Александр Танчук, Дикси: Внедрение практик безопасной разработки может занять годы, но нужно бизнесу уже сейчас

Александр Танчук, руководитель отдела ИБ Дикси, рассказал Cyber Media о степени цифровизации современных торговых сетей, специфике обеспечения информационной безопасности и построении практик безопасной разработки.

Cyber Media: В чем специфика торговых сетей с точки зрения информационной безопасности? Какие специфичные риски характерны для этой сферы?

Александр Танчук: Если речь идет о классических торговых сетях, то можно выделить следующую специфику с точки зрения информационной безопасности: планомерный переход от офлайн к онлайн-торговле, ускоряющаяся цифровизация и автоматизация процессов, которая догоняет более зарегулированные области бизнеса.

Если говорить про риски, то помимо приостановки торговли в результате кибератак, можно назвать атаки на программы лояльности и хищение бонусных баллов\промокодов.

Фрод и взлом ритейла — это огромная индустрия, в которой участвует большое количество профессионалов из разных стран. Впервые столкнувшись с подобными атаками, я был удивлен высокому уровню развития сервисов, в том числе «клиентских», которые предоставляются в даркнете.

Cyber Media: На ваш взгляд, как изменилась динамика кибератак, фродовой активности, направленной на торговые сети? Есть ли какие-то существенные изменения, новшества?

Александр Танчук: Я не вижу особых новшеств. Кибератаки эволюционируют, как обычно, на шаг впереди от защитных мер. А вот динамика, на мой взгляд, изменилась за последние три года, увеличилась кратно.

Теперь любой новичок, скрипт-кидди, находящийся за границей, может практически безнаказанно тренировать свои навыки и испытывать разные инструменты взлома на инфраструктуре российских компаний.

Помимо этого, мы наблюдаем рост числа случаев так называемого хактивизма. Все перечисленное заставляет задумываться о реальной кибербезопасности.

Cyber Media: Насколько распространены практики безопасной разработки в торговых сетях? Поделитесь вашим опытом, как выстроить этот процесс и на что следует обратить внимание?

Александр Танчук: Не берусь говорить за всю отрасль. В целом, практики безопасной разработки сейчас — это еще модный тренд, при этом я не умаляю важность этого направления как такового. Крупнейшие игроки отрасли, насколько мне известно, развиваются в этой сфере очень активно. Сложно оценить уровень зрелости всей отрасли от 1 до 10. Я бы сказал, что нам всем точно есть куда расти, но при этом это уже не нулевой уровень.

С точки зрения выстраивания процесса. Мы все работаем в условиях ограниченных ресурсов, поэтому я не посоветую чего-то нового — нужно фокусироваться на самых ключевых сервисах, которые приносят деньги и качают репутацию компании. Если говорить про Дикси, то в первую очередь, мы уделяем внимание приложению по электронной доставке и связанным с ним сервисам.

Cyber Media: Для выстраивания процесса безопасной разработки важно иметь штат AppSec/DevSecOps-специалистов, которых на рынке дефицит. Как быть в ситуации, когда безопасная разработка нужна уже сегодня, но для ее самостоятельного построения нужно несколько лет?

Александр Танчук: Начинать следует с имеющихся людей и процессов. Как показывает практика, уже работающие команды разработчиков, так или иначе, на практике реализуют какие-то куски DevSecOps в силу необходимости. Мы для старта провели «аудит», чтобы появилась точка отсчета. Зафиксировали текущее состояние и уровень компетенций команд разработки. На основе этого уже начали строить план изменений. Чтобы ускорить этот процесс, мы однозначно на первом этапе будем привлекать внешнюю экспертизу, но целиться будем в создание собственного центра компетенций AppSec/DevSecOps.

Cyber Media: Вы упоминали про тренд на цифровизацию и автоматизацию. Если говорить об аппаратной части безопасности, смарт-кассах, кассах самообслуживания и т.д. Насколько это оборудование защищено от кибератак?

Александр Танчук: Расскажу в целом про практику. Все зависит от уровня развития процессов ИБ в компании в целом, но складывается впечатление, что готовые коробочные решения проверяют несколько хуже, полагаясь на договорные обязательства и реализацию защитных мер на стороне вендора, нежели продукты собственной разработки.

Важно защищать всю инфраструктуру торговой точки, нежели фокусироваться на отдельных решениях. В современных магазинах много цифровых устройств — от электронных ценников и кофемашин до мобильных принтеров чеков. Без адекватной сегментации сети, разграничения прав доступов на уровне магазина и банально закрытой серверной злоумышленнику не составит особого труда проникнуть внутрь инфраструктуры компании.

Cyber Media: Как вы в целом оцениваете уровень цифровизации торговых сетей?

Александр Танчук: Сложно оценить уровень цифровизации. Как и с безопасной разработкой — не нулевой, но всем есть куда расти, избавляться от legacy-решений, которые уже не отвечают современным трендам и вызовам рынка. Все больше операционных процессов автоматизируются и уходят в онлайн из-за проблематики с вопросом с найма сотрудников. Понятно, что дело за лидерами рынка — уровень цифровизации выше и они способны создавать тренды, предлагая новые решения. Как пример — экспериментальные магазины без кассиров у некоторых крупных ритейлеров. Пусть пока это больше имиджевые эксперименты, но, может, уже через 5-10 лет для нас это станет обыденностью, как и доставка продуктов домой.