Почему ритейл - излюбленное лакомство хакеров
После волны вируса Petya в Украине только и говорят, что о кибератаках и о защите критической инфраструктуры. Здесь сразу возникает ассоциация с государственными органами, сетями энергетических компаний, аэропортами. Все верно, но такими объектами понятие “критическая инфраструктура” не исчерпывается. К ним, по мнению экспертов, можно смело отнести и крупные торговые сети. И это легко доказать. Представьте, что произойдет, если на неделю остановится работа нескольких крупных сетей продуктовых супермаркетов и автомобильных заправок. Социальные, экономические и, возможно, политические последствия могут быть очень серьезными.
Журналист LIGA.net постарался разобраться, насколько серьезно относятся к обеспечению кибербезопасности отечественные ритейлы.
Однако, оказалось, о своих мерах защиты от киберугроз торговые сети рассказывать не торопятся. И это понятно, они опасаются “дать подсказку” хакерам и поставить под угрозу свою сеть. “Мы защищаемся. Больше ничего сказать не можем”, - такие ответы чаще всего получал журналист в поисках комментариев для статьи. Но смельчаков найти все же удалось.
Каких киберугроз стоит опасаться торговым сетям, как от них защищаться и как это делают украинские крупные сети?
Новые технологии - новые проблемы
“Развитие технологий и выход розничных сетей в онлайн, масштабное внедрение автоматизированных централизованных систем учета не только позволили бизнесу расширить аудиторию и сэкономить на каналах доставки/внутреннем учете, но и многократно увеличили риски кибербезопасности, - отмечает основатель компании Октава Киберзахист Александр Кардаков.
По его словам, главным вектором для ритейлеров было и остается противодействие мошенничеству. “Это и кассовый фрод, и злоупотребления недобросовестных сотрудников в программах лояльности, манипуляции с логистикой и закупками. Для снижения рисков в этой сфере ритейлеры активно используют специализированные системы противодействия мошенничеству - решения класса Fraud Management & Revenue Assurance”, - добавляет Кардаков.- В то же время, когда Украину охватил вирус Petya, некоторые торговые сети столкнулись с невозможностью продать товар, нарушениями в логистике и понесли прямые экономические убытки. В результате, они получили мощный импульс обратить внимание на внешние киберугрозы, и сегодня все крупные ритейлеры в Украине довольно серьезно относятся к вопросу обеспечения кибербезопасности”.
А как хакеры могут атаковать торговую сеть? Пять вариантов перечислил Web developer в Astound Commerce Александр Тищенко, сразу добавив, как с ними справляться.
1. Атака на конечное оборудование (любые компьютеры в торговой точке). Это может быть касса, компьютер бухгалтера, администратора и т.д. В таком случае может быть любой вирус, кейлоггер (ПО, которое следит за действиями пользователя на компьютере, - Ред.) и что угодно другое. В результате могут быть украдены пароли, данные или можно просто сломать работу системы. Очень удобно для шпионажа за конкурентами.
Защитится можно, установив современную ОС, антивирус и следить за обновлениями ПО. Также обязательно ограничить права. (Например, если на кассе должна запускаться только одна программа, то разрешить только ее).
2. Атака на Wi-Fi сети. Сейчас очень много устройств работающих по Wi-Fi (терминалы, например). Почти любую сеть можно очень быстро вскрыть при помощи ноутбука или телефона - никого не удивит человек, 15-20 минут смотрящий в телефон.
Оборудование, которое можно подключать через проводное соединение, - подключаем кабелем. На Wi-Fi ставим надежный пароль, желательно максимальной длины и обязательно надо использовать профессиональное оборудование. Дешевая домашняя точка доступа не подойдет для серьезных вещей.
3. Apple/Android pay. С помощью этой технологии можно “повесить” терминал или сразу все терминалы в торговой точке. Достаточно телефона с root-правами или кастовой прошивкой. Проверено лично на одном из больших сетевых магазинов.
Защита простая - использовать современное ПО. Терминалы очень редко обновляют после установки, а стоило бы.
4. Взлом роутера, который обеспечивает выход в интернет. Таким способом можно подключиться ко внутренней сети. Тут есть два варианта: взлом из гостевой сети (многие дают бесплатный Wi-Fi) или просто из интернета.
Защититься можно правильными настройками безопасности, своевременными обновлениями прошивок и использованием профессионального оборудования.
5. Атака на центральный сервер. При таком сценарии, уязвимостей может быть огромное количество, все зависит от набора софта. Иногда, для экономии, на одном сервере поднимают софт для контроля точек продажи, бухгалтерию, корпоративную почту и сайт.
При этом, все это ПО нужно правильно настраивать. Работает оно обычно сразу после установки, а вот чтобы работало правильно и без дыр, нужна тонкая настройка. Как результат, возможно получение админских прав на сервере через второстепенное ПО, а потом можно делать все что угодно со всей торговой сетью.
Защититься от этого можно разделением серверов по функционалу, в идеале в разные сети без доступа друг к другу.
Александр Тищенко также дал несколько общих рекомендаций по киберзащите:
-
Любая точка выхода в интернет должна фильтроваться через файрвол и разрешать только тот трафик, который необходим для работы.
-
У всех пользователей и систем должны быть минимально необходимые права доступа.
-
Нужно использовать современное ПО и обновлять систему.
-
Забыть про использование дешевого оборудования непонятного производства.
-
Иногда обращаться в компанию которая занимается тестированием безопасности. Это дорого, но простой торговой сети обойдется намного дороже.
“Главное - построение целостной архитектуры безопасности с возможностью проактивного мониторинга. Невозможно защититься от того, чего ты не видишь. Важно не просто поставить межсетевой экран, а сесть и проанализировать возможные векторы проникновения и адекватно их защитить»,- добавляет директор компании Аккорд Групп Валерий Береговой.
По его словам, безопасность безопасности рознь: “Как не избита фраза, что безопасность это процесс, причем постоянный - многие это просто игнорируют».
Технический директор компании Аккорд груп Вадим Запарованный добавляет, что на самом деле практика построения сетевой инфраструктуры филиальной сети в виде звезды, где обмен идет через центральный узел - не нова и по такой схеме работает от 90 до 95 % крупных организаций. “Это позволяет сконцентрировать весь интеллект по защите и обработке информации в одном месте. Для торговых сетей методы защиты от кибератак по большому счету ничем не отличаются от тех же банков, поскольку и те и другие имеют дело с персональными денежными средствами клиентов”, - говорит он.
Сейчас все серьезно
Несмотря на то, что в прошлом году некоторые украинские ритейлеры не были готовы к атаке, сейчас они довольно серьезно относятся к вопросу кибербезопасности, говорит технический директор компании Октава Киберзахист Алексей Швачка. “Из мирового опыта показательным является ежегодный отчет аудиторской компании BDO в США (международного объединения аудиторских и консультационных компаний). Согласно отчету, ритейлеры хорошо понимают риски кибербезопасности. Для 100% участников исследования уже второй год подряд проблемы кибербезопасности находятся "в фокусе", 78% особо указывают на риски, связанные с конфиденциальностью данных, и 30% уделяют повышенное внимание вопросам безопасности транзакций по платежным картам”, - рассказывает специалист.
Например, сети заправок. В одной из таких сетей рассказали, что трафик, который идёт на каждую из АЗК проходит сначала через центральные серверы и фильтры безопасности на них, и что сами АЗК между собой не связаны - не имеют доступа друг к другу.
“Подобная схема включения удаленных торговых площадок безусловно является правильной, хотя она и не гарантирует полной защищенности сама по себе. Основным, как и для любой другой организации, является необходимость обеспечить надежную защиту основных информационных систем в главном центре обработки данных. От эффективности такой защиты в современных условиях может зависит устойчивость, а в некоторых случаях - и сама возможность существования бизнеса в целом”,- добавляет Швачка.
Как же защищаются украинские сети?
LIGA.net все же удалось отыскать смельчаков, которые поделились опытом защиты. Так как киберзащищаются сети заправок WOG и ОККО, а также сеть кинотеатров Планета кино?
Андрей Бобров, заместитель директора Департамента информационных технологий компании WOG
В компании WOG к вопросу кибербезопасности подход достаточно скрупулезный и взвешенный. В нашей IT экосистеме мы внедряем передовые продукты от ведущих мировых вендоров таких, как Cisco, HP, Dell, Eset, WincorNixdorf и прочее.
Все критически важные процессинговые системы, используемые для обеспечения бизнеса компании изолированы в отдельные зоны, доступ к которым контролируется на уровне программно-аппаратных маршрутизаторов на сетевом уровне до наименьших деталей, с доступом по конкретным необходимым сетевым портам и только для данного процесса. Вся сетевая и серверная инфраструктура проходит ежедневные тесты в режиме онлайн и контролируется специалистами департамента IT WOG.
Поэтому, например, при нацеленной вирусной атаке вирусом PetyaA, WOG - одна из компаний, которая не пострадала от производимого деструктива. Во время тех событий все торговые объекты сети функционировали в бесперебойном режиме. Все онлайн сервисы, от которых зависит текущее обслуживание клиентов, WOGPAY, программ лояльности PRIDE, эквайринг, топливные карты и онлайн талоны - все это спокойно работало, без срывов.
ПО, используемое в компании, постоянно проходит плановые обновления, тем самым частично предотвращая возможные «дыры» в безопасности, которые могли иметь место и были исправлены компанией разработчиком.
АЗК же находятся в единой, закрытой и изолированной друг от друга сетевой модели работы.
Принцип работы WOG в вопросе безопасности на АЗК достаточно сложен и с другой стороны прост – все что не разрешено – запрещено. Весь трафик, попадая на АЗК, предварительно проходит всевозможные фильтры безопасности и глубокого анализа на центральных серверах и маршрутизаторах компании. Весь нежелательный контент отсеивается за считанные минуты еще на пути до АЗК.
Грубо говоря, одна АЗК не имеет доступ к другой, доступ же к серверным мощностям компании контролируется в разрезе каждого отдельно взятого сервиса или службы, в том числе по сетевым портам. В WOG повсеместно используются различные брандмауэры и антивирусное ПО.
А все оборудование, используемое на АЗК, проходит постоянный мониторинг уязвимости.
Александр Ляшенко, вице-президент сети АЗК ОККО по технологиям и бизнес-процессам
Киберугрозы, которым потенциально подвержена наша компания, те же, что и у других бизнесов. Чаще всего мы сталкиваемся с периодическими всплесками активности, связанными с поиском уязвимостей в периметре нашей сети и ежедневными попытками деструктива в письмах на электронную почту, цель которых побудить пользователя перейти по ссылке и загрузить «зловред». Это и шифровальщики, и кейлоггеры, и разные модули, предназначенные для сбора данных с корпоративных компьютеров и удаленного управления.
Мы постоянно совершенствуем наши инфраструктурные специализированные решения, которые позволяют нам вести онлайн-мониторинг здоровья всех элементов ИТ-систем, обеспечивать их конфиденциальность, доступность, производительность и масштабируемость. Для координации работы, направленной на обеспечение киберзащиты компании в 2017 году мы создали подразделение информационной безопасности.
И продолжаем активно развивать наши системы противодействия атакам, несанкционированным проникновениям и их обнаружения. Но ставку делаем именно на разработку, реализацию и постоянную актуализацию процессов DRP и BCP (Disaster Recovery Planning & Business Continuity Planning - план восстановления после сбоев и планирование непрерывности бизнеса). Потому что нельзя гарантировать на 100%, что ваша инфраструктура не будет поражена. Но нужно стремиться к тому, чтобы ее можно было восстановить за максимально короткое время.
Евгений Медведский, директор ИТ департамента Планеты Кино
Основные киберугрозы для сети кинотеатров Планета Кино это: неправомерный доступ, фишинг, вирусная атака, DDOS атака. Проявляться эти угрозы могут по-разному: через социальную инженерию, брутфорс, нахождение уязвимостей корпоративной сети или уязвимостей внешних ресурсов. Последствия - от потери конфиденциальной информации своей или клиентской до недоступности основных сервисов компании (показ фильмов, продажа билетов и др.).
Конечно, мы стараемся уменьшить риск наступления проблемы. С самого начала корпоративная сеть строилась по общепринятым стандартам безопасности (внешний и внутренний периметры, например), устанавливалось специальное оборудование и настраивались соответствующие сервисы. Однако со временем все это требует модернизации и обновления, а это, в свою очередь, требует инвестиций.
Отвечая на вопрос самостоятельно мы это делаем, или нет, хотел высказать мнение, что качественно самостоятельно делать это сейчас невозможно. У нас есть партнер, который закрывает часть вопросов, связанных с ИТ безопасностью.
К сожалению, отдельный бюджет на кибербезопасность у нас не предусмотрен. Как не предусмотрено и отдельное подразделение которое должно заниматься информационной безопасностью. По моему мнению, такое подразделение должно контролировать работу в том числе ИТ подразделения. Но здесь каждый решает для себя: многие процессы по безопасности - низкая скорость имплементации изменений.
На моей памяти, у нас было 2 атаки (PetyaA я не считаю). Одна атака была нацелена на отключение онлайн-сервиса по продаже билетов, а вторая - на подбор паролей в личный кабинет клиента. Обе атаки осуществлялись с большого количества рабочих станций расположенных по разным странам.
Как справлялись? Ночевали. Если серьезно, то читали статьи, настраивали сервис-зонтики, за которыми прятали сервисы Планеты. Но, это все что происходит «во время», а надо что-то делать "до" проблемы. Это целый комплекс мероприятий: подходы в разработке, разнообразные пентесты (метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника, - Ред.) и нормальная мотивация людей-кулибиных, которые находят дыры в твоем сервисе и говорят тебе об этом.