Автор: Евгений Крайнов, генеральный директор «Телеком биржи»
Распределенные сети, облачные сервисы, интернет-магазины, мобильные приложения – множество точек входа усложняет обеспечение сквозной безопасности. Уязвимости в коде и ошибки настройки систем могут привести к утечкам данных или потере управляемости. При этом привлекательность ретейла для киберпреступников только растет.
Атаки на компании из сферы ретейла имеют ряд специфических особенностей по сравнению с компаниями из других сфер. Это обусловлено рядом факторов.
Учитывая растущую ценность данных и автоматизацию процессов, а также относительную беззащитность ряда компаний, ретейл становится одной из самых привлекательных мишеней для кибератак. Отсюда высокий приоритет обеспечения информационной безопасности в этой сфере.
Резюмируем: основной проблемой и источником высоких рисков для современного ретейла является растущая сложность и распределенность ИТ-ландшафтов торговых компаний.
Традиционно ретейлеры активно внедряют облачные технологии, контейнерную виртуализацию, микросервисную архитектуру, географически распределенные сети доставки контента и другие решения для обеспечения высокой доступности, масштабируемости и отказоустойчивости своих интернет-магазинов и сервисов. Добавьте к этому активное развитие мобильных приложений, чат-ботов, интернета вещей и других инноваций.
В результате ИТ-инфраструктура ретейлеров становится крайне распределенной, гетерогенной, с множеством разрозненных компонентов и точек входа. Защитить подобный ландшафт традиционными средствами вроде межсетевых экранов и типовых антивирусов становится невероятно сложно.
При этом злоумышленники активно осваивают эксплуатацию новых атакующих векторов: взлом API, атаки через мобильные приложения, ботнет-атаки на контейнеры, таргетированные атаки на облачные среды и т.д. Отмечается рост числа вредоносных скриптов, эксплойтов, фреймворков для эксплуатации современных технологий.
Кроме того, ретейлеры сталкиваются с нехваткой квалифицированных ИБ-кадров, способных обеспечить безопасность столь сложных распределенных систем. Подготовка требует больших средств и времени. Между тем одна из главных уязвимостей ретейла – человеческий фактор. Сотрудники могут стать жертвами социальной инженерии, когда злоумышленники выманивают у них учетные данные или убеждают установить вредоносное ПО. Слабые пароли, использование незащищенных каналов связи, переход по фишинговым ссылкам – все это открывает лазейки для кибератак.
В результате открываются широкие возможности для киберпреступности: повод найти незащищенные лазейки в инфраструктуре и совершить успешные кибератаки – от DDoS до кражи или фишинга учетных данных, а то и складских товаров.
В целом, деятельность киберпреступников в ретейле обусловлена большими финансовыми потоками в этой сфере и стремлением получить доступ к деньгам, данным или нарушить цепочку поставок торговых сетей.
Злоумышленники могут прибегать к разным типам атак в зависимости от своих целей. Перечислим популярные цели и способы их достижения.
В целом, все эти атаки обусловлены стремлением нанести максимальный ущерб бизнесу торговых онлайн-площадок, похитить у них финансовые средства, данные, клиентов и активы. Это требует от ретейлеров многоуровневой защиты и повышенного внимания к кибербезопасности.
Последствия успешных кибератак на ретейл могут быть катастрофическими. Остановка бизнес-процессов ведет к прямым финансовым потерям, простою инфраструктуры, срыву сделок и поставок. Утечки персональных данных покупателей чреваты огромными штрафами со стороны регулирующих органов за нарушение закона о защите ПД. С начала 2021 года суммы штрафов увеличились вдвое, в том числе — штрафы за невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Теперь речь идет о суммах в размере от 30 тыс. до 6 млн руб., а при повторном нарушении — до 18 млн руб [1].
При этом по данным ИБ-аналитиков, в 2023 г. наиболее атакуемой в России была сфера ретейла [2]. Лидирует она и по числу утечек данных, ведь в ретейле они за прошлый год составили 40% из всех отраслей, а в целом злоумышленники за год украли 360 млн телефонных номеров и адресов. Объемы штрафов за недостаточную защиту и необеспеченное хранение данных можно представить.
Плюс, на эту беду накладываются убытки от фишинговых атак и других способов разорить бизнес через киберинциденты. Ущерб от кибератак в мире за 2023 г. составил $8,7 трлн, ну а потери любого крупного российского ретейлера от успешной веб-атаки, повлекшей простой сайта, могут составить несколько миллионов рублей за считанные минуты и достичь миллиардов, если простой затянется на несколько дней [3].
И следует помнить, что стоимость ущерба от одной успешной фишинговой атаки в среднем будет стоить ретейлеру от 2,25 млн руб., что тоже немало. Все это при условии, что в год на ретейлера совершается в среднем девять успешных нападений. Однако темпы и целеустремленность киберпреступников не снижаются: например, в 2023 г. средний ущерб от действий хакеров вырос на треть и составил не менее 20 млн рублей без учета репутационных потерь. При этом киберинциденты в компаниях случаются почти каждый месяц. Каждый день в сети появляются фейковые сайты для атак на маркетплейсы [4].
В 2022 г. было зафиксировано более 21 млн киберинцидентов (DDoS-атак на российские интернет-ресурсы) [5], включая сайты ретейлеров, а к 2023 г. число финансово мотивированных кибератак выросло почти в три раза [6]. Ежедневно на российские компании совершается около двухсот целевых атак (без учета DDoS) [7]; подавляющее большинство киберзлодеев используют ботнеты с целью парсинга данных, скальпинга, подмены реального трафика роботами. То есть крупные торговые онлайн-площадки подвергаются непрерывному шквалу разнообразных угроз.
И в обозримой перспективе объем кибератак на ретейл будет только нарастать из-за нескольких факторов.
Таким образом, цена игнорирования киберугроз для ретейлеров чрезвычайно высока и будет только расти. Своевременные защитные меры становятся жизненно важной необходимостью.
Чтобы справиться с этой проблемой, ретейлерам нужно переходить к интеллектуальным средствам защиты следующего поколения с применением методов машинного обучения. Здесь ряд серьезных технических преимуществ дает интеграция киберзащиты с телекоммуникационными услугами. Задел для такой интеграции был создан еще в конце 2010-х гг., когда крупные телеком-операторы начали развивать собственные сервисы кибербезопасности. Сегодня провайдеры телеком-услуг способны предоставлять ретейлерам полный комплекс защиты, объединяя телекоммуникационную инфраструктуру, облачные ресурсы и ИБ-сервисы.
Телеком-операторы могут предоставлять эшелонированную многоуровневую защиту как для периметра корпоративных сетей ретейлеров, так и для критически важных веб-приложений, мобильных сервисов и приложений с открытыми API.
На уровне периметра сетей развертываются современные межсетевые экраны нового поколения (NGFW), системы обнаружения и предотвращения вторжений (IPS/IDS), продвинутые системы защиты с проактивными киберустойчивыми ядрами и технологиями машинного обучения. Это позволяет выявлять и блокировать известные и неизвестные ранее угрозы.
Защита веб-приложений и мобильных сервисов осуществляется с помощью специализированных средств, вроде Web Application Firewall (WAF) и комплекса специализированных систем, например Database Firewall (DBF) / Database Activity Monitoring (DAM). Они способны противостоять таким векторам атак как SQL-инъекции, межсайтовому скриптингу, подделке межсайтовых запросов, атакам на API и другим.
Особое внимание уделяется защите от ботнетов и автоматизированных атак типа парсинга, скальпинга и подмены реального трафика зомби-ботами. Для этого операторы располагают облачными сервисами мониторинга и анализа поведенческих факторов атак, блокировки вредоносной активности.
Защита от DDoS-атак обеспечивается мощными облачными средствами распознавания и очистки атакующего трафика. Эти сервисы способны противостоять даже крупномасштабным memcached-атакам, генерирующим терабайты мусорного трафика.
Операторы также могут предложить услуги киберразведки и прогнозной аналитики для получения актуальной информации об активности хакерских группировок, индикаторах компрометации, уязвимостях 0-day и прочих важных данных. Это позволит ретейлерам оперативно закрывать обнаруженные бреши.
Наконец, жизненно важным аспектом является защита от внутренних угроз и социальной инженерии с помощью регулярных тренингов по кибергигиене и киберграмотности для персонала ретейлеров.
Нелишне упомянуть ключевые преимущества для ретейлера от использования интегрированных сервисов "одного окна".
Кроме использования интегрированных телеком-сервисов кибербезопасности, ретейлеры могут предпринять дополнительные шаги по снижению рисков:
Безусловно, эффективность любых защитных мер зависит от скоординированных действий ключевых сотрудников, а также контрагентов и партнеров ретейлера. Кибербезопасность не может рассматриваться узко, в отрыве от всего бизнес-контура.
ИБ должна интегрироваться во всю инфраструктуру, ее внешние зависимые сегменты и бизнес-процессы компании, распространяясь на ИТ, персонал, партнеров и контрагентов. Только комплекс организационных и технических мер обеспечит онлайн-ретейлерам надежную защиту в сегодняшней крайне турбулентной среде киберугроз.
Таким образом, используя методы эшелонированной защиты, ретейлеры могут обезопасить свои распределенные среды от большинства актуальных кибератак. А развивая культуру информационной безопасности, повысить устойчивость к социальной инженерии.
Полноценные комплексные средства защиты, охватывающие все основные векторы атак, встроенные в ландшафт телеком-услуг – вот ключевая ценность интегрированного подхода для ретейлеров. Это обеспечит надежную цифровую иммунную систему их бизнес-процессов.