Дмитрий Бахтин, «Детский мир»: Ритейлу пришлось изменить подход к информационной безопасности

Весной 2022-го количество кибератак на российский ритейл увеличилось в несколько раз. Не стал исключением и «Детский мир» – аномальный рост трафика на сайте фиксировали ежедневно. Злоумышленники проводили DDoS-атаки и сканировали онлайн-сервисы ритейлера на наличие уязвимостей. И хотя их попытки не увенчались успехом, «Детский мир» все же пересмотрел требования к безопасности своих онлайн-сервисов.

Что именно изменилось? И с какими ИБ-сложностями сталкиваются крупные компании, которые создают ПО самостоятельно? Об этом порталу Cyber Media рассказал Дмитрий Бахтин, директор по разработке ПАО «Детский мир».

Cyber Media: Дмитрий, какие задачи ИБ особенно важны для «Детского мира» сегодня?

Дмитрий Бахтин: На первом месте – защита персональных данных. Онлайн-сервисами «Детского мира» пользуются миллионы пользователей, поэтому вопрос об их безопасности стоит очень остро. Причем речь идет не только об юридической ответственности за защиту персональных данных, но и о репутационных рисках. Особенно сейчас, когда новости о масштабных утечках в крупных компаниях появляются каждый день.

Также для нас важна защита от вредоносного ПО, заражение которым возможно из-за уязвимостей в публично доступных приложениях. Именно поэтому мы следим за всеми обновлениями и совершенствуем средства ИБ.

При этом мы понимаем, что не все угрозы исходят извне. Утечка информации через партнеров компании и сотрудников – вполне распространенная история. И мы стремимся сократить риски в процессе разработки своего ПО. Заранее продумываем все нюансы управления доступом и контроля прав пользователей, в том числе на уровне приложений и сети.

Cyber Media: А как же защита от кибератак?

Дмитрий Бахтин: Да, это тоже одна из самых актуальных задач. Борьба с атаками требует быстрой реакции. В прошлом году мы еще раз убедились, что на любой возможный инцидент должен быть план действий, который поможет смягчить последствия. Еще один вывод – нужно постоянно изучать новые тактики и стратегии атак, что требует постоянного и непрерывного мониторинга событий.

Cyber Media: С какими угрозами приходится сейчас иметь дело?

Дмитрий Бахтин: Киберпреступники постоянно сканируют наши онлайн-сервисы – ищут уязвимости. Мы это видим по логам, а точнее – по аномальным и нетипичным запросам. Их приходится постоянно отделять от реальных, которые генерят клиенты на сайте «Детского мира». А это десятки тысяч запросов в секунду.

Главная сложность здесь – корректно отделить полезный трафик от фродового. Если начнем бить по-полезному, то пострадают реальные пользователи. История может закончиться уходом клиентов к конкурентам.

Cyber Media: Чем, на ваш взгляд, кибербезопасность в разработке своих продуктов принципиально отличается от подхода вендоров?

Дмитрий Бахтин: Вендоры предлагают готовые решения. Часто они не могут полностью удовлетворить специфические требования нашего бизнеса. При этом собственная разработка дает полный контроль над каждым аспектом ИБ, включая настройки и организацию защиты продуктов, пользователей и компании в целом. Управлять рисками безопасности нам таким образом намного проще.

Еще одно важное отличие – адаптивность. При самостоятельной разработке мы можем быстрее модифицировать систему безопасности под новую угрозу или очередные требования регулятора. Их, кстати, из-за постоянных утечек персональных данных на рынке теперь немало.

Внедрение изменений в случае с вендорами – длительный процесс. А если требуется интеграция ПО, то времени уходит еще больше.

Cyber Media: По затратам есть разница?

Дмитрий Бахтин: На мой взгляд, собственная разработка предполагает высокие расходы, на обеспечение безопасности, в том числе. Но только на начальном этапе. В долгосрочной перспективе часто оказывается, что своя команда выгоднее сотрудничества с вендором.

Все-таки за обновление и поддержку стороннего продукта нужно платить, и часто это большие суммы. А еще есть риск согласиться на решение вендора, которое в процессе эксплуатации не удовлетворит все требования компании. За каждую доработку придется платить отдельно и много.

Cyber Media: Можете привести пример?

Дмитрий Бахтин: При регистрации на сайте detmir.ru мы запрашиваем информацию: ФИО, email, номер телефона, адрес и т.д. Все это хранится в зашифрованной базе. Чтобы интерфейсы работали быстро, мы держим в защищенной инфраструктуре только персональные данные.

Но однажды ужесточается требование регулятора – теперь информацию, например, о детях или любимых магазинах клиента тоже нужно хранить секьюрно. Перенести данные в защищенное хранилище будет удобнее, когда в штате есть свои специалисты. Особенно если регулятор установил жесткий дедлайн и сделать это нужно очень быстро.

Cyber Media: Вернемся к атакам и другим вызовам последних двух лет. Как за это время изменился подход к ИБ в вашей компании?

Дмитрий Бахтин: В феврале-марте 2022-го на сайт обрушились DDoS- и другие атаки, было множество попыток получить персональные данные наших пользователей. Это заставило изменить подход к информационной безопасности в компании. Мы увеличили бизнес-вложения в ИБ, внедрили новые процедуры управления доступом, усилили мониторинг наших систем.

Большую часть инвестиций направили на аудит ИБ и обучение персонала. Причина понятна – человеческий фактор по-прежнему остается самым слабым звеном ИБ в компаниях. Для сотрудников проводятся воркшопы и прочие тренинги, где они изучают и вспоминают элементарные правила информационной безопасности. Обучение проводят лидеры рынка ИБ.

Из-за новых угроз мы значительно расширили возможности по мониторингу событий в ИТ-инфраструктуре. Теперь можем быстрее реагировать на инциденты. А еще внедрили более строгие процедуры управления доступом и минимально необходимые привилегии.

Минимально необходимые привилегии – один из способов защитить компанию от утечек данных. Однако пока многие компании им не пользуются. Часто сотрудникам для работы в программах дают максимальную роль. Она позволяет сделать больше операций и действий, в том числе потенциально опасных для клиентов и компании.

И наконец, у нас появились безопасники в штате. Раньше их задачи выполняли специалисты из компаний на аутсорсе. Сейчас мы понимаем, что нужен системный подход к ИБ. Эксперты из других компаний обеспечить его пока не могут.

Cyber Media: Чем сейчас заняты ваши безопасники?

Дмитрий Бахтин: Они разрабатывают и запускают новые политики безопасности в компании. Это довольно сложная и длительная задача, которая требует модификации устоявшихся бизнес-процессов и изменений в мышлении сотрудников. Инвестиции в кибербез осваиваются не быстро.

Cyber Media: Какие решения для обеспечения безопасности считаете самыми важными в ритейле?

Дмитрий Бахтин: Если говорить про онлайн-сервисы «Детского мира», то важнейшее лично для нас – система защиты от DDoS-атак. Без нее есть риск простоя, цена которого очень высока.

На второе место я бы поставил систему защиты веб-приложений. Для ритейла важны решения, которые мониторят трафик на предмет выявления XSS-, SQL-инъекций и других угроз.

Также актуальны системы обнаружения вторжения, специализированное ПО для шифрования данных и классификации трафика, разделения на паразитный и полезный.

Если в компании используют много цифровых продуктов, то есть смысл переходить на единую систему управления идентификацией и доступом. Такой проект сейчас у нас в работе (Detmir ID). Все системы, которые работают в «Детском мире», будут использовать единую систему авторизации и аутентификации пользователей. Вместе с тем появится единая политика управления правами и доступами, которые настраиваются в одной админке.

Cyber Media: Какие советы вы бы дали коллегам, которые занимаются разработкой своих цифровых продуктов или только задумываются об этом?

Дмитрий Бахтин: Первый и самый важный совет – интегрировать элементы ИБ в продукт на начальном этапе разработки продукта. Кибербезопасность нужно учитывать с самого начала проекта – с обсуждений и анализа бизнес-требований.

Второй совет – обучать персонал. Сотрудники компании – это первая линия защиты компании. Кроме того, нужно применять принцип меньшей привилегии, разрабатывать и внедрять политики информационной безопасности. Они должны стать фундаментом для всех мероприятий в компании, которые связаны с защитой информации.

Не стоит также пренебрегать ИБ-аудитами и тестированием на проникновение. Лучше закладывать постоянные расходы и проводить мероприятия на регулярной основе. Внешний аудит помогает выявить слабые места, уязвимости систем и проверить эффективность текущих мер безопасности.

И последний совет – подключайте инцидент-менеджмент. Невозможно застраховать себя от всех угроз. Рано или поздно инцидент случится. В этот момент важно иметь план действий и опыт. Даже если он получен не в бою, а на учениях.