Оглавление
Угрозы кибербезопасности для сферы онлайн-ретейла множатся с каждым годом. Рост числа угроз, распространение новых технологий кибератак и обострение геополитической напряженности требуют принятия адекватных защитных мер, в то время как специфика инфраструктуры онлайн-ретейлеров создает дополнительные риски.
Автор: Евгений Крайнов, генеральный директор «Телеком биржи»
Распределенные сети, облачные сервисы, интернет-магазины, мобильные приложения – множество точек входа усложняет обеспечение сквозной безопасности. Уязвимости в коде и ошибки настройки систем могут привести к утечкам данных или потере управляемости. При этом привлекательность ретейла для киберпреступников только растет.
Почему ретейл – идеальная мишень для кибератак
Атаки на компании из сферы ретейла имеют ряд специфических особенностей по сравнению с компаниями из других сфер. Это обусловлено рядом факторов.
Большие финансовые потоки. В ретейле крутятся огромные денежные суммы от продаж товаров и услуг. Злоумышленники видят здесь потенциальную возможность нажиться, похитив средства или требуя выкуп. Перехват платежных данных, вымогательство за разблокировку систем – все это активно практикуется хакерами.
Обработка персональных данных. Торговые сети обладают массивами персональных данных своих клиентов – имена, адреса, платежная информация. Кража и перепродажа таких баз данных может быть очень прибыльным бизнесом для злоумышленников на черном рынке. К тому же ретейлеры рискуют крупными штрафами из-за утечек за нарушение закона о защите ПД.
Репутационные риски. Любые сбои в работе интернет-магазинов или потеря доверия клиентов из-за утечек данных чреваты серьезным ущербом репутации бренда и потерей покупателей. Это прямые убытки и преимущество для конкурентов. Хакеры могут шантажировать ретейлеров риском атак с целью получить выкуп.
Масштабируемая инфраструктура. Да, она тоже становится проблемой. Распределенные сети, облака, кластеры, контейнеры, база географически распределенных серверов – все это открывает множество потенциальных векторов атаки. Хакерам проще найти уязвимость в таких сложных инфраструктурах и проникнуть через нее в любые другие сегменты.
Временные промоакции и пики загрузки. Периоды высоких нагрузок, например распродажи, являются удобным временем для DDoS-атак с целью максимизации убытков и создания негативного опыта для клиентов. Такие атаки позволяют использовать дополнительные рычаги давления на компании в моменты, когда они наиболее уязвимы.
Недостаток квалифицированных ИБ-кадров. В ретейле зачастую не хватает высококвалифицированных специалистов по информационной безопасности для обеспечения должного уровня защиты. В результате определенные уязвимости могут оставаться незамеченными или неустраненными.
Автоматизация бизнес-процессов. Казалось бы, благая тенденция, но любой сложный проект несет повышенные риски. APIs, чат-боты, обработка естественного языка, роботизация – активное внедрение передовых технологий создает новые поверхности атаки, к защите которых не все готовы. Злоумышленники быстро эксплуатируют новые векторы кибератак.
Учитывая растущую ценность данных и автоматизацию процессов, а также относительную беззащитность ряда компаний, ретейл становится одной из самых привлекательных мишеней для кибератак. Отсюда высокий приоритет обеспечения информационной безопасности в этой сфере.
Что не так с ИТ-инфраструктурой ретейла
Резюмируем: основной проблемой и источником высоких рисков для современного ретейла является растущая сложность и распределенность ИТ-ландшафтов торговых компаний.
Традиционно ретейлеры активно внедряют облачные технологии, контейнерную виртуализацию, микросервисную архитектуру, географически распределенные сети доставки контента и другие решения для обеспечения высокой доступности, масштабируемости и отказоустойчивости своих интернет-магазинов и сервисов. Добавьте к этому активное развитие мобильных приложений, чат-ботов, интернета вещей и других инноваций.
В результате ИТ-инфраструктура ретейлеров становится крайне распределенной, гетерогенной, с множеством разрозненных компонентов и точек входа. Защитить подобный ландшафт традиционными средствами вроде межсетевых экранов и типовых антивирусов становится невероятно сложно.
При этом злоумышленники активно осваивают эксплуатацию новых атакующих векторов: взлом API, атаки через мобильные приложения, ботнет-атаки на контейнеры, таргетированные атаки на облачные среды и т.д. Отмечается рост числа вредоносных скриптов, эксплойтов, фреймворков для эксплуатации современных технологий.
Кроме того, ретейлеры сталкиваются с нехваткой квалифицированных ИБ-кадров, способных обеспечить безопасность столь сложных распределенных систем. Подготовка требует больших средств и времени. Между тем одна из главных уязвимостей ретейла – человеческий фактор. Сотрудники могут стать жертвами социальной инженерии, когда злоумышленники выманивают у них учетные данные или убеждают установить вредоносное ПО. Слабые пароли, использование незащищенных каналов связи, переход по фишинговым ссылкам – все это открывает лазейки для кибератак.
В результате открываются широкие возможности для киберпреступности: повод найти незащищенные лазейки в инфраструктуре и совершить успешные кибератаки – от DDoS до кражи или фишинга учетных данных, а то и складских товаров.
Как атакуют ретейл – популярные способы нападения и взлома
В целом, деятельность киберпреступников в ретейле обусловлена большими финансовыми потоками в этой сфере и стремлением получить доступ к деньгам, данным или нарушить цепочку поставок торговых сетей.
Злоумышленники могут прибегать к разным типам атак в зависимости от своих целей. Перечислим популярные цели и способы их достижения.
Украсть ценные данные (коммерческие и персональные), перехватить платежи
Целевые атаки с использованием вредоносного ПО для взлома и кражи данных и денег. Используя фишинг, вредоносное ПО или эксплуатируя уязвимости, злоумышленники могут получить доступ к сетям и системам ретейлеров изнутри. Атаки часто маскируются под сложные многошаговые операции.
Интеллектуальные ботнет-атаки для парсинга данных с сайтов. Взломанные компьютеры и устройства объединяются в огромные сети зомби-машин, управляемых злоумышленниками. Устройства-боты получают команды от операторов и автоматически осуществляют парсинг содержимого сайтов ретейлеров – товарных карточек, описаний, цен, наличия, отзывов и т.д. Ботнет может имитировать поведение реальных пользователей, и такой парсинг может оставаться незамеченным.
Выбить или шантажировать конкурента, парализовать его деятельность, начать вымогать деньги
DDoS-атаки, направленные на вывод из строя сайтов и сервисов ретейлеров с помощью мощного потока трафика. DDoS (распределенная атака типа «отказ в обслуживании») направлена на то, чтобы вывести из строя сайты, веб-сервисы, мобильные приложения ретейлеров, обрушив их огромным потоком ложного трафика. Это может быть хакерской местью, попыткой устранить конкурентов или средством вымогательства денег за возобновление работы. Современные DDoS способны обрушивать терабайты пустого трафика, достаточные для подавления даже очень мощных систем.
DNS-атаки, направленные на недоступность или подмену сайта ретейлера вредоносными веб-страницами. Серьезная угроза с инцидентами двух типов: сайт ретейлера или перестает работать, или через перехват DNS-запросов (запросов к системе доменных имен) посетителя уводят на схожие, но мошеннические страницы. Зачастую DNS-серверы физически находятся у хостера, за пределами инфраструктуры ретейлера, а их отказ даже на короткий срок может принести колоссальные убытки ретейлеру. Поэтому и при размещении своих серверов на стороне, и при выборе хостинг-провайдера и регистраторов доменов важно оценивать уровень защищенности их DNS-инфраструктуры. Плюс, делать резервное зеркалирование серверов.
Опустошить склады, перехватить товар и продать его, нанести материальный ущерб конкуренту
Интеллектуальные ботнет-атаки для скальпинга и подмены реальных покупателей роботами. Ботнеты также активно используются для скальпинга (перехвата редких товаров с последующей перепродажей спекулянтами по завышенным ценам), подмены реального покупательского трафика ботами. Генерируя колоссальные объемы запросов, перегружая сайты излишним трафиком и создавая помехи для легитимных пользователей, ботнеты наносят существенный ущерб бизнес-процессам торговых сетей.
Рис. Ботовый трафик мимикрирует под легитимный: смс, маскирующийся под суточную активность пользователя
Фейковые заказы с целью обмануть ретейлеров и опустошить их склады. Злоумышленники создают массу фиктивных заказов на популярные товары на сайтах ретейлеров. Цель – довести до истощения складские запасы, создать дефицит и убытки из-за оттока клиентов.
Разрушить репутацию, операционные процессы и доверие клиентов
SMS-бомбинг и DDoS-звонки для дестабилизации работы call-центров и служб поддержки. Еще один вариант использования ботнетов. Звонки и SMS от ботов целенаправленно перегружают колл-центры и службы поддержки, мешая нормальному обслуживанию клиентов. Эта тактика часто комбинируется с атаками на веб-ресурсы для создания мультивекторного давления на жертву атаки.
Ботнеты позволяют генерировать и рассылать миллионы SMS, делать сотни тысяч звонков практически одновременно. Это быстро переполняет входящие очереди и системы обработки сообщений, парализуя возможность колл-центра обслуживать реальных клиентов. Атаки SMS-бомбингом могут сопровождаться дополнительными методами вроде подмены идентификаторов отправителей для усложнения блокировки трафика. Также возможны сценарии звонков с автосбросом вызова после ответа оператора, что приводит к простоям, снижению продуктивности и нарушению SLA.
В целом, все эти атаки обусловлены стремлением нанести максимальный ущерб бизнесу торговых онлайн-площадок, похитить у них финансовые средства, данные, клиентов и активы. Это требует от ретейлеров многоуровневой защиты и повышенного внимания к кибербезопасности.
Цена рисков: сколько стоит торговая катастрофа
Последствия успешных кибератак на ретейл могут быть катастрофическими. Остановка бизнес-процессов ведет к прямым финансовым потерям, простою инфраструктуры, срыву сделок и поставок. Утечки персональных данных покупателей чреваты огромными штрафами со стороны регулирующих органов за нарушение закона о защите ПД. С начала 2021 года суммы штрафов увеличились вдвое, в том числе — штрафы за невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Теперь речь идет о суммах в размере от 30 тыс. до 6 млн руб., а при повторном нарушении — до 18 млн руб [1].
При этом по данным ИБ-аналитиков, в 2023 г. наиболее атакуемой в России была сфера ретейла [2]. Лидирует она и по числу утечек данных, ведь в ретейле они за прошлый год составили 40% из всех отраслей, а в целом злоумышленники за год украли 360 млн телефонных номеров и адресов. Объемы штрафов за недостаточную защиту и необеспеченное хранение данных можно представить.
Плюс, на эту беду накладываются убытки от фишинговых атак и других способов разорить бизнес через киберинциденты. Ущерб от кибератак в мире за 2023 г. составил $8,7 трлн, ну а потери любого крупного российского ретейлера от успешной веб-атаки, повлекшей простой сайта, могут составить несколько миллионов рублей за считанные минуты и достичь миллиардов, если простой затянется на несколько дней [3].
И следует помнить, что стоимость ущерба от одной успешной фишинговой атаки в среднем будет стоить ретейлеру от 2,25 млн руб., что тоже немало. Все это при условии, что в год на ретейлера совершается в среднем девять успешных нападений. Однако темпы и целеустремленность киберпреступников не снижаются: например, в 2023 г. средний ущерб от действий хакеров вырос на треть и составил не менее 20 млн рублей без учета репутационных потерь. При этом киберинциденты в компаниях случаются почти каждый месяц. Каждый день в сети появляются фейковые сайты для атак на маркетплейсы [4].
В 2022 г. было зафиксировано более 21 млн киберинцидентов (DDoS-атак на российские интернет-ресурсы) [5], включая сайты ретейлеров, а к 2023 г. число финансово мотивированных кибератак выросло почти в три раза [6]. Ежедневно на российские компании совершается около двухсот целевых атак (без учета DDoS) [7]; подавляющее большинство киберзлодеев используют ботнеты с целью парсинга данных, скальпинга, подмены реального трафика роботами. То есть крупные торговые онлайн-площадки подвергаются непрерывному шквалу разнообразных угроз.
И в обозримой перспективе объем кибератак на ретейл будет только нарастать из-за нескольких факторов.
Распространения удаленной работы в ретейле, дальнейшего роста электронной коммерции и переноса все большей части бизнес-процессов и данных в онлайн.
Развития технологий распределенных вычислений, искусственного интеллекта и машинного обучения, которые хакеры могут использовать для создания более изощренных угроз.
Усложнения геополитической обстановки, обострения санкционных войн и торговых конфликтов, провоцирующих рост числа кибератак, как инструмента давления.
Таким образом, цена игнорирования киберугроз для ретейлеров чрезвычайно высока и будет только расти. Своевременные защитные меры становятся жизненно важной необходимостью.
Как ретейлу защититься от кибератак
Чтобы справиться с этой проблемой, ретейлерам нужно переходить к интеллектуальным средствам защиты следующего поколения с применением методов машинного обучения. Здесь ряд серьезных технических преимуществ дает интеграция киберзащиты с телекоммуникационными услугами. Задел для такой интеграции был создан еще в конце 2010-х гг., когда крупные телеком-операторы начали развивать собственные сервисы кибербезопасности. Сегодня провайдеры телеком-услуг способны предоставлять ретейлерам полный комплекс защиты, объединяя телекоммуникационную инфраструктуру, облачные ресурсы и ИБ-сервисы.
Телеком-операторы могут предоставлять эшелонированную многоуровневую защиту как для периметра корпоративных сетей ретейлеров, так и для критически важных веб-приложений, мобильных сервисов и приложений с открытыми API.
На уровне периметра сетей развертываются современные межсетевые экраны нового поколения (NGFW), системы обнаружения и предотвращения вторжений (IPS/IDS), продвинутые системы защиты с проактивными киберустойчивыми ядрами и технологиями машинного обучения. Это позволяет выявлять и блокировать известные и неизвестные ранее угрозы.
Защита веб-приложений и мобильных сервисов осуществляется с помощью специализированных средств, вроде Web Application Firewall (WAF) и комплекса специализированных систем, например Database Firewall (DBF) / Database Activity Monitoring (DAM). Они способны противостоять таким векторам атак как SQL-инъекции, межсайтовому скриптингу, подделке межсайтовых запросов, атакам на API и другим.
Особое внимание уделяется защите от ботнетов и автоматизированных атак типа парсинга, скальпинга и подмены реального трафика зомби-ботами. Для этого операторы располагают облачными сервисами мониторинга и анализа поведенческих факторов атак, блокировки вредоносной активности.
Защита от DDoS-атак обеспечивается мощными облачными средствами распознавания и очистки атакующего трафика. Эти сервисы способны противостоять даже крупномасштабным memcached-атакам, генерирующим терабайты мусорного трафика.
Операторы также могут предложить услуги киберразведки и прогнозной аналитики для получения актуальной информации об активности хакерских группировок, индикаторах компрометации, уязвимостях 0-day и прочих важных данных. Это позволит ретейлерам оперативно закрывать обнаруженные бреши.
Наконец, жизненно важным аспектом является защита от внутренних угроз и социальной инженерии с помощью регулярных тренингов по кибергигиене и киберграмотности для персонала ретейлеров.
Нелишне упомянуть ключевые преимущества для ретейлера от использования интегрированных сервисов “одного окна”.
Существенная экономия за счет эффекта масштаба и экспертизы оператора в части услуг связи и кибербезопасности.
Комплексный подход к обеспечению безопасности вместо лоскутного набора разрозненных решений.
Высокая производительность, отказоустойчивость и катастрофоустойчивость за счет интеграции с телеком-инфраструктурой оператора.
Возможность масштабировать потребление услуг по облачной модели в зависимости от актуальных потребностей бизнеса.
Своевременное обновление и модернизация ИБ-решений благодаря использованию передовой экспертизы оператора.
Снижение нагрузки на собственные ИБ-кадры ретейлера за счет передачи части функций на аутсорсинг телеком-интегратору.
Как еще больше снизить риски
Кроме использования интегрированных телеком-сервисов кибербезопасности, ретейлеры могут предпринять дополнительные шаги по снижению рисков:
Усиливать физическую защиту объектов, где размещается критически важная ИТ-инфраструктура.
Строго следовать принципу наименьших привилегий, политикам контроля доступа и использования многофакторной аутентификации.
Настраивать процессы безопасной разработки программного обеспечения и тестирования на проникновение.
Регулярно проводить резервное копирование данных на удаленных защищенных ресурсах для обеспечения восстановления в аварийных ситуациях.
Налаживать механизмы реагирования на инциденты ИБ, включая процедуры выявления, сдерживания, устранения угроз и восстановления нормальной работы.
Планировать действия на случай реализации рисков – киберстрахование, распределение критических ресурсов по нескольким площадкам, резервные каналы связи и др.
Безусловно, эффективность любых защитных мер зависит от скоординированных действий ключевых сотрудников, а также контрагентов и партнеров ретейлера. Кибербезопасность не может рассматриваться узко, в отрыве от всего бизнес-контура.
ИБ должна интегрироваться во всю инфраструктуру, ее внешние зависимые сегменты и бизнес-процессы компании, распространяясь на ИТ, персонал, партнеров и контрагентов. Только комплекс организационных и технических мер обеспечит онлайн-ретейлерам надежную защиту в сегодняшней крайне турбулентной среде киберугроз.
Таким образом, используя методы эшелонированной защиты, ретейлеры могут обезопасить свои распределенные среды от большинства актуальных кибератак. А развивая культуру информационной безопасности, повысить устойчивость к социальной инженерии.
Полноценные комплексные средства защиты, охватывающие все основные векторы атак, встроенные в ландшафт телеком-услуг – вот ключевая ценность интегрированного подхода для ретейлеров. Это обеспечит надежную цифровую иммунную систему их бизнес-процессов.
https://www.garant.ru/actual/persona/otvetstvennost/
https://tass.ru/ekonomika/20428263
https://rt-solar.ru/events/news/3601/
https://rt-solar.ru/events/news/4145/
https://rt-solar.ru/upload/iblock/34a/5w4h9o57axovdbv3ng7givrz271ykir3/Ataki-na-onlayn_resursy-rossiyskikh-kompaniy-v-2022-godu.pdf
https://www.facct.ru/media-center/press-releases/incident-response-report-2022/
https://rg.ru/2023/11/15/kiborgrabota.html
ITSec_articles