"Безопасность электронной коммерции"

РУСТЭМ ХАЙРЕТДИНОВ, 

CEO компании Appercut Security

Интернет-торговля – один из самых растущих каналов сбыта в розничной торговле. Пользователи «распробовали» этот способ покупок сначала для книг, гаджетов и компакт-дисков, однако сейчас покупают все, что можно купить не примеряя – включая холодильники и дачные домики. «Виртуальные примерочные», позволяющие прямо в интернет-браузере «примерять» одежду на фотографию покупателя, уже достаточно хороши для того, чтобы склонные к экспериментам покупатели начали приобретать через Интернет и одежду. То, что происходит сейчас с интернет-торговлей, можно смело называть «бумом».

В интернет-торговлю каждый приходит посвоему. Для кого-то это способ быстро начать бизнес: стартовые вложения минимальны, не нужен офис и сотрудники, достаточно знать, где купить товар дешево и продать дорого. Первое время, пока оборот небольшой, склад можно организовать и в собственной квартире. Некоторые известные сегодня интернет-магазины начинались как хобби или приработок хозяев, но, найдя прибыльную товарную нишу, становились успешными предприятиями.

Для крупных ритейлеров Интернет – дополнительный канал сбыта, который можно комбинировать с «офлайновым» магазином: пользователи на сайте знакомятся с ассортиментом, приезжая затем в магазин «потрогать руками» конкретную модель товара.

Преимущества интернет-магазинов очевидны: они круглосуточны, не требуют ни торговых площадей, ни сотрудников в торговом зале, за счет сокращения этих расходов позволяют держать низкие цены, что само по себе привлекает покупателей. Реклама в расчете на одного пользователя, к тому же точность ее таргетирования, не сравнятся с офлайном.

Риски интернет-торговли

Но настоящая статья не о преимуществах, а о рисках интернет-торговли. Формат статьи не позволяет подробно описать все риски, поэтому сегодня мы поговорим о специфических рисках лишь информационной безопасности – в сети Интернет они сильно отличаются от традиционных для торговли.

Интернет-магазин – это прежде всего компьютерная программа, сайт с набором функций, позволяющих пользователю сети Интернет найти нужный товар, оплатить его (картой, электронными деньгами, наличными при доставке, и т.п.) и заказать доставку. Доставка может быть электронной, если товар позволяет это сделать – электронная книга, музыкальный трек, фильм, билет на шоу или на транспорт и т. п., но если товар физический, то в цепочке чисто онлайновых операций обязательно появится и офлайновая – почтовая или курьерская доставка либо самовывоз со склада. Риски работы такой программы-магазина мы сегодня и рассмотрим.

Прямые и косвенные риски

Для начала стоит сказать, что риски бывают не только прямыми, то есть напрямую связанные с инцидентами – убытки, штрафы регуляторов, но и косвенные. Например, утечка учетных данных пользователей может привести не только к конкретным убыткам от покупок с использованием украденных данных, но и последующему оттоку клиентов, удорожанию транзакций, возможно – прекращению сотрудничества со стороны поставщиков, чьи товары были похищены с помощью краденых данных и так далее. А простой сервиса в течение суток – это не только не сделанные за это время покупки, но и клиенты, которые заходили на сайт первый раз не купить, а просто посмотреть, и больше никогда не зайдут, или, по меньшей мере, их повторное привлечение потребует гораздо более дорогой рекламы. 

Не говоря уже о том, что длительная недоступность интернет-магазина замечается журналистами и блоггерами, долго обсуждается в соцсетях, что ведет к потере репутации, которая тоже может обернуться получением статуса «ненадежного» партнера и привести к потере клиентов или поставщиков. Поэтому при расчете рисков надо учитывать не только прямые убытки, но и долгосрочные косвенные

Риск простоя

Поскольку основу бизнеса интернет-магазина составляет работоспособность и правильная работа программы-сайта, то самые очевидные риски связаны именно с угрозами для программы. Самый легко считаемый риск – это риск простоя. Действительно, конкуренты в Интернете не дремлют и находятся «на расстоянии одного клика». Это если в «офлайновом» магазине покупатель увидит вывеску «закрыто по техническим причинам», он еще подумает, ехать в другой магазин или нет, то в такой же ситуации онлайн-покупатель тут же перейдет к другому магазину.

Поэтому риск простоя считается легко: есть статистика продаж и время простоя, из которых легко посчитать потери. Конечно, если у вас товар эксклюзивный по ассортименту или цене, то покупатель может и подождать и зайти тогда, когда работоспособность будет восстановлена, но если то же самое можно купить в другом магазине, то убытки будут составлять ровно объем продаж за время простоя, с поправкой на день недели, время суток, праздничные дни и другие параметры, влияющие на уровень продаж.

Стабильность интернет-магазина зависит от многих параметров, которые надо оценивать по шкале стоимость/надежность. Среди таких параметров надежность и оборудования, и в целом хостера сайта, его умение защитить ваш магазин от различных угроз, включая хакерские и DDoS-атаки (Distributed Denial of Service – распределенная атака с расчетом на отказ в обслуживании). Также стоит поинтересоваться у хостера, насколько надежно дублируются и резервируются компоненты его ИТ-системы – сервера, каналы связи, устройства хранения, как будет обеспечиваться непрерывность бизнеса во время стихийных бедствий или техногенных инцидентов, типа веерного отключения света. За любую услугу, повышающую стабильность вашего сервиса, хостер будет взимать дополнительную плату, поэтому при оценке рисков имеет смысл позаботиться об оценке рисков заранее, чтобы не получилось, что меры по предотвращению простоев обойдутся вам дороже вероятных убытков от самих простоев.

Потеря конфиденциальных данных

Еще одним риском для интернет-магазинов является риск утечки конфиденциальных данных, в том числе – персональных данных клиентов. Если простой магазина – частная проблема магазина и кроме него никто не озабочен этим риском, то с персональными данными пользователей ситуация иная. Ответственность за утечку персональных данных клиентов может быть довольно чувствительной не только потому, что эти клиенты испытают неудобства или даже потери, которые магазину придется компенсировать, но и потому, что за интересы граждан в этом случае отвечают регуляторы, которые контролируют соблюдение требований ФЗ-152 «О персональных данных». Их санкции могут ограничиваться не только штрафами и административными действиями в адрес должностных лиц, но и могут привести к закрытию магазина на период приведения его в соответствие требованиям, а то и насовсем.

Поэтому необходимо контролировать, как в информационной системе интернет-магазина организовано хранение данных, насколько просто получить к ним доступ извне, каким способом они зашифрованы, кто имеет к ним доступ и так далее. Требования по защите персональных данных описаны в регламентирующих документах, и если вы их выполните, то можете считать, что позаботились и о своих конфиденциальных данных – базами данных с ассортиментом, ценами, условиями поставки, описаниями товаров, их оценками и т. п. – поскольку на сегодня требования после долгих уточнений более-менее соответствуют лучшим практикам защиты данных.

Защищенность программного обеспечения интернет-магазина

Но не только от хостинга может зависеть стабильная работа сайта. Ведь хостинг – это лишь среда, в которой работает интернет-сайт, но сам он написан людьми, которые также могут совершать ошибки при разработке. Исследуя защищенность интернет-магазинов исследователи часто находят так называемые «недекларированные возможности» программного обеспечения, то есть его функции, которые не планировались при заказе разработки. Чаще всего это результат недостаточной подготовки программистов, мы же все пытаемся найти разработчиков подешевле, правда? Но встречаются и намеренные закладки, иногда искусно замаскированные под простые ошибки. Последние часто используются для мошенничества, о котором мы поговорим чуть позже.

Плохо спроектированный и некорректно запрограммированный сайт более подвержен инцидентам со стабильностью, такой сайт может не выдержать реальной нагрузки от количества зашедших на него пользователей. Представляете, как обидно организовать рекламную компанию и привлечь ею такое количество пользователей, которое сайт не в состоянии будет обработать и «упадет»? А как вам хранение учетных данных пользователей, включая их персональные данные, адреса электронной почты и пароли, в незашифрованном виде? Даже очень серьезные магазины попадались на том, что незашифрованные данные пользователей утекали в Сеть, что же говорить о небольших магазинах, бюджет на разработку которых часто не позволяет привлекать квалифицированных разработчиков и соблюдать правила безопасного программирования. Поэтому контроль разработки, если и не на этапе создания магазина, то хотя бы на этапе приемки и тестовой эксплуатации, должен включать в себя исследования защищенности сайта и наличия в коде недекларированных возможностей.

При современном развитии облачных сервисов сегодня можно не заботиться о разработке собственного магазина, а взять готовый интернет-магазин на условиях покупки лицензии или аренды сервиса. Удобно – загрузил базу с описанием товаров и ценами – и немедленно начал торговлю. Если у вас стандартные товары и стандартные условия покупки – вас вполне устроит стандартное программное обеспечение, которое, кстати, на этапе покупки или начала аренды может оказаться и дешевле, чем разработка собственными силами. Но и разработчики тиражного программного обеспечения и интернет-сервисов – тоже люди, и их работу надо проверять, ведь от качества их системы зависит и ваша прибыль. Более того, по мере развития бизнеса и магазина вам могут понадобиться новые функции, которые вы, скорее всего, будете либо дорабатывать силами своих программистов, либо с помощью разработчиков базового сервиса. Поэтому без проверки защищенности вам все равно не обойтись.

Внутренние угрозы

Но даже если все хорошо работает – и инфраструктура провайдера и программное обеспечение, то расслабляться нельзя: самое слабое звено любой информационной системы – человек, ее оператор или администратор. Нарушить стабильность может не только направленная атака, но и беспечный или даже обиженный администратор, неправильно выставивший настройки или даже «дернувший рубильник». Допустить утечку данных может не только зловредный хакер, нашедший уязвимость на сайте, но и злонамеренный оператор, скопировавший конфиденциальную информацию на внешний носитель. 

Поэтому надо позаботиться не только о том, чтобы регламенты работы сотрудников во внутренней системе интернет-магазина были детально прописаны: «что и в какой последовательности делать, чего делать нельзя, на какие операции требуется подтверждение от руководства и т.п.», но и предусмотреть инструменты технического контроля – программы блокировки USB-портов, системы противодействия утечкам информации, системы контроля или хотя бы записи действий администраторов и т.п.

Мошенничество в интернет-торговле

Отдельным риском во всех методиках оценки рисков считается мошенничество – хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием. Это уже не нарушение работоспособности сервиса или конфиденциальности чувствительных данных. Это довольно сложные, в том числе, возможно, и офлайновые операции, по извлечению выгоды с помощью манипуляций с данными и процессами интернет-магазина. Если для противодействия описанным выше угрозам достаточно общих понятий о том, как обеспечивать безопасность информационных систем и их компонент – приложений, серверов, баз данных, каналов передачи информации, персональных компьютеров, сайтов и т. п., то для эффективного противодействия мошенничеству к всему перечисленному нужно добавить глубокое знание процессов работы интернетмагазина. Мошенничество может случиться и без какой-либо вины магазина – например, покупка товара по номеру украденной пластиковой карты, но в силах магазина предусмотреть возможность элементарных анти-мошеннических действий – несовпадения страны выпуска карты и места доставки, например. Многие американские магазины, например, не принимают к оплате российские карты с доставкой по США именно по этой причине.

Бороться же с мошенничеством, проводимым с помощью уязвимостей программы интернет-магазина или с участием инсайдера, можно только полностью контролируя процессы магазина, анализируя корреляции событий и моделируя действия мошенника. Для этого надо иметь хотя бы одного, пусть даже внештатного аналитика, специализирующегося на противодействии мошенническим операциям и имеющего опыт в торговле похожим ассортиментом. Здесь, как и в обычном магазине, надо контролировать цены и скидки, которые выставляют операторы, проверять платежные реквизиты и адреса доставки, анализировать частоту использования скидочных карт и промокодов, контролировать действия администраторов и т. п. Для этого есть специализированные решения, облегчающие рутинную работу аналитику, но они достаточно дороги, чтобы не использоваться в каждом интернет-магазине. Базовые функции такого программного обеспечения для начала можно получить и просто накапливая журналы всех проведенных клиентами, операторами и администраторами операций и исследования их с помощью поисковых систем. Зачастую начинаясь как вспомогательная и временная, до покупки профессионального решения, такая «самописная» система противодействия мошенничеству по мере роста магазина разрастается в серьезный продукт и по функционалу не уступает покупной системе. Функционал такой системы сильно зависит от самого бизнеса компании-владельца интернет-магазина: продаете вы электронные книги, билеты, товары промышленного производства или скоропортящиеся продукты – у каждого интернет-магазина есть своя особенность. Поэтому описать работу таких систем более подробно в рамках небольшой статьи не представляется возможным.

Заключение

Как вы видите, кроме очевидных возможностей для бизнеса, интернет-торговля несет с собой и существенные риски. Это не значит, что риски могут перевесить возможности, предприниматель сам определяет, связываться с новым для него каналом сбыта или остаться в традиционном формате. Если иметь подготовленную ИТ-команду и надежных аутсорсеров, то можно уменьшить многие из названных рисков и спокойно заниматься развитием бизнеса. Важно понимать, что уменьшение рисков – это не проект, а процесс, его нельзя закончить. Ваш бизнес будет меняться под влиянием рынка, политической ситуации, позиции регуляторов и самих акционеров. Хорошо бы, чтобы он рос, но он может и сворачиваться в трудные времена. Чтобы ни происходило с бизнесом – это будет находить свое отражение и в процессах интернет-магазина, а значит, вам постоянно нужно будет контролировать все изменения в программном обеспечении, инфраструктуре, данных и регламентах их использования сотрудниками и клиентами. Такой процесс нужно будет запустить и постоянно адаптировать к изменяющейся ситуации бизнеса.

Ну и главное: надо помнить основное правило эффективной информационной безопасности – все продукты и процессы информационной безопасности должны стоить меньше ущерба, который они призваны предотвратить. И тогда интернет-торговля станет еще одним удобным и эффективным каналом развития бизнеса.