Журнал "Information Security/ Информационная безопасность" #3, 2018

В наше время "больших изменений" просто нереаль- но донести до всех сотруд- ников информацию о новых видах угроз и новых вызо- вах. Поэтому стратегия раз- вития и поддержания ИБ- культуры компании "отпры- гивает" от базовых и систе- матических теоретических занятий – важно заложить основу и научить людей под- ключать свои знания во время ежедневной работы. До людей обязательно требуется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных при- мерах – выбивать клин кли- ном, говоря языком "торгов- ли страхом". может предложить покупате- лю из России, к примеру, ази- атский е-com? Каковы его сильные стороны? Можно было бы сказать о стоимости, но статистика неумолима (говоря о рынке одежды и обуви): половина заказанного вернется к про- давцу по банальной причине "размер не подошел". Сталки- вался с ситуацией возврата у одного из крупнейших азиат- ских продавцов – настолько это небыстрое и недешевое "при- ключение", что купленный товар остался у меня, а денежные средства у продавца. Много общаюсь с людьми – мой слу- чай не единичен. Понимая важность качества сервиса (удобство оплаты, короткие сроки доставки, удобные примерочные), мы вкладываем много усилий в его улучшение. Так что стои- мость – это не первое, на что обратит свое внимание поку- патель, особенно если он постоянный. В настоящее время говорить о полноценной конкуренции (одежда и обувь) с азиатскими продавцами не приходится, но мы не расслабляемся. Ведь в век ИТ все происходит очень быстро и еще свежи воспоми- нания о тех, кто этого не понял. Например, Polaroid, Nokia, Kodak. Если говорить о сервисах и техническом оснащении, то технологии можно купить довольно быстро. При этом вопрос адаптации этих тех- нологий под быстро меняю- щийся мир становится во главу угла. Важна скорость изменений. Неважно, идет ли речь о применении искус- ственного интеллекта, нового подхода к приемке товара или складской логистике – затянешь на полгода, и суще- ствование компании может быть под угрозой. Чтобы реа- гировать на новые вызовы времени быстрее, мы, сотруд- ники ИТ, стараемся делать все своими руками. – В чем заключается стратегия развития инфор- мационной безопасности вашей компании? – Как ни странно, в повы- шении уровня осведомленно- сти в области ИБ сотрудников и клиентов, в частности это касается и посещения специа- лизированных мероприятий по информационной безопасно- сти. В наше время "больших изменений" просто нереально донести до всех сотрудников информацию о новых видах угроз и новых вызовах. Поэто- му стратегия развития и под- держания ИБ-культуры ком- пании "отпрыгивает" от базо- вых и систематических теоре- тических занятий – важно заложить основу и научить людей подключать свои зна- ния во время ежедневной работы. До людей обязательно тре- буется донести: ИБ – это не то, что происходит где-то на другой планете, это наша реальность. И это нужно делать на конкретных приме- рах – выбивать клин клином, говоря языком "торговли стра- хом". К примеру, обращаем вни- мание сотрудников на то, что письмо от недовольного кли- ента с угрозами не всегда таковым является. Классика жанра: отправитель любыми способами пытается заста- вить читателя открыть при- крепленные к письму файлы. Историю с подобием шифро- вальщика проходили, и ключевым моментом для сотрудников является то, что это было в наших стенах, хоть и давно. – Часто можно слы- шать, что e-commerce с точки зрения высоких технологий не считается самым продвинутым сек- тором, за исключением разве что Amazon. Каки- ми наработками вы поль- зуетесь? – Как ни странно, но у боль- шинства моих знакомых не из ИТ сложилась именно такая картина: e-com – это просто магазин и в нем нет "космиче- ских" технологий. Не согласен с подобной точкой зрения, если речь идет о крупном онлайн-ритей- лере. Ведь своевременное применение в бизнесе нов- шеств – это, скорее всего, либо дополнительная при- быль, либо уменьшение рас- ходов. Это, в частности, каса- ется и подхода к разработке, если говорить о применении Agile-практик. Мне сложно представить современный интернет-мага- зин без обработки большого объема данных и применения искусственного интеллекта, формирующего товарные предложения для клиентов. В стенах нашей компании используется и то, и то, реа- лизованное силами наших специалистов. Находясь под прицелом недовольных конкурентов и вымогателей, большой онлайн-ритейлер, в частности наша компания, так или иначе подвергается DDoS-атакам. Именно современные техно- логии анти-DDoS помогают обеспечить стабильную работу ресурса. Вернемся к вопросу воз- врата одежды. Клиенты, не понимая, какой размер им подойдет, заказывают несколько. Что не подошло – возвращают. Как обеспечить клиентов возможностью точно подобрать, например, размер обуви? Ведь один и тот же размер отличается среди производителей. Снова приходят на помощь техно- логии. В настоящее время мы запу- стили проект, посредством которого информационная система формирует 3D- модель ступней клиента и помогает выбрать обувь с высокой точностью. Что касается контроля "тяга- чей" в нашей логистике, отмечу использование GPS/GLONASS и датчиков топлива – на сего- дняшний день это не "косми- ческая", но все же действенная технология. – Сегодня невозможно представить себе онлайн- магазин без приложения для смартфона. На конец мая 2018 года ваше при- ложение в Google Play скачали более 5 млн раз. Для магазина это и хоро- шо, и плохо, так как при увеличении числа поль- зователей увеличивают- ся и риски компании. Какие топ-5 видов атак на приложение вы може- те выделить? – В данном случае абсолют- но солидарен с OWASP MOBILE. Это, во-первых, небезопасное хранение дан- ных. Во-вторых, неиспользо- вание возможностей платфор- мы. В-третьих, отладочные backdoor’ы. В-четвертых, небезопасная авторизация и, наконец, фальсификация кода. • 5 ПЕРСОНЫ www.itsec.ru