Реклама на retail.ru
'/%3e%3cg%20filter='url(%23filter0_f_10341_112044)'%3e%3ccircle%20cx='55.5'%20cy='25.5'%20r='2.5'%20fill='url(%23paint1_radial_10341_112044)'/%3e%3c/g%3e%3cdefs%3e%3cfilter%20id='filter0_f_10341_112044'%20x='52'%20y='22'%20width='7'%20height='7'%20filterUnits='userSpaceOnUse'%20color-interpolation-filters='sRGB'%3e%3cfeFlood%20flood-opacity='0'%20result='BackgroundImageFix'/%3e%3cfeBlend%20mode='normal'%20in='SourceGraphic'%20in2='BackgroundImageFix'%20result='shape'/%3e%3cfeGaussianBlur%20stdDeviation='0.5'%20result='effect1_foregroundBlur_10341_112044'/%3e%3c/filter%3e%3clinearGradient%20id='paint0_linear_10341_112044'%20x1='57.0492'%20y1='31.4754'%20x2='31'%20y2='2.5'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%23461EF8'/%3e%3cstop%20offset='1'%20stop-color='%23E4E4FD'/%3e%3c/linearGradient%3e%3cradialGradient%20id='paint1_radial_10341_112044'%20cx='0'%20cy='0'%20r='1'%20gradientUnits='userSpaceOnUse'%20gradientTransform='translate(55.5%2025.5)%20rotate(90)%20scale(2.5)'%3e%3cstop%20stop-color='white'/%3e%3cstop%20offset='1'%20stop-color='%23C4B8FA'/%3e%3c/radialGradient%3e%3c/defs%3e%3c/svg%3e)
на новости ритейла
Получайте новости
индустрии ритейла первым!
Поделиться
Эксперт по безопасности приложений Владимир Телепов, Swordfish Security: «Самое время перестать делать глупости»
В этой колонке эксперт по безопасности приложений Владимир Телепов из Swordfish Security рассуждает, почему ритейлеры пропустили всплеск хакерской активности, каковые типичные проблемы с безопасностью мобильных приложений сетей и что с этим делать.
Несколько крупных торговых сетей только за последнюю неделю подверглись хакерским атакам, которые парализовали работу на несколько часов, а иногда и дней и принесли ритейлерам серьезные убытки. И закончилась ли эта серия, остается только гадать. Очевидно, что речь идет о долгих, планомерных и множественных хакерских атаках на инфраструктуру российского бизнеса. Как правило, небольшие «подломы» происходят годами задолго до того, как случится сбой, который все заметят. Злоумышленники ищут слабые места и собирают своего рода «досье», поэтому, когда происходит масштабная атака, компании в моменте мало что могут ей противопоставить. Доступы, эксплойты и другая информация, которые сейчас эксплуатируются в атаках на сети, были собраны и подготовлены, очевидно, довольно давно. Как случилось, что это упустили?
Ритейл – одна из самых быстроразвивающихся «в цифре» отраслей, новые сервисы появляются еженедельно, и каждый игрок стремится добежать до финиша первым. В гонке за скоростью часто проседает безопасность. Во-первых, потому что она требует внутренней зрелости компании; во-вторых, банально – денег. Построение полноценной культуры информационной безопасности и РБПО могут позволить себе цифровые гиганты ритейла, тогда как средний бизнес вроде относительно небольшой сети аптек или мебельных магазинов строго экономит бюджет. До тех пор, пока не сталкивается с убытками в результате хакерских атак...
С декабря прошлого года утечки персональных данных, за которыми охотятся мастера социальной инженерии, серьезно «подорожали» для компаний. Теперь ответственность за нарушение достигает 15 миллионов рублей, а в случае повторной утечки компании будут вынуждены платить уже оборотные штрафы – до 3% годовой выручки, но не менее 20 миллионов рублей. Ритейл с этой проблемой пока сталкивается нечасто, но если в качестве примера привести банки, которые рискуют лицензией, если не соответствуют требованиям безопасности, то их системы гораздо более защищены.
Один из популярных векторов атак на ритейл – атаки через подрядчика. Будь это ПО для логистики и управления складом, мобильное приложение или бухгалтерия.
Отдельно стоит сказать о мобильных приложениях. 70% покупок в ритейле совершались через смартфоны, а установка ecom-приложений выросла на 61% – данные 2024 года. При этом сами по себе мобильные приложения – это программное обеспечение, которое работает в незащищенной среде и содержит массу возможностей для взлома. Как показало исследование платформы анализа безопасности мобильных приложений AppSec.Sting, в 2024 году 94% мобильных приложений ритейл-компаний содержали уязвимости, причем они протестировали наиболее скачиваемые из российских сторов мобильные приложения в категориях e-com и е-grocery. В ходе исследования обнаружили более 3200 уязвимостей, среди которых почти половина – более 1200 – входят в категории сritical и high, то есть могут быть потенциально опасны для пользователей и компаний-владельцев.
Каковы типичные проблемы с безопасностью ПО и приложений в ритейле?
Типичные проблемы отрасли:
-
Человеческий фактор. Часто возможности для хакеров предоставляют сотрудники компании или подрядчики. Продажа секретов – не сценарий к шпионскому кино, а вполне реальная практика, которая применяется чаще, чем кажется.
-
Требования к подрядчикам не сформулированы. Команда, которую компания нанимает для разработки ПО, не получает внятных требований к обеспечению безопасности: об этом просто не думают.
-
Компании используют устаревшие библиотеки, которые содержат опасные и давно найденные и эксплуатируемые уязвимости. Самый банальный пример Log4Shell. Это уязвимость, обнаруженная в одной из популярных библиотек log4j в 2021 году, однако до сих пор, по статистике некоторых вендоров WAF и NGFW, атаки с попыткой ее эксплуатации составляют примерно половину от всех атак, проводимых на их клиентов.
Резюмируя, скажу, что к успешности хакерских атак приводит желание хакеров получить финансовую или иную выгоду, а зачастую незрелость процессов в компаниях играет им на руку. Но есть и хорошие новости: это поправимо. То, что мы наблюдаем в последние дни, должно сподвигнуть ритейл расставить приоритеты и сделать выбор между убытками от атак и возможных штрафов и инвестициями в безопасность. А пока руководство принимает решения, ИБ-специалистам любых ритейл-компаний самое время уже сейчас заново перепроверить, не стали ли они уже жертвами вторжений, и хотя бы сменить пароли.
Retail.ru
Про вызовы, с которыми столкнулся ритейлер, окупаемость доставки, экспансию и франшизу.