Какие ИБ-угрозы наиболее актуальны для компаний розничной торговли?
Цель № 1 для злоумышленников в ИТ-инфраструктуре магазина?
Как ритейлеры могут бороться с хакерами?
Проникновение в сеть магазина: начало атаки
Маршрутизатор — лакомый кусочек для нападающих. Если в магазине есть интернет, злоумышленник наверняка попытается пробраться в сеть через пограничное оборудование. Кто-то справедливо возразит, что у него нет онлайн-сервисов непосредственно в корпоративной сети и взламывать просто нечего. Однако даже если в магазине используется только VPN-канал до центрального офиса, то он, как правило, все равно строится через интернет, и каналообразующее оборудование является в том числе и пограничным. Программное обеспечение у пограничного оборудования часто не обновляется своевременно и имеет уязвимости и ошибки конфигурации, влияющие на безопасность. К тому же нередко наружу попадают неучтенные и незащищенные сервисы: сервисы видеонаблюдения, технические сервисы управления серверами и т.д. Как правило, это происходит из-за невнимательности или недостаточной компетентности локальных ИТ-администраторов.
Человеческие слабости работают на хакеров. По нашим оценкам, не менее 80% успешных проникновений в сеть основаны на методах социальной инженерии. Играя на доверчивости, страхах или любопытстве сотрудников, злоумышленники часто выманивают у них данные для удаленного доступа в сеть. Так, мало кто задумывается о том, что прикрепленный к письму от имени контрагента файл может оказаться вредоносным. И поэтому многие не только запускают такие вложения, но и вступают в переписку с мошенниками. Чем дальше магазин находится от центрального офиса, тем выше риски успешной атаки. Как правило, работники отдаленных магазинов слабо осведомлены в вопросах информационной безопасности: они почти всегда используют простые пароли, открывают всю входящую электронную почту и с большой вероятностью могут назвать пароль от корпоративной учетной записи, если им позвонить и представиться сотрудником центрального офиса.
Сканер штрихкодов — удобный девайс для покупателей или лазейка для хакеров? В торговых залах современных магазинов часто можно встретить уязвимое оборудование, подключенное к локальной сети, — например, сканеры штрихкодов, а также неконтролируемые элементы сетевой инфраструктуры, такие как свободные сетевые розетки. Самое критичное здесь в том, что, подключившись к этим розеткам, злоумышленник сможет попасть в другие сегменты сети, вплоть до центрального офиса.
Уязвимый Wi-Fi. Технические беспроводные сети, предназначенные для внутреннего пользования, также вызывают большой интерес у злоумышленников. Способов атак на Wi-Fi известно немало, поэтому шансы атакующих взломать точки беспроводного доступа довольно высокие. Такие методы взлома популярны еще и потому, что для их реализации не нужно заходить в магазин — действовать можно с прилегающей территории.
Периметр взят: что будет дальше?
Касса — цель атакующих № 1. По нашему опыту, более 85% касс уязвимы для атак из локальной сети магазина. Тому есть несколько причин. Во-первых, на операционную систему, на которой работает кассовое оборудование, нельзя оперативно устанавливать обновления, так как это может вызвать сбои в работе определенных модулей или программного обеспечения. К тому же для Linux-касс обновления могут вовсе не выпускать. Во-вторых, срок жизни кассового оборудования может превышать 10 лет, что значительно больше, чем у обычного компьютера. Поэтому на большинстве касс установлены неподдерживаемые старые версии операционных систем (например, Windows XP). Что можно сделать с кассой? К примеру, массовый отказ кассового оборудования может обернуться приостановкой продаж и прямыми убытками для розничной сети. А уж если злоумышленник получит административный доступ к кассовому терминалу, то дальше все будет зависеть только от его изощренности и целей. Вот несколько возможных сценариев: подмена цен на товары, кража данных бонусных карт, а также фиктивная продажа дорогого товара, в которой впоследствии обвинят кого-то из продавцов.
Захват компьютеров и серверов. Обычно endpoint-устройства в магазинах защищаются слабее, чем в центральном и региональном офисах розничной сети. Это связано с территориальной разрозненностью магазинов, небольшим количеством компьютеров по сравнению с офисами и отсутствием единого стандарта конфигурации. Получив контроль над конечными станциями, злоумышленник сможет подменять информацию о товарах, ценах, отгрузках и т.д. К примеру, изменив количество остатка определенного товара, атакующий может попытаться скрыть уже совершенное хищение или спланировать кражу в будущем.
Взлом системы видеонаблюдения. Камеры видеонаблюдения обычно имеют те же недостатки, что и кассы, компьютеры и серверы. Только мотив у злоумышленника здесь будет другим: отключив камеры в определенных зонах магазина в нужный момент, он может совершить попытку кражи.
«Восстание» беспроводной техники. Развитие атаки может быть направлено и на устройства, взаимодействующие с остальной инфраструктурой магазина по беспроводным каналам связи: сканеры штрихкодов, электронные весы, планшеты мерчандайзеров, электронные ценники и т.д. При заглушении сигнала работа этих устройств будет нарушена, что приведет к остановке определенных операций в магазине. Например, на весах могут перестать обновляться цены. Подмену цен может повлечь и успешная атака на электронные ценники. В этом случае мошенники, скорее всего, попытаются приобрести дорогой товар задаром, ссылаясь на кассе на пункт 1 статьи 10 Федерального закона «О защите прав потребителей». Он обязывает магазины продавать товары именно по той цене, которая указана на ценнике в торговом зале.
Захват информационного табло. Обычно такие атаки проводят с хулиганскими целями или для нанесения удара по репутации ритейлера. Получив доступ к информационному табло, злоумышленник может подменить выводимую на нем информацию на ложную или компрометирующую.
Атака до центра доведет. Начав атаку в одном из магазинов розничной сети, злоумышленник может развить ее до регионального и даже центрального офиса через соединяющие их каналы связи. Хотя обычно они защищаются достаточно надежно, тем не менее далеко не всегда для них используются жесткие правила фильтрации трафика, что порождает дополнительную угрозу безопасности.
Не менее 80% успешных проникновений в сеть основаны на методах социальной инженерии. Играя на доверчивости, страхах или любопытстве сотрудников, злоумышленники часто выманивают у них данные для удаленного доступа в сеть.
Защита: как розничная сеть может бороться с хакерами
Внешний периметр — одна из немногих вещей в магазинах, которые можно контролировать централизованно. Для этого нужно регулярно проводить инвентаризацию сервисов, опубликованных в интернете, и следить за тем, чтобы на периметр не попадали слабозащищенные сервисы. Эти задачи решаются сканированием периметра сети на наличие уязвимостей с помощью сканеров безопасности.
Качественная защита внутреннего периметра в магазинах — практически невыполнимая задача. Пожалуй, единственное, что можно сделать, — это максимально ограничить доступ в офисный сегмент из сегментов локальной сети в торговом зале, а также из магазина в локальные сети главного офиса и дата-центров. Применимость остальных рекомендаций здесь будет невелика, так как большая часть оборудования, используемого в магазинах, не поддерживает нужные протоколы безопасности, что сводит на нет возможность внедрения контроля доступа к ЛВС. Да и ИТ-«зоопарк» в магазинах настолько велик, что администрирование устройств в части информационной безопасности представляет собой трудновыполнимую задачу.
Целесообразно защищать только те информационные активы, которые размещены в центральном офисе и дата-центрах розничной сети. Это связано с тем, что организовать качественную защиту каждого из сотен магазинов, разнесенных по всей стране, невозможно. Здесь можно только попытаться внедрить использование централизованных настроек через «золотые» образы в магазины, централизованно применить базовую гигиену и так же, как в предыдущем пункте, проанализировать и принять возможные риски.
Из-за большой текучести и низкой компьютерной грамотности большинства работников магазинов повысить уровень их ИБ-осведомленности практически невозможно. Эффективность обучения в таких условиях почти всегда будет равняться нулю. Единственное место, в котором есть смысл повышать осведомленность сотрудников, — это центральный офис.
Федеральный закон от 7 февраля 1992 г. № 2300-1 «О ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ»
(ред. от 18 июля 2019 г.)
Статья 10. Информация о товарах (работах, услугах).
1. Изготовитель (исполнитель, продавец) обязан своевременно предоставлять потребителю необходимую и достоверную информацию о товарах (работах, услугах), обеспечивающую возможность их правильного выбора. По отдельным видам товаров (работ, услуг) перечень и способы доведения информации до потребителя устанавливаются Правительством Российской Федерации.
Послесловие
Обеспечение информационной безопасности в ритейле требует комплексного подхода. Нужно учитывать множество факторов, специфичных для этой сферы. К примеру, крупным федеральным ритейловым сетям единичные случаи взлома магазинов не так страшны, как массовый отказ в обслуживании. Поэтому стоит сместить фокус защиты с отдельных магазинов на центральный офис, региональные представительства и сеть в целом, чтобы компрометация одного магазина не повлекла компрометации всей сети.