"Техносила": нашим клиентам хакеры не страшны

Николай Романенков
Директор департамента
информационных технологий
компании “Техносила"

– Какие проекты в области обеспечения информационной безопасности являются приоритетными в 2014 году для вашей компании?
– В первую очередь все наши усилия направлены на повышение информационной безопасности в онлайн-торговле, ведь именно этот сегмент облюбован разного рода мошенниками и хакерами, поэтому IT-департамент "Техносилы" считает своим долгом обеспечить полную безопасность своих клиентов, когда они совершают покупки через Интернет.

– Какие проекты были реализованы в 2013 году в вашей компании?
– Вместо того чтобы начинать что-то новое, в 2013 г. мы сосредоточились на текущих проблемах. Основная работа департамента заключалась в регламентации доступов и контроля.

– С каждым годом растет количество инцидентов в торговых сетях, мошенники и злоумышленники прибегают к более изощренным атакам (потеря ПДн, мошенничество с чеками, компрометация PIN-кодов, мошенничество с дебетовыми, накопительными и кредитными картами, хакерские атаки, заражение сетей и пр.). Каковы основные меры противодействия преступникам? Как вы решаете вопросы обеспечения ИБ в реалиях территориального распределения вашего бизнеса?
– Если говорить о территориальном распределении, то в каждом магазине "Техносила" есть человек, ответственный за информационную безопасность. На распространение решений, которые мы принимаем в данной области, обширная территория не влияет.

О методах борьбы рассказывать можно очень долго, причем не только о программных, но и об элементарных правилах, которые должен знать и соблюдать каждый держатель пластиковой карты. Наша первостепенная задача – защитить потребителей от тех действий злоумышленников, на которые никак не может повлиять человеческая бдительность.

Основной упор здесь сделан на работу с технологией защиты информации и каналов передачи данных. Мы совершаем ежедневный мониторинг на случай открытия очередного 0-day exploit.

Социальная инженерия, к сожалению, тоже не всегда отвечает необходимым требованиям безопасности, поэтому любые подвижки в правовой сфере сказываются на спокойствии наших клиентов, хоть и опосредованно. В частности, особое место среди международных документов занимает Конвенция Совета Европы о преступности в сфере компьютерной информации ETS № 185, подписанная в Будапеште в конце ноября 2001 г. Помимо стран-участниц ЕС, Конвенцию подписали США, Россия и Япония. В нашей стране тоже идет развитие законодательства. Уже действует ряд статей УК за преступления в сфере компьютерных технологий, а 14 июня 2011 г. был принят федеральный закон о национальной платежной системе ФЗ-161.

– Как обеспечивается безопасность персональных данных клиентов розничной сети?
– Снова сделаю ссылку на правовые документы, поскольку вся защита осуществляется в соответствии с ними, в частности, с законом ФЗ-152. Также IT-департамент "Техносилы" регулярно проходит проверки Роскомстата.

– Большое число покупок оплачивается пластиковыми банковскими картами. Это дополнительная "головная боль" для специалистов по ИБ розничных сетей, так как это накладывает на предприятие необходимость обязательного удовлетворения требований стандарта PCI DSS. Недавно вышла новая версия стандарта PCI DSS 3.0. Как вы адаптируетесь к новым реалиям?
– К любому изменению приходится подходить постепенно. Последний стандарт безопасности данных индустрии платежных карт нам уже известен, и мы ведем активную работу по удовлетворению новых требований. Мы общаемся с коллегами по цеху, инженерами информационной безопасности и разработчиками, смотрим на их опыт реализации подобных проектов, чтобы в дальнейшем сделать выводы и избежать возможных ошибок.

– Как у вас решен вопрос разграничения доступа пользователей, контроль над привилегированными пользователями? Внедряете ли вы биометрические системы контроля?
– Вопрос доступа решается в первую очередь административными мерами. То есть наличием регламентов и процедур по доступу и контролю использования сетевых ресурсов. Все это подкреплено техническими средствами и решениями на уровне ОС. Внедрение же биометрических систем пока не планируем.

– Обеспечивается ли резервирование каналов связи и защита от DDoS-атак в вашей компании?
– Да, разумеется. Поскольку DDoS-атаки – это один из наиболее распространенных инструментов, к которым прибегают интернет-преступники, то множество ресурсов было задействовано в защите от них. Это решение отдельно оговаривались с ЦОД и провайдерами, где размещено наше оборудование.

– Автоматизация бизнес-процессов, с одной стороны, способствует повышению управляемости бизнеса, оптимизации процессов. Но с другой – повышает риски внешнего или внутреннего вмешательства в работу ИС, что может привести к потере конфиденциальной бизнес-информации, персональных данных, а также к другим финансовым рискам. Как можно противодействовать утечкам и препятствовать внешнему воздействию?
– В первую очередь соблюдением действующих регламентов по ИБ. Как правило, утечка информации чаще всего происходит из-за неправильных действий пользователя, а не по причине технических сбоев, поэтому покупателям необходимо следить за совершаемыми действиями и тщательно взвешивать возможность утечки данных в их результате.

– Возможна ли для ритейла информационная безопасность как сервис?
– Нет, я так не думаю. На данный момент, по крайней мере, в России аутсорсинговый сервис по сохранению информации и персональных данных недостаточно развит. Поэтому отсутствует необходимый уровень доверия к компаниям, который позволил бы им развивать эту услугу. l