торговых сетей, на мой взгляд, сейчас один из наименее охваченных в области ИТ-безопасности. Хотя ритейл использует тяжёлые ИТ-решения, которые важны для конечных пунктов поставок розничной сети, вопрос кибербезопасности не считается для них первостепенной задачей. Причиной этому может служить отсутствие технических требований к безопасности в этом сегменте рынка. Однако стандарт безопасности данных индустрии платёжных карт (PCI DSS) – это яркий пример того, когда ритейлу необходимо соответствовать определённым правилам ИТ-безопасности. Например, в 2007 году в результате неправильной настройки безопасности в крупной сети американских универмагов TJ Maxx были взломаны 94 миллиона записей".
Заместитель коммерческого директора SearchInform Евгений Матюшенок называет обеспечение безопасности одним из приоритетных направлений для компаний в сфере розничной торговли:
"Чтобы понять, насколько востребованным является ПО для борьбы с утечками данных в сфере ритейла, достаточно обратиться к цифрам. В прошлом году подобные инциденты в сфере торговли составили 11% от их общего количества во всех остальных отраслях.
Согласно исследованию компании PricewaterhouseCoopers, виновниками утечек информации чаще всего становились действующие (34%) и бывшие (29%) сотрудники, а также подрядчики – действующие (22%) и бывшие (19%). А расходы компаний на обеспечение информационной безопасности в прошлом году достигли максимальных значений (5,1 миллиона долларов). И сфера ритейла не исключение.
Мы обратились к одному из наших клиентов, компании-ритейлеру, – и вот как специалист прокомментировал ситуацию: "Коммерческие организации действительно заботятся о безопасности, ведь кражи очень даже реальны. Многие российские компании столкнулись с такой проблемой и поняли, что, игнорируя современные тенденции, будут просто терять деньги, клиентов и партнёров. Потому обеспечение безопасности – ежедневная задача коммерческих компаний".
Внедрение программного комплекса в инфраструктуру компании – это очень важная процедура. В том случае, если она пройдёт некорректно, польза для предприятия от работы установленного программного решения будет сведена к нулю. Чтобы избежать ошибок при процедуре внедрения, необходима соответствующая подготовка. Евгений Дружинин обращает внимание на важную роль аудита корпоративной инфраструктуры в процессе интеграции программного обеспечения:
"Основные требования предъявляются не только к самим продуктам, но и к правильной эффективной интеграции их в инфраструктуру заказчика, а также выстраиванию решений с учётом
конкретных рисков и угроз. Поэтому проекту внедрения зачастую предшествует аудит инфраструктуры и бизнес-процессов розничной сети. Здесь важно учесть, какие услуги предоставляет ритейлер, какую роль в его бизнесе играет интернет, каков уровень зрелости уже выстроенной системы информационной безопасности и так далее".
Какие требования розничные торговые сети предъявляют к программному обеспечению для предотвращения утечек данных. Чаба Краснаи обозначает сферу интересов ритейлеров:
"Хотелось бы отметить несколько хороших примеров, когда крупные торговые компании используют такие продукты. Например, тот случай, когда клиенты просят контролировать и мониторить ИТ-сеть – они хотят видеть все действия сторонних пользователей внутри своей ИТ-системы. Кроме этого, они запрашивают данные об активностях внутренних администраторов. В целом обычно у них нет возможности создавать ситуационный центр управления информационной безопасностью (SOC), поэтому им необходимо решение, которое может хранить все данные и уведомления лишь о подозрительных событиях и при этом эффективно использовать человеческие ресурсы".
Руководитель проекта Appercut, заместитель генерального директора ГК InfoWatch Рустэм Хайретдинов отмечает интерес ритейлеров к программным решениям, блокирующим действия недобросовестных сотрудников:
"Каждая отрасль имеет свои специфические данные и процессы, и они определяют конкурентное преимущество компаний. Например, в сетях электроники ключевыми данными являются закупочные цены, состояние склада и транзита. Имея такую информацию от конкурентов, можно точнее планировать ассортимент и размер товарных партий, чтобы не развязывать ценовые войны и не вызывать затоваривания. Поэтому закупщики торговых сетей буквально охотятся за такой информацией. Соответственно, они понимают, что такая же информация от них будет востребована конкурентами и её требуется защищать. Для её защиты используются не только специализированные продукты (DLP-системы), но и шифрование данных и носителей, разграничение доступа, а также различные организационные меры. Поскольку информацию требуется защитить, то есть предотвратить её утечку, то пользователи отдают предпочтение активным решениям, способным именно заблокировать опасное действие пользователя, в отличие от пассивных решений, способных только фиксировать факт утечки".
PR-менеджер LWCOM Оксана Петренко выделяет в качестве основного требования к ПО надёжность защиты данных:
"Основное требование, предъявляемое ритейлом к такому ПО, – это надёжность защиты коммерческой тайны в целях минимизации риска утечки информации, и, как следствие, защита репутации компании. Не менее важны и функциональные особенности ПО: простота администрирования, автоматизация всех процессов, возможность гибкой настройки отчётов, "заточенность" под конкретные задачи бизнеса и поддержка как со стороны вендора, так и компании-интегратора".
Подводя итог сказанному экспертами, можно утверждать, что для предприятий розничной торговли угроза утечки информации является очень актуальной. Далеко не все компании уделяют вопросу обеспечения безопасности корпоративной информации должное внимание, однако многие предприятия крайне озабочены данной проблемой и стремятся взять на вооружение многофункциональные программные решения, максимально удовлетворяющие их требованиям, среди которых надёжность защиты данных, возможность блокировки активности недобросовестных сотрудников, простота в использовании и минимизация человеческого фактора.