Контакты
Подписка
МЕНЮ
Контакты
Подписка

Кто не успел, тот опоздал, упустил, закрылся

Кто не успел, тот опоздал, упустил, закрылся

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Кто не успел, тот опоздал, упустил, закрылся

Андрей Ревяшко
Технический директор, WILDBERRIES

– Андрей, с 2009 года вы работаете в должности технического директора компании WILDBERRIES. Расскажите, как развивалась ваша карьера.
– В компанию WILDBERRIES я пришел в 2008 году, до 2009-го работал простым Web-разработчиком. На тот момент через информационную систему проходило несколько сотен заказов в сутки.

ИБ в онлайн-ритейле – это набор практик по борьбе с внешними киберугрозами для мобильных и Web-приложений, данных платежных карт, сетей и пунктов самовывоза, ЭДО и IoT (особенно на распределительных центрах).
Отдельно стоит упомянуть работу по линии анти-DDoS, 152-ФЗ и повышение уровня осведомленности в области информационной безопасности как клиентов, так и сотрудников.
Борьба с внутренними угрозами, например с шифровальщиками, кражей критичных для компании данных, ключей ДБО и т.д., уже схожа с иными индустриями.

ИТ-инфраструктура, коллцентр, склад, служба доставки и офисные сотрудники располагались в небольших помещениях. Как и сейчас, в то время будущие участники рейтингов самых успешных бизнесменов страны – основатели компании – боролись за место под солнцем плечом к плечу с простыми сотрудниками. Это была настоящая борьба. Искренняя. Когда не хватало рук на складе – мы шли на склад, когда с натиском звонков не справлялся контактный центр – помогали им. Даже первые фотосъемки для наших каталогов делали с привлечением сотрудников. Как и сейчас, царил дух семьи. Пальцев рук не хватит, чтобы перечислить тех, кто все эти годы разделяет радость и тяготы рабочих будней компании день за днем.

Тогда же я впервые столкнулся с халатностью коллег по ИТ-цеху. Дело в том, что ранее компания прибегала к услугам аутсорсинг-разработчиков, которые то ли не считали нужным предоставлять качественные услуги, то ли не обладали нужными знаниями о предметной области. Как бы то ни было, мне поручили исправить ситуацию. Вопрос нормализации работы информационной системы решили силами компании, и вскоре мы уже отмечали наши первую тысячу заказов в сутки. Это был успех команды единомышленников.

На тот момент у меня уже был неплохой опыт работы с людьми, а у отцов-основателей было желание развиваться. Так, после очередного успешного закрытия проекта мне предложили возглавить новоиспеченный ИТ-отдел. Это сейчас количество одних только разработчиков превышает 200 человек, а в то время это было человек пять, и все они по сей день с компанией.

Впереди у нас были новые Data-центры, отражения DDoS-атак, системы видеонаблюдения, защита соответствия стандарту PCI DSS, воспитание разработчиков в стиле Software Development Lifecycle (SDL), развитие IP-телефонии и ныне модный искусственный интеллект с Agile.

– Что или кто повлиял на вас профессионально в наибольшей степени? Кого вы считаете своим учителем и почему?
– Если говорить о руководстве, то работа с людьми застала меня, когда я едва "переступил порог" второго курса института. Это был неполноценный ИТ-бизнес, но именно в то время я сделал для себя вывод, что на рынке труда не так много людей, которым можно просто доверить задачу и быть уверенным в ее выполнении. Столько времени прошло, но мнение мое не изменилось до сих пор: делается то, что хорошо контролируется.

Контролировать поставленные задачи меня научили рано. Мой отец – отставной офицер российской армии, и воспитание в семье было "военное". Именно оно держало в тонусе и не давало "раскисать" в сложное время, особенно когда дело касалось вопросов контроля.

Второй момент, который хочется отметить, – это мое воспитание в стенах WILDBERRIES силами основателей компании. Именно тут было развеяно много мифов о том, что кто-то за нас что-то придумает и решит. Именно тут "прикипело", что если не знаешь, с чего начать, – просто сделай первый шаг, все равно куда. Не стоит держаться за якорь, когда есть паруса.

Эти две мудрости от моих родителей и моей если не семьи, то близких людей и есть ответ на данный вопрос, все остальное – "вагоны" этого"локомотива".

– Интернет-магазин WILDBERRIES является крупнейшим онлайн-магазином одежды и обуви на российском рынке, однако в последние несколько лет россияне стали активно покупать товары из Китая, важнейший фактор здесь – цена. Насколько тяжело российскому e-commerce выдерживать конкуренцию? Как это отражается на WILDBERRIES? Помогают ли удобство использования сервисов и техническая оснащенность в целом в удержании клиентов?
– Вопрос экспансии азиатских ритейлеров только подстегивает интерес к развитию компании. Как человек от ИТ вижу это каждый день изнутри. Уверен, что это положительный момент. Стать хорошим игроком на рынке можно только с сильным соперником.

В наше время "больших изменений" просто нереально донести до всех сотрудников информацию о новых видах угроз и новых вызовах. Поэтому стратегия развития и поддержания ИБ-культуры компании "отпрыгивает" от базовых и систематических теоретических занятий – важно заложить основу и научить людей подключать свои знания во время ежедневной работы.
До людей обязательно требуется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных примерах – выбивать клин клином, говоря языком "торговли страхом".

Стоимость товара на витрине интернет-магазина – это еще не финал, это всего лишь начало пути. Взгляните на события из цепочки заказа: оформление заказа, его оплата, доставка, получение, примерка и в ряде случаев возврат товара по различным причинам. Что же качественное на сегодняшний день может предложить покупателю из России, к примеру, азиатский е-com? Каковы его сильные стороны?

Можно было бы сказать о стоимости, но статистика неумолима (говоря о рынке одежды и обуви): половина заказанного вернется к продавцу по банальной причине "размер не подошел". Сталкивался с ситуацией возврата у одного из крупнейших азиатских продавцов – настолько это небыстрое и недешевое "приключение", что купленный товар остался у меня, а денежные средства у продавца. Много общаюсь с людьми – мой случай не единичен.

Понимая важность качества сервиса (удобство оплаты, короткие сроки доставки, удобные примерочные), мы вкладываем много усилий в его улучшение. Так что стоимость – это не первое, на что обратит свое внимание покупатель, особенно если он постоянный.

В настоящее время говорить о полноценной конкуренции (одежда и обувь) с азиатскими продавцами не приходится, но мы не расслабляемся. Ведь в век ИТ все происходит очень быстро и еще свежи воспоминания о тех, кто этого не понял. Например, Polaroid, Nokia, Kodak.

Если говорить о сервисах и техническом оснащении, то технологии можно купить довольно быстро. При этом вопрос адаптации этих технологий под быстро меняющийся мир становится во главу угла. Важна скорость изменений. Неважно, идет ли речь о применении искусственного интеллекта, нового подхода к приемке товара или складской логистике – затянешь на полгода, и существование компании может быть под угрозой. Чтобы реагировать на новые вызовы времени быстрее, мы, сотрудники ИТ, стараемся делать все своими руками.

– В чем заключается стратегия развития информационной безопасности вашей компании?
– Как ни странно, в повышении уровня осведомленности в области ИБ сотрудников и клиентов, в частности это касается и посещения специализированных мероприятий по информационной безопасности. В наше время "больших изменений" просто нереально донести до всех сотрудников информацию о новых видах угроз и новых вызовах. Поэтому стратегия развития и поддержания ИБ-культуры компании "отпрыгивает" от базовых и систематических теоретических занятий – важно заложить основу и научить людей подключать свои знания во время ежедневной работы.

До людей обязательно требуется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных примерах – выбивать клин клином, говоря языком "торговли страхом".

К примеру, обращаем внимание сотрудников на то, что письмо от недовольного клиента с угрозами не всегда таковым является. Классика жанра: отправитель любыми способами пытается заставить читателя открыть прикрепленные к письму файлы. Историю с подобием шифровальщика проходили, и ключевым моментом для сотрудников является то, что это было в наших стенах, хоть и давно.

– Часто можно слышать, что e-commerce с точки зрения высоких технологий не считается самым продвинутым сектором, за исключением разве что Amazon. Какими наработками вы пользуетесь?
– Как ни странно, но у большинства моих знакомых не из ИТ сложилась именно такая картина: e-com – это просто магазин и в нем нет "космических" технологий.

Не согласен с подобной точкой зрения, если речь идет о крупном онлайн-ритейлере. Ведь своевременное применение в бизнесе новшеств – это, скорее всего, либо дополнительная прибыль, либо уменьшение расходов. Это, в частности, касается и подхода к разработке, если говорить о применении Agile-практик.

Чтобы не допустить в будущем атаки на ваши Web-приложения, обращайте внимание разработчиков на то, что они сохраняют, к примеру, в LOG-файлы. Вроде бы банально звучит, но это один из самых популярных ляпов в мире!

Мне сложно представить современный интернет-магазин без обработки большого объема данных и применения искусственного интеллекта, формирующего товарные предложения для клиентов. В стенах нашей компании используется и то, и то, реализованное силами наших специалистов.

Находясь под прицелом недовольных конкурентов и вымогателей, большой онлайн-ритейлер, в частности наша компания, так или иначе подвергается DDoS-атакам. Именно современные технологии анти-DDoS помогают обеспечить стабильную работу ресурса.

Вернемся к вопросу возврата одежды. Клиенты, не понимая, какой размер им подойдет, заказывают несколько. Что не подошло – возвращают. Как обеспечить клиентов возможностью точно подобрать, например, размер обуви? Ведь один и тот же размер отличается среди производителей. Снова приходят на помощь технологии.

В настоящее время мы запустили проект, посредством которого информационная система формирует 3D-модель ступней клиента и помогает выбрать обувь с высокой точностью.

Что касается контроля "тягачей" в нашей логистике, отмечу использование GPS/GLONASS и датчиков топлива – на сегодняшний день это не "космическая", но все же действенная технология.

– Сегодня невозможно представить себе онлайн-магазин без приложения для смартфона. На конец мая 2018 года ваше приложение в Google Play скачали более 5 млн раз. Для магазина это и хорошо, и плохо, так как при увеличении числа пользователей увеличиваются и риски компании. Какие топ-5 видов атак на приложение вы можете выделить?
– В данном случае абсолютно солидарен с OWASP MOBILE. Это, во-первых, небезопасное хранение данных. Во-вторых, неиспользование возможностей платформы. В-третьих, отладочные backdoor’ы. В-четвертых, небезопасная авторизация и, наконец, фальсификация кода.

– В чем их особенности?
– В одном из предыдущих номеров* уже освещал тему безопасности мобильных приложений, но повторение в ИБ только на пользу.

Общемировая практика атак на мобильные приложения показывает, что нередко "нападающий" получает возможность нападения за счет добытой информации из, в частности, лог- и манифест-файлов, баз данных и cookies-файлов, которые хранят ее в открытым виде. Периодически в лог-файлы сохраняются ошибки, содержащие информацию о типах используемого программного обеспечения на серверной стороне. Кроме того, есть случаи, когда в описаниях ошибок есть логин и пароль для подключения к базе данных. Попавшие в руки злоумышленника авторизационные cookies-файлы будут проанализированы. В лучшем случае пострадает один пользователь. В худшем может получиться так, что атакующий сможет понять механизм авторизации и при помощи подмен получить доступ к большинству личных кабинетов пользователей, где могут храниться персональные данные или, к примеру, данные для проведения оплат.

В стенах компании WILDBERRIES умение быстро меняться "на ходу" – это не ожидание, а, скорее, требование.

Так уж сложилось, что есть несколько популярных мобильных платформ и в идеале под каждую требуется держать свою команду разработчиков. Это позволит погрузиться в особенности платформы. Но по факту в целях экономии на одних и тех же разработчиков могут быть возложены обязанности ведения проектов на двух, а то и на трех платформах. Кроме того, нередко прибегают к использованию универсальных решений, благодаря им становится возможным написание единого кода, который в дальнейшем будет применяться к проекту на требуемой платформе. Все это ведет к тому, что не учитываются (или слабо учитываются) особенности той или иной платформы, включая набор средств безопасности, разработанных конкретно для той или иной операционной системы (далее ОС), а также рекомендации производителей. Для наглядности можно рассмотреть безопасное хранилище IOS Keychain – защищенное место для хранения секретных данных приложений и самой ОС. Данные о сессиях, паролях и т.п., хранящиеся не в этом хранилище, а, например, в локальном, доступны злоумышленнику.

Часто разработчики оставляют для себя "лазейки" с благими намерениями: быстро проверить тот или иной функционал, посмотреть, что доступно самому привилегированному пользователю без авторизации. Либо делают волшебную кнопку отключения двухфакторной авторизации, чтобы не тратить время на вход в приложение по полному циклу. И весь этот арсенал может стать доступным человеку, способному на атаку через приложение! Простой пример. Человек зарегистрировался в мобильном приложении, указав номер контактного телефона, который принадлежит человеку с приличной суммой на счете. Через оставленную разработчиками "лазейку" отключил СМС-подтверждение (проверку на владение телефонным номером). Попросил систему восстановить логин и пароль по СМС.

В мировой практике использования мобильных приложений нередки случаи, когда решение об авторизации принимает приложение и серверная часть доверяет этому решению. Таким образом, разработчики открывают двери злоумышленникам и подвергают систему атаке, которая именуется "небезопасная авторизация". Серверная сторона может быть богата на различные методы, от предоставления данных для отчетов до редактирования прав доступа. Авторизовавшись в приложении с самыми простыми правами, для которых само же приложение и ограничивает набор серверных методов, атакующий подбирает вызов методов для более привилегированных пользователей.

Что касается фальсификации кода, то серверная сторона всегда должна с опаской относиться к запросам своей "второй половинки" – мобильному приложению, ведь логику работы установленного мобильного приложения можно скорректировать в интересах злоумышленника. Более того, ранее были случаи, когда оригинальные приложения модифицировались силами "плохих ребят" и выкладывались в официальные "места раздачи".

– Какие шаги необходимо предпринять, чтобы не допустить этого в дальнейшем?
– Заставлять изучать информацию о том, как устроена та или иная система, какие возможности она предоставляет и какие ограничения накладывает. Обязательно использовать безопасное хранилище платформы.

Обращать внимание разработчиков на то, что они сохраняют, к примеру, в LOG-файлы. Вроде бы банально звучит, но это один из самых популярных ляпов в мире! Шифрование криптостойкими алгоритмами и детальная проработка потоков сохраняемой информации в данном случае позволит минимизировать угрозы атак либо свести их к нулю.

Кроме того, необходимо проверять привилегии авторизованного пользователя на серверной стороне на предмет возможности использовать тот или иной метод. Для готового продукта использовать защитный подход Оbfuscating (запутывание).

Стоит также убедиться, что каналы передачи данных защищены. Нельзя защитить приложение, передавая информацию с использованием некриптостойких алгоритмов, и не стоит верить информации, которая передается без контрольного значения.

– Что нового ожидается в ближайшее время в вашем приложении?
– В этом году запустим более совершенный механизм распознавания одежды. Это когда вы фотографируете, к примеру, куртку своего знакомого, а приложение (на основе сделанного фото) показывает вам похожие куртки из каталога нашего магазина.

Сейчас также запускаем проект, посредством которого клиент сможет с высокой точностью подобрать себе обувь нужного размера. Это будет происходить за счет формирования 3D-модели ступней клиента и не без участия мобильного приложения.

– Идеология Agile в настоящее время переживает настоящий бум: на рынке выигрывает тот, кто первым максимально эффективно реагирует на малейшее изменение конъюнктуры. Но нужна ли она для информационной безопасности? В чем ее преимущество?
– Вопрос скорости реагирования на изменения в современном мире стоит довольно остро. Как говорил классик, "пока семь раз отмеришь, кто-то уже отрежет". Так же и в жизни e-com: кто не успел, тот опоздал, упустил, закрылся.

Не исключение и служба информационной безопасности. Это просто адаптация ИБ к требованиям нового времени. Речь идет, скорее, не о преимуществах Agile в ИБ, а о том, как выжить паре бизнес + ИБ в эпоху Agile, если ее так можно назвать. Понимая суть Agile-принципов, ИБ должна трансформироваться с их учетом.

И есть реальные примеры того, что ИБ способна работать на высокой скорости изменений. К примеру, наша компания.

В современном мире компании все больше и больше начинают "крутиться" вокруг приложений, но не наоборот. И получается так, что, проектируя тот или иной сервис, то или иное приложение, люди проектируют и сам бизнес в масштабах отдельно взятой задачи. И речь уже идет не об угрозах кибербезопасности со стороны Agile, а об угрозах для бизнеса. Безусловно, такая ситуация недопустима.

– Как обеспечить кибербезопасность Agile-проектов и реализуемых продуктов?
– Мне сложно представить работу безопасников с классическим подходом в Agile-проектах. Ведь, будучи замыкающим звеном, ИБ становится "бутылочным горлышком" и начинает приостанавливать развитие бизнеса. Такая ситуация опасна как для бизнеса, так и для ИБ. В данном случае от ИБ требуется адаптироваться к быстрым изменениям – перестать быть проблемным местом в цепочке решения бизнес-задач нашего времени.

Главным вопросом в сложившейся ситуации становится осознание того, что можно вынести из задач ИБ на более ранние стадии того или иного проекта. Уверен, что это на сегодняшний день единственный дееспособный подход к обеспечению достойного уровня ИБ на Agile-проектах.

Все остальное просто переходит в плоскость средств достижения результатов, в частности работа с людьми в области повышения уровня осведомленности в ИБ.

– Agile бросает вызов кибербезопасности. Что вы ждете от своих сотрудников?
– Возможно, будет сказано громко, но сотрудники нашей компании уже воспринимают планы глобального характера как некий ориентир, но не задачу и находятся в постоянной готовности к изменениям, в частности, в области ИБ.

Дело в том, что в современном мире компании все больше и больше начинают "крутиться" вокруг приложений, но не наоборот. И получается так, что, проектируя тот или иной сервис, то или иное приложение, люди проектируют и сам бизнес в масштабах отдельно взятой задачи. И речь уже идет не об угрозах кибербезопасности со стороны Agile, а об угрозах для бизнеса. Безусловно, такая ситуация недопустима.

Поэтому, отвечая на данный вопрос, заявляю: в стенах нашей компании умение быстро меняться "на ходу" – это не ожидание, а, скорее, требование. То же самое касается и большей части ценностей и принципов Agile.

– Можете привести пример кейса применения Agile к информационной безопасности в компании WILDBERRIES?
– Долгое время в компании был монолитный ИТ-отдел с единым окном по решению задач. В какой-то момент наш монолит стал подводить бизнес по скорости: где-то это были затяжные ИБ-вопросы на стадии вывода проекта на финишную прямую, где-то отсутствие должным образом составленного ТЗ. Так или иначе, при возникновении вопросов к проектам на заключительных стадиях переделка функционала оставляла желать лучшего, если говорить о сроках реализации. Помимо всего прочего в процесс вклинивались задачи с большим приоритетом, что еще больше затягивало реализацию. Что-то надо было делать с этой ситуацией. Бизнес не мог так долго ждать – конкуренты ведь не дремлют.

Во время трансформации департаментов перед нами стояла глобальная задача – воспитать новое поколение сотрудников, которые представляли бы из себя некий симбиоз бизнес + разработчик + безопасник. Понимание должно было прийти к каждому из участников: бизнес должен был понять, что такое разработка (включая моменты и ограничения ИБ), а разработка – научиться понимать бизнес и его бизнес-процессы.

Уже позже нам стало понятно, что мы стремились к ценностям Agile, но на момент становления нового подхода к разработке (именно она была двигателем ИБ в компании на тот момент) в компании ориентировались на свое видение ситуации изнутри.

Во время трансформации департаментов перед нами стояла глобальная задача – воспитать новое поколение сотрудников, которые представляли бы из себя некий симбиоз бизнес + разработчик + безопасник. Понимание должно было прийти к каждому из участников: бизнес должен был понять, что такое разработка (включая моменты и ограничения ИБ), а разработка – научиться понимать бизнес и его бизнес-процессы.

Для достижения результата по данной задаче мы пошли не проектным путем в его классическом понимании, а наделили каждый департамент своим ИТ-отделом. Теперь каждый руководитель департамента является руководителем своих ИТ-проектов и на его плечах, в частности, лежит ответственность за ИБ того или иного проекта. Прямая заинтересованность руководителей департаментов в ИБ, теперь уже Agile-проектов, – вот куда сместился вектор. Это стало своеобразным "эффектом бабочки". Так, мои собеседники удивляются тому, что сотрудники, к примеру, контактного центра знают, что такое 152-ФЗ и что попадание в информационную систему данных платежных карт недопустимо – это повод отреагировать через инцидент ИБ.

– Каких результатов удалось добиться благодаря этому?
– ИБ нашла свой путь в наших Agile-проектах. Получилось не только сместить ИБ-проверки проектов на более ранние стадии и интегрировать их в процесс самой разработки, но еще и заинтересовать сам бизнес в повышении уровня ИБ в департаментах. Ключевой показатель – количество выкладок новой версии основного сайта – у нас может доходить до трех в неделю.

– Многие руководители ИТ- и ИБ-подразделений отмечают нехватку квалифицированных кадров. Как в WILDBERRIES вы решаете эту проблему?
– Не хватает – это правда. И беда здесь не в отсутствии или плохой доступности информации об ИБ, а, с одной стороны, в отсутствии в ряде случаев должного желания и стремления самих специалистов развиваться. С другой стороны, количество изменений, которые претерпевают современные и быстрорастущие информационные системы, настолько велико, что нереально содержать такое количество ИБ-специалистов, чтобы успевать за этими изменениями.

Для себя мы нашли выход в том, чтобы делегировать ИБ-проверку конечного продукта на более ранних стадиях. К примеру, на стадии разработки, если говорить о Web-приложении. Это становится возможным за счет постоянной и системной кооперации с разработчиками в области безопасной разработки, а также с отделом глобальных ресурсов и отделом администрирования.

На наших встречах с новыми ИТ-сотрудниками компании мы делимся информацией о собственных внутренних стандартах безопасного взаимодействия с внешними сервисами. Разбираем случаи неправильных подходов с объяснением, почему так нельзя и к чему это может привести.

Данный подход не ликвидирует позицию ИБ-специалиста в компании, он в значительной мере помогает.

– Человеческий фактор по-прежнему остается одним из самых сложно контролируемых элементов в ИБ. Как вы решили проблему осведомленности сотрудников по части информационной безопасности? Удалось ли вам превратить сотрудников в сознательных пользователей, которые не создают лишних проблем безопасникам?
– Человеческий фактор, к сожалению, есть и будет. Поэтому хочется сказать, что в стенах нашей компании, несмотря на прилагаемые усилия, этот вопрос не закрыт: появляются новые сотрудники, новые технологии, новые внешние партнеры и т.д. Для нас вопрос человеческого фактора – это постоянная работа, он постоянно открыт.

Ставим своей целью донести до людей, как сотрудников, так и клиентов, информацию о базовых вещах: социальная инженерия, "торговля страхом". Считаю, что смысл этих понятий, как самых распространенных, нужно более доходчиво доносить до сотрудников, чтобы они становились теми самыми сознательными пользователями. Мы идем этим путем, но не уверен, что проблем у безопасника станет меньше, ведь компания растет.

Про человеческий фактор в разработке – OWASP, OWASP и еще раз OWASP.

– Работаете ли вы над повышением грамотности в области информационной безопасности с вашими клиентами? Как вы это делаете?
– Да, такая работа в стенах компании проводится. Так уж сложилось, что информации по повышению уровня осведомленности в области ИБ много, а время на ознакомление и готовность к восприятию этой информации у клиентов не всегда имеются в том объеме, в котором нам бы хотелось. Но мы не отступаем. Помимо стихийных e-mail-рассылок с предупреждениями о возможных угрозах мы завели специальный раздел о ИБ на нашем сайте. В данном разделе стараемся коротко и по делу донести до людей информацию о мерах предосторожности. Кроме того, планируем запуск подсказок в стиле "знаете ли вы", которые будут появляться при входе в личный кабинет, так как привод людей на страничку по ИБ – это особая история.

В первую очередь обращаем внимание клиентов на то, что использование одинаковых паролей на разных ресурсах, к примеру на нашем сайте и на серверах e-mail, может привести к доступу к их личному кабинету различного рода хулиганов, и это произойдет не по нашей вине. Ведь дело в том, что не все операторы сторонних сервисов (e-mail-операторы, интернет-сообщества, различные форумы) пришли к тому, чтобы хранить не пароли клиентов, а, к примеру, результаты выполнения хеш-функций от пароля. В результате такого подхода в сеть уходят, в частности, авторизационные данные. Совсем необязательно, что данные ушли по причине кибератаки на подобного рода ресурс, – это вполне мог сделать нечистый на руку администратор.

Стараемся находиться в постоянном контакте с нашими клиентами, в частности, по вопросам информационной безопасности. Принимаем пожелания. Так, на нашем сайте в какой-то момент появилась двухфакторная авторизация – по связке логин/пароль + код из СМС.

– Какие рекомендации вы можете дать нашим читателям по обеспечению ИБ в ритейле?
– Не ленитесь проводить работу по повышению уровня осведомленности в области ИБ для своих клиентов. Обращайте внимание ваших Web-разработчиков на проект OWASP – даже сегодня не все опытные разработчики знают о существовании этого проекта, а зря.

Не подвергайте бизнес опасности – проверяйте своих партнеров. К примеру, у нас есть история взаимодействия с одним крупным отечественным оператором постоматов, который сэкономил на информационной безопасности, в результате чего произошли потери. Как выяснилось, даже связку логин/пароль своих партнеров оператор хранил в открытом виде в своей системе, к которой имели доступ все менеджеры по продажам. Наряду с предоставлением API по HTTPS была доступна версия API с использованием протокола HTTP. Как позже выяснили, выданный нам пароль со строчными и заглавными буквами с цифрами оказался регистронезависимым, что существенно сокращало количество комбинаций для перебора со стороны потенциальных вредителей.

___________________________________________
* Ревяшко А. Защита Web-приложений // Information Security. – 2017. – № 5. – С. 14–15.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2018

Приобрести этот номер или подписаться

Статьи про теме