Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как меняется стратегия ИБ предприятий ритейла в новых условиях

Как меняется стратегия ИБ предприятий ритейла в новых условиях

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Как меняется стратегия ИБ предприятий ритейла в новых условиях

Когда в наш дом пришел его величество кризис, стало понятно, что пора форсировать развитие компании. Ведь пока кто-то теряет – кто-то другой выигрывает. При этом думать, что выигрываешь не ты, – уже проигрыш. Одно из направлений развития – это автоматизация бизнес-процессов, уводящая от человеческих ошибок и, в конечном счете, сокращающая затраты на бизнес. Сей процесс требует хорошей команды для разработки и интеграции.
Андрей Ревяшко
Технический директор ООО “Вайлдберриз"

С осознанием того, что придется много разработать и, в ряде случаев, переделать – приходит понимание того, что это не быстро. И с этим надо что-то делать. Опытных и хороших специалистов на рынке очень мало, поэтому приходится двигаться в сторону набора с последующим обучением, аутсорсинг не рассматривается как таковой, так как скорость реакции на изменения требований рынка невелика. Отсутствие должного количества опытных специалистов из области разработки программного обеспечения (далее ПО) – первое, что может серьезным образом повлиять на информационную безопасность (далее ИБ) компании.

Поиск специалистов

Учитывая это, первым изменением в нашей стратегии ИБ стало то, что мы постоянно вкладываемся в поиски сильных специалистов, даже во время полной укомплектованности. И, как правило, вкладываемся в их непрерывное обучение на местах.

Поиск специалистов во время полной укомплектованности может кому-то показаться странным. Вопреки такому мнению – опыт нашей компании за последние пять лет говорит о том, что на поиски сильного специалиста уходит до двух лет. Именно наличие сильных специалистов определяет разработку программного обеспечения с соблюдением лучших традиций информационной безопасности.

Специфика ритейл-сегмента

Одной из найденных потенциальных угроз в нашей системе было применение некриптостойких алгоритмов шифрования, что повлияло на список обязанностей наших архитекторов и инженера по ИБ – теперь они отслеживают и информацию о стойкости алгоритмов шифрования.

Занимаясь разработкой в ритейле, так или иначе сталкиваешься с ограничениями, вызванными требованиями современной жизни и ИБ:

  • организация работы с персональными данными;
  • безопасность финансовых операций;
  • обработка и хранение данных платежных карт.

Говоря о вышеупомянутых пунктах – их информационная безопасность начинается с грамотной разработки и заканчивается жесткими требованиями к местам хранений и обработки. Вспоминая разработку, не стоит забывать и о тестировании, которое должно учитывать не только проверку функциональной части, но и тесты на безопасность!

PCI DSS и SDL

Как нельзя кстати нам на помощь пришли методики и стандарты информационной безопасности. Которые упреждали угрозы и возможные атаки злоумышленников уже на стадии разработки нового программного обеспечения, с одной стороны, и помогли наладить "оборону" уже существующих информационных систем – с другой.

Стратегия развития информационной безопасности нашей компании была направлена на внедрение стандартов PCI DSS (Payment Card Industry Data Security Standard) и SDL (Security Development Lifecycle).

Внедрение SDL-методики в отделе разработки – процесс эволюционный и не быстрый, но первые итерации внедрения дали свои плоды по защите данных и инфраструктуры от внешних атак при создании программного обеспечения уже в первые месяцы.


Это стало возможным за счет того, что SDL подразумевает, в частности, постоянное обучение специалистов методам и средствам разработки программного обеспечения в контексте информационной безопасности. А также наличие советников по безопасности и конфиденциальности, выступающих экспертами по отношению к группам разработки.

Допускается совмещение должности советника по безопасности и советника по конфиденциальности при достаточной осведомленности сотрудника. С появлением за рамками групп разработки советников последние стали нести ответственность за информационную безопасность в разрабатываемом программном обеспечении. Ранее вопрос ответственности был относительным и крайне незначительным.

Безопасность Web-ресурса

В нашем случае не обошлось и без инженера по информационной безопасности, на плечи которого легла непосредственная ответственность за внедрение PCI DSS-стандарта в компании, а также учет критичных и конфиденциальных потоков данных.

Силами инженера по информационной безопасности были обозначены и поставлены на контроль списки мест хранения критичных данных (далее КД) и лиц, ответственных за ту или иную базу данных ("владельцы" ресурса), хранящую важную для бизнеса информацию. По средствам списков была назначена персональная ответственность за выдачу доступа к КД, так как теперь доступ требуется подтвердить у так называемого "владельца" ресурса. Ответственному за выдачу доступа требуется вникнуть в суть надобности и с учетом требований безопасности и конфиденциальности выдать таковой либо объяснить причину отказа.

Освоение стандарта PCI DSS расширило мировоззрение информационной безопасности у наших специалистов, что не могло не радовать. Благодаря стандарту были переосмыслены политики безопасности авторизационных данных, настроек брандмауэров, систем логирования и ведения инцидентов, включая планы реагирования на последние. Да – это, безусловно, потребовало дополнительных финансовых вливаний в инфраструктуру, но ведь речь идет об информационной безопасности!

Внедрение SDL-методики в отделе разработки – процесс эволюционный и небыстрый, но первые итерации внедрения дали свои плоды по защите данных при разработке ПО уже в первые месяцы. Это стало возможным за счет того, что SDL подразумевает постоянное обучение разработчиков методам и средствам безопасного программирования, а также наличие консультантов по безопасности.

Когда речь зашла о безопасности нашей интернет-витрины – первым делом обязали своих архитекторов на постоянной основе контролировать информацию от OWASP (Open Web Application Security Project) – проект, который в полной мере предоставляет информацию об угрозах и видах атак на Web-приложения. Разработчиков же планируем обязать сдавать тест на знания видов угроз и методов противостояния им по OWASP TOP 10 ежеквартально! Сам же проект OWASP TOP 10 лег в основу знаний по безопасности для новых сотрудников, которым предстоит разработка Web-приложений в стенах нашей компании.

Получая новые знания, было удивительно находить у себя в Web-системе многолетние и потенциальные угрозы безопасности, которые можно было выявить силами инженера по тестированию, обладающего должными знаниями в области ИБ. Решение было незамедлительным – обязать специалиста QA не отставать в знаниях по OWASP TOP 10 от разработчиков и постоянно совершенствоваться в поисках методик и инструментов тестирования приложений на безопасность. В качестве обязательных требований к тестированию вводим моделирование угроз и STRIDE-подход.

Одной из найденных потенциальных угроз в нашей системе было применение некриптостойких алгоритмов шифрования, что повлияло на список обязанностей наших архитекторов и инженера по ИБ – теперь они отслеживают и информацию о стойкости алгоритмов шифрования. Мы запретили своим разработчикам использовать алгоритмы шифрования с криптостойкостью менее чем: l AES128; l SHA224; l RSA2048; l ECC224; l TDES112.

При работе с шифрованием в ряде случаев возникает потребность в генерации и хранении ключа шифрования. У нас была введена практика "раздельного знания". Это подразумевает то, что тот или иной ключ шифрования состоит из трех частей, каждую из которых знает только один человек. Каждая компонента вводится по отдельности – при каждой необходимости. Копии компонент на бумажном носителе хранятся в разных сейфах и недоступны своим "создателям" – только представителям руководства. Конкретная компонента доступна конкретному руководителю. Периодическая проверка целостности конвертов с компонентами – обязанность инженера по информационной безопасности, ровно как и внесение записи в журнал проверок.

Места, где происходит обработка критичных данных, с помощью алгоритмов шифрования также были отданы под контроль инженера по ИБ. Который должен не допускать к этим местам программное обеспечение, не защищающее область памяти, где может находиться ключ шифрования в открытом виде. Защиту оперативной памяти, как корпоративный стандарт, осуществляем по средствам DPAPI.

В условиях жесткой конкуренции совсем не последнюю роль играет репутация ритейлера, которую злоумышленники могут подорвать по средствам махинаций с личными кабинетами. Беда в том, что в общей массе культура безопасности клиентов во всем мире не на высоте. И если для вновь регистрируемых клиентов можно наладить, к примеру, задание пароля от личного кабинета в соответствии с вызовами нового времени, то с миллионами уже зарегистрированных в более беззаботные времена это становится проблемой. Одна из основных задач, которую поставили перед собой, – повышение культуры информационной безопасности наших клиентов наряду с работой по ликвидации слабых авторизационных данных.

В стенах нашей компании запрещено хранение самих паролей от личных кабинетов – даже в зашифрованном обратимыми алгоритмами виде, – поэтому работу по ликвидации слабых паролей осуществляли согласно частотному распределению результатов хеш-функций – график частотного распределения результатов хеш-функций от паролей" (далее график). Для понимания графика – на первом месте находится пароль, который встречается более чем у 35 тысяч клиентов!

Обязали инженера по информационной безопасности совместно с отделом по работе с клиентами "распрямлять" график – по средствам взаимодействия с владельцами личных кабинетов, результат хеш-функции от пароля которых совпадал с результатом большого количества других клиентов.

Резюме

В качестве заключительных строк хотелось бы обозначить – требуйте ведения журналов (смена ключей шифрования, проверка целостности конвертов с компонентами, изменение настроек систем защитных и сетевого оборудования и т.д.) от сотрудников – это приучает к дисциплине в информационной безопасности вашей компании!

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016

Приобрести этот номер или подписаться

Статьи про теме