Александр Марков: «Лучшие инвестиции – в культуру кибербезопасности компании»
В беседе с нами он рассказал, почему так важен обмен опытом с конкурентами, что в тренде у киберзлоумышленников и как организована безопасность гиганта ретейла X5 Group.
Какие основные угрозы информационной безопасности вы считаете наиболее актуальными для розничного бизнеса в текущее время?
Розница сейчас — это высокотехнологичный, высокооперационный и низкомаржинальный бизнес. Это определяет специфику информационной безопасности в данной сфере.
Масштаб операций подразумевает высокую доступность ключевых бизнес-процессов, в частности закупку, доставку и продажу товаров. Для этого необходима бесперебойная работа информационных систем. И информационная безопасность в компаниях (не только в ретейле, к слову, но в ретейле особенно) обеспечивает в первую очередь работоспособность критичных бизнес-процессов.
X5 Group – это 59 распределительных центров, из которых товары поставляются более чем в 22 500 торговых точек. В магазинах уже своя логистика. Товар складируется, выкладывается на полки, его покупают — так идет генерация прибыли. В такой ситуации основной угрозой доступности критичных бизнес-процессов и информационных систем становятся различные атаки на периметр магазинов, взлом сети.
Ведь магазин — это не просто полки. Это высокотехнологичный контур. Там много устройств, подключенных к сети: камеры, электронные ценники, устройства, обеспечивающие свежесть продуктов, весы, печи, кофеварки и многое другое. То, что называется «Интернетом вещей». И конечно же, кассы. В отличие от банков, где всё, образно говоря, за стеклом, в магазинах есть Wi-Fi, немало точек доступа к сети в общедоступной зоне. При этом в торговых точках много и сотрудников, и покупателей. Как при этом обеспечить защиту периметра на наших масштабах — серьезный вопрос.
Раньше мы периодически обнаруживали у себя посторонние сетевые устройства, подключенные к сетевым портам в общедоступных зонах. Как бы такие «прокси» между злоумышленником и сетью магазина. Сейчас это происходит все реже, но иногда мы обнаруживаем устройства, пытающиеся подключиться к нашему Wi-Fi в соседних с магазином помещениях. Однажды такое нашлось даже в кинотеатре. А самый свежий тренд — устанавливать различные устройства в автомобилях, припаркованных в непосредственной близости к магазину, в том числе и каршеринговых. Почти все ретейлеры так или иначе с этим сталкиваются.
Злоумышленники нанимают людей на местах, а те за некоторое вознаграждение собирают по присланной инструкции эти устройства (компоненты легкодоступны) и устанавливают их в магазинах или около них. Если раньше подключенные устройства было легко найти и обезвредить, то с «Wi-Fi-вариантом» все несколько сложнее.
Есть еще такой вектор, как атаки на логику программы лояльности. Бывает, что маркетинговые акции составлены некорректно, а мошенники пытаются находить и использовать ошибки для собственной выгоды. Чтобы избежать таких ситуаций, у нас система антифрода тесно интегрирована в работу всех подразделений компании: маркетинга, финансов, систем, поддерживающих работу программы лояльности, платёжных решений.
Основной стимул для кибер-преступников в ретейле – программа лояльности и монетизация кражи баллов лояльности. Сложность привлечения преступников к ответственности в этом случае в том, что эти баллы хоть и являются по сути производным от фиатных денег, формально деньгами не считаются. Такой ущерб доказать непросто, но не значит, что невозможно.
Помимо этого, мы широко представлены нашими цифровыми сервисами в Интернете и для нас актуальны все классические атаки, характерные для технологических компаний. Например, компании в e-com регулярно сталкиваются с DDoS-атаками, направленными на остановку ключевых бизнес-процессов, на остановку формирования заказов. Последнее время атаки идут в основном на L7. Это уже устоявшийся, не уникальный для ритейла тренд. С этим бороться сложнее, чем с атаками на более низких уровнях, но мы уже научились им противостоять.
ИБ-специалисты констатируют, что за последние полтора года киберпреступность ушла в область кибервандализма, цель которого – разрушить ИТ-инфраструктуру российских компаний или хотя бы нанести ей максимально возможный вред. Это актуально для ретейла или же здесь деятельность злоумышленников по-прежнему носит преимущественно экономический характер? Каким атакам вообще подвергается ретейл?
На самом деле любого киберпреступника волнуют в первую очередь деньги. Но действительно в последнее время мы наблюдаем рост числа случаев кибервандализма или даже кибертерроризма. Очевидно, один из факторов, способствующих этому, заключается в безнаказанности, которую чувствуют преступники, находящиеся вне пределов Российской Федерации. Уровень их подготовки далеко не всегда высокий, но играет роль массовость — вместе они создают напор, которому непросто противостоять. Взаимодействие по борьбе с такими злоумышленниками на международном уровне всё еще есть, но оно гораздо менее продуктивно, чем раньше.
Цели у кибертеррористов вполне очевидные — парализовать деятельность магазинов, остановить продажи, в том числе социально значимых товаров, и таким образом создать социальное напряжение.
Как вы оцениваете текущий уровень информационной безопасности в розничной торговле России в целом?
У крупных игроков кибербезопасность на достаточно высоком уровне. У остальных компаний эта область ещё развивается.
На текущий момент наибольший уровень киберзащищенности можно выделить в банках и в инфраструктурных компаниях. В ретейле сейчас очень многое зависит от личной ответственности игроков рынка. При этом знаем, что проектируется новая регуляторика, которая должна стимулировать бизнес в различных отраслях от мала до велика, уделять большее внимание вопросам кибербезопасности. Надеемся, что это позволит еще более поднять средний уровень киберстабильности нашей отрасли. Лично я за разумное усиление регулирования в области кибербезопасности для ретейла. Хотя прекрасно понимаю, что мера непопулярная.
Что входит в зону вашей ответственности в Х5 Group?
Для начала стоит сказать пару слов об Х5 Group в целом. Это огромная холдинговая компания, в состав которой входят различные бизнесы, включая торговые сети «Пятёрочка», «Перекрёсток» и «Чижик», цифровые бизнесы, доставку, транспорт, логистику и многое другое. И мы отвечаем за всё это во всех аспектах информационной безопасности и антифрода.
Сегодня у меня в команде порядка 180 человек. Мы создали и развиваем свой антифрод, аккредитованный и сертифицированный удостоверяющий центр, свой центр мониторинга и реагирования (SOC). Замечу, что наращивать собственные компетенции — наш осознанный выбор.
Наша кибербезопасность строится по федеративной модели. В управляющей компании в блоке «Безопасность» есть департамент информационной безопасности, который я возглавляю. В департаменте сосредоточены все централизованные функции: управление рисками, стратегия, методология, «регуляторка», аудит, архитектура, безопасность разработки, DevSecOps, AppSec, антифрод, криптография, проектное управление.
При этом в крупных «активах» созданы подразделения ИБ, которые подчинены мне функционально и обладают разной степенью автономности. Их основная задача – глубокое понимание бизнес-процессов конкретного «актива» и выстраивание эффективной, точно настроенной под нужды конкретного бизнеса информационной безопасности внутри с использованием централизованных функций ИБ X5 Group. Они налаживают диалог с бизнесом по вопросам кибербезопасности, вовлекают бизнес в эту тему и разделяют с бизнесом единые цели и KPI.
Какие последствия для бизнеса может иметь крупномасштабное нарушение ИБ и как вы готовитесь к таким ситуациям? Насколько вы уверены в своей способности восстановиться после крупной атаки?
В X5 Group мы строим риск-центричную информационную безопасность и на основании модели рисков как раз определяем критичные последствия, в первую очередь исходя из доступности бизнес-процессов, которые генерируют прибыль для компании. На основании модели рисков, оценки эффективности контролей информационной безопасности и максимальных последствий оцениваем, во что эффективнее всего инвестировать ресурсы компании в настоящий момент.
Так, мы определяем для себя 10 рисков, которые могут привести к невыполнению стратегических планов X5, включая массовую остановку кассового обслуживания, простои распределительных центров и нарушение работы логистики, а также, естественно, риски безопасности клиентских данных.
Есть, например, интересная история с кассами. Мы смоделировали вариант, при котором наша безопасность имеет в своем распоряжении все доступные решения. И это снизило риски лишь на несколько десятков процентов. При более глубоком анализе оказалось, что гораздо выгоднее инвестировать в скорость восстановления работы касс, чем в бесконечное повышение уровня защищенности. Поэтому наша безопасность не замыкается в себе, а постоянно контактирует с ИТ и бизнесом.
Полностью защититься от всего невозможно, но я уверен, что мы сможем быстро восстановиться, если что-то случится.
Кроме того, мы регулярно себя тестируем: проводим Red Teaming, penetration-тесты приложений. Постоянно «учим» SOC. У нас есть программа Business Continuity Management, направленная на восстановление работы критичных бизнес-процессов. И, естественно, осуществляется резервное копирование.
Какие ключевые меры позволили вам снизить мошеннические транзакции на 83%? Можете ли вы рассказать о вашем опыте в привлечении мошенников к ответственности?
Антифроду в X5 Group приблизительно полтора года. Основная деятельность мошенников — взлом системы лояльности в одной из точек и генерация баллов «из воздуха». Клиентов это не затрагивает, но бизнес может пострадать. С этим мы справились достаточно быстро: внедрили механизмы защиты от генерации баллов, проводим все транзакции с подтверждением чеками. Механизмы развиваются, система становится более зрелой и сейчас мы на 99,9% защищены от генерации баллов.
Другая история — кража баллов. Мы рассматриваем каждое обращение по этому поводу, выясняем, имело ли место мошенничество. При этом мы одна из первых компаний в ретейле, которая стала применять к случаям мошенничества с баллами лояльности банковские подходы, банковский антифрод. Мы (помимо чеков) контролируем каждую транзакцию по баллам лояльности, определяя ее легитимность.
Развивается и наш сессионный антифрод. Отслеживаем, кто взаимодействует с нашими сайтами и мобильными приложениями, выявляем ботов и мошенников. Кроме того, мы интегрированы во все процессы маркетинга, анализируем логику всех акций, маркетинговых программ, бизнес-процессы, доработки самой платформы программы лояльности.
Есть ли у X5 Group своя разработка? Как обеспечивается взаимодействие между разработчиками и специалистами по ИБ?
Да, конечно, своя разработка у Х5 есть. Большинство существующих практик у нас применяются, включая Waterfall и Agile. В ИБ мы применяем подход Shift Left: в течение всего жизненного цикла информационной системы, от идеи до вывода из эксплуатации, мы стараемся держаться ближе к идее.
Поясню: у бизнеса возникает некая идея, допустим, сделать клиента счастливее. Затем подключается кибербезопасность и формулирует основные верхнеуровневые требования как заказчик. Далее это переходит к ИТ, где формируется команда разработки. Непосредственно в разработке мы можем помочь — у нас есть компетенции. Мы также тестируем код по многим репозиториям и помогаем исправлять найденные критические уязвимости. Проверяем open source на предмет заранее скомпрометированных библиотек. Наконец, мы стоим в цикле поставки кода в промышленную эксплуатацию.
Кроме того, у нас есть динамическое тестирование безопасности. При «приемке» код проверяется на предмет соответствия требованиям ИБ. И даже немного шире — вдруг при формировании требований что-то упустили, не учли. Плюc регулярные penetration-тесты и аудит. Ну и, напомню, у нас есть Red Team, которая работает независимо от всех подразделений ИБ. Ее цели знаю только я и еще один человек в департаменте.
Если поступают «сигналы» с внешнего рынка, от сторонних тестеров, мы их тоже обязательно изучаем.
Иными словами, в случае X5 Group речь идет преимущественно о встроенной, а не навесной безопасности?
Тут важен баланс. Навесить можно многое, но это дорого. Да и эффективность может быть невысока. Security by design удобнее, надежнее, выгоднее и эффективнее. Мы придерживаемся этого похода. Но есть монолитные системы, legacy, встроить в которые ничего не получится. В этом случае выход — навесная безопасность.
Ваше мнение о балансе между удобством для пользователя и безопасностью? Насколько вы готовы жертвовать удобством ради безопасности? Были ли случаи, когда вы отказывались от внедрения определенных инновационных решений из-за рисков для безопасности?
Повторюсь, мы — риск-центричная ИБ. Если бизнес предлагает что-то, условно говоря, небезопасное, мы не запрещаем, а стараемся сделать так, чтобы он ясно понимал, какие последствия на себя принимает. Мы говорим с ним на понятном ему языке операционных рисков и денег. А дальше бизнес сам решает, что делать. Иногда важно как можно быстрее что-то выпустить, пусть и приняв на себя определенный повышенный риск.
Что касается баланса между удобством для пользователя и безопасностью, то у нас в фокусе удобство клиентов, внутренних (наших сотрудников) и покупателей в магазинах. Мы пытаемся сделать безопасность удобной. Это сложно, но это необходимо учитывать, иначе ею не будут пользоваться. Как этого добиться? Работать в партнерстве с ИТ, как разработчиком цифровых сервисов, и бизнесом, который за это платит. Не всегда они готовы идти на уступки, но мы находим общий язык.
В последнее время много внимания уделяется культуре ИБ. Важно ли это для вас и как вы этим занимаетесь?
Для нас это приоритет №1. Лучшая инвестиция в кибербезопасность — это инвестиция в культуру сотрудников. Люди с развитой культурой ИБ всегда работают на компанию. А те, кто далек от ИБ, у кого нет риск-ориентированного подхода, — главные внутренние злоумышленники, сознательно или нет.
Важно помнить, что культура — это не просто осведомленность. Культуру нужно формировать не один год, работать с людьми, чтобы уже они начали её распространять.
Мы также взаимодействуем с разными профессиональными комьюнити, пытаемся делиться историей развития своей кибербезопасности. Думаю, что это хороший пример, который будет способствовать повышению уровня безопасности в целом, и в первую очередь именно в ретейле — все-таки там есть своя специфика. А нам, команде X5, есть что рассказать. Мы вообще очень открыты для обмена опытом и критики. Общаемся с другими ретейлерами, обмениваемся опытом, делимся раскрытыми схемами мошенничества. Здесь у нас нет конкуренции, потому что у всех нас есть один общий противник. Замечу также, этому очень помогают различные форумы и другие площадки, открытые и закрытые. А лучшие практики затем можно выносить из ретейла в общую среду кибербезопасности. Я за то, чтобы делиться.