Ритейл: на какие киберугрозы обратить внимание и как защититься

По статистике сервиса Smart Business Alert (SBA), с начала 2025 года в сеть утекло более 50 баз данных ритейла, общим объемом 200 000 000 строк. Недавние инциденты в сети магазинов алкогольной продукции и крупной сети аптек подтверждают, что отрасль привлекательна для хакеров. В статье разберем:

• Факторы уязвимости ритейлеров
• Риски от реализации угроз
• Ключевые угрозы
• Неочевидные атаки
• Минимальный набор мер безопасности
• С чего начать

Эксперт:

Сергей Трухачев, руководитель сервиса Smart Business Alert (SBA) компании «ЕСА ПРО» (входит в ГК «Кросс технолоджис»).

Факторы уязвимости ритейлеров

Высокий уровень цифровизации. Комбинация онлайн- и офлайн-торговли значительно расширяет «поверхность атаки» — набор точек входа, через которые хакеры могут атаковать компанию. Еще одно узкое место — интеграция данных. По данным Gartner, 68% розничных сетей инвестируют в аналитику, но слияние разнородных источников данных повышает риск утечки.

Фрагментированная ИТ-инфраструктура. В офисах, на складах и торговых точках используется ПО разных поставщиков и версий — все это затрудняет централизованное управление и обновление систем.

Отсутствие зрелых процессов управления подрядчиками. Зачастую взлом логистической компании или ИТ-подрядчика позволяет злоумышленникам проникнуть в инфраструктуру его клиентов. Чтобы минимизировать риск, необходимо разработать требования по информационной безопасности для поставщиков, а также регламенты доступа к системам и передачи данных. Следование регламентам закрепляется в договоре и контролируется в течение всего сотрудничества.

Также на защищенность ритейлеров влияют общие для всего российского рынка информационной безопасности (ИБ) факторы —дефицит кадров и недостаточнее внимание к ИБ со стороны топ-менеджмента.

Как результат, в 2024 году ритейл вошел в топ-3 по количеству новостей об украденных данных

Что грозит компании в случае взлома

Корректно оценить возможные потери — задача повышенной сложности. Ключевых аспекта три.

Финансовые потери:

• Упущенная прибыль из-за простоя ИТ-систем

• Расходы на расследование инцидента, ликвидацию последствий, восстановление систем, компенсации клиентам и контрагентам

• Утечка коммерческой информации

Юридические последствия:

• Проверки Роскомнадзора

• Административные штрафы

• Иски от пострадавших клиентов или партнеров

Репутационный ущерб:

• Потеря доверия

• Негатив в СМИ и соцсетях

• Снижение привлекательности для инвесторов

• Трудности с подбором кадров

Какие регуляторные требования в сфере ИБ действуют в отношении ритейлеров

• 152-ФЗ «О персональных данных»

• Требования Роскомнадзора к обработке и защите ПДн

• 187-ФЗ «О безопасности критической информационной инфраструктуры» (если у компании обнаружатся объекты КИИ)

• Требования к защите конфиденциальной информации

• Обязанность по уведомлению об инцидентах в Роскомнадзор

Шесть ключевых угроз для ритейлеров

1. Социальная инженерия и, прежде всего, фишинг. Социальная инженерия — метод атаки, использующий человеческие слабости или невнимательность. Мишенями для таких атак становятся как клиенты, так и сотрудники компаний.

Самый популярный вид атак — фишинг, т.е. отправка фальшивых электронных писем от лица бренда. В таких письмах могут содержаться вредоносные вложения. Еще один сценарий, когда ссылки из письма ведут на фейковые сайты: если ввести на них свой логин/пароль или данные банковской карты, информация попадет к злоумышленникам.

900 любителей кофе остались без подарочных карт

Осень 2024 года, Великобритания. Любители Starbucks получили от компании письмо о выигрыше: им предлагали получить «Набор для любителей кофе». Акция оказалась фейком: из письма запускался вредоносный код. Только по официальной статистике Национального центра Великобритании по борьбе с мошенничеством и киберпреступлениями, за две недели жертвами атаки стали 900 человек.

2. Компрометация учетных данных сотрудников, в результате которой хакеры получают доступ к системам компании. Одна из главных причин компрометации — утечки из других сервисов: например, если утекли пароли в такси, злоумышленники попробуют использовать их в других сервисах, в том числе корпоративных.

3. Утечки персональных данных клиентов и сотрудников. Происходят как в результате взлома, так и из-за действий инсайдеров внутри компании. Мошенники используют похищенные данные точечно — при звонках из «колл-центров», подделке аккаунтов в соцсетях и массовых рассылках от имени контрагентов или коллег. С мая 2025 года наказание за утечки персданных стало строже.

Штрафы за утечку персональных данных

Первая утечка: от 3 до 15 млн руб.

Повторная: оборотные штрафы в размере от 1 до 3% от выручки за предшествующий календарный год, но не менее 20 млн и не более 500 млн руб.

4. Атаки через третьих лиц (подрядчиков, контрагентов). Ритейл в 2024 году занял второе место среди отраслей, наиболее пострадавших от данного вида атак. Он реализуется по двум сценариям.

В первом злоумышленники взламывают подрядчика или партнера компании, чтобы затем получить доступ к ее системам: например, компрометация службы ИТ-аутсорсинга может открыть хакерам путь к инфраструктуре его заказчиков. Второй сценарий — когда взламывают разработчика ПО, которое использует компания-жертва, и в его софт внедряют вредоносный код.

Взлом на $405 млн

В начале апреля 2025 года клиенты фэшн-ритейлера Marks & Spencer в Великобритании стали жаловаться на проблемы с интернет-заказами и оплатой подарочными картами. Количество жалоб росло, сроки доставки сдвигались. В мае компания сообщила, что стала жертвой атаки через контрагента. Онлайн-продажи остановились, не проходила оплата картами в физических магазинах, пошли сбои в системе планирования запасов. Компания потерялась более $405 млн выручки и 1/10 рыночной капитализации.

Цена акций Marks & Spencer до и после атаки (по данным Bloomberg)

5. Доступ к внутренним системам через уязвимости в ПО особенно актуален для компаний, прошедших импортозамещение и использующих «зоопарк» разнородных систем. Чем больше ИТ-решений, тем сложнее контролировать уровень их безопасности.

6. Шантаж после кражи или шифрование данных — классическая история, которую нам напомнили недавние взломы. Здесь важно помнить:

В большинстве случаев после получения выкупа хакеры не возвращают данные. Кроме того, они могут продать копии другим злоумышленникам, что станет причиной повторного взлома

Неочевидные угрозы для ритейлеров

Наша команда по защите бренда выделила еще семь угроз, зачастую ускользающих от внимания бизнеса:

1. Утечки через Telegram-ботов. Мессенджер не входит в перечень привычных каналов мониторинга ИБ, поэтому сотрудники-злоумышленники могут создать бота, через которого будут продавать базы с персональными данными.

2. Фишинг, нацеленный на подрядчиков. Через слабое звено в цепочке поставок злоумышленники получают доступ к основной инфраструктуре.

Минус $292 млн в горячий сезон

Декабрь 2013 года, разгар предновогоднего сезона. В компании Target «высокий сезон», ведь это один из топ-10 ритейлеров США. Один из сотрудников компании получает на электронную почту письмо «от подрядчика», открывает его — и это становится началом утечки данных 70 млн клиентов и 40 млн банковских карт. Утечка создала волну коллективных исков в 47 штатах США из 50, стоила компании $292 млн и привела к сокращению прибыли на 46% в следующем праздничном квартале.

3. Повторное использование ранее утекших данных. Чаще всего происходит, если в компании нет политики регулярной смены паролей и она не отслеживает утечки данных. Но даже регулярная смена не всегда спасает, так как человек не может запоминать новый пароль каждый месяц и просто меняет предыдущий по шаблону, например добавляет номер текущего месяца.

4. Мошеннические действия с участием бывших сотрудников. Если компания вовремя не отозвала доступ у уволившихся, возникает риск утечки информации.

5. Наличие фейковых сайтов, имитирующих бренды. Такие сайты используются для сбора клиентских данных или подделки сервисов поддержки. С ними необходимо бороться, чтобы избежать исков от недовольных клиентов, снизить репутационные риски и, конечно, финансовые потери.

Быстро оценить угрозы для вашего домена можно с помощью нашего бесплатного сервиса https://sbalert.ru/ Он выявляет фишинговые «копии» сайта, утечки кода, паролей и персональных данных.

6. Стиллер-логи. Из-за ограничения доступа к популярным соцсетям активные сотрудники начали использовать различные VPN-приложения для браузеров. Большинство таких сервисов содержат вредоносное ПО и перехватывают пароли, которые пользователь указывает при посещении сайтов.

7. Фейковые собеседования. Сотрудники ИТ-отделов ритейла размещают резюме, а на них реагируют хакеры. ИТ-специалист — привлекательная мишень, поскольку у него уже есть доступ во внутреннюю инфраструктуру объекта взлома, и он готов выполнять условия ради смены работы.

Хакеры предлагают запустить на компьютере скрипт или перейти по ссылке (конечно, зараженной), таким образом на компьютер устанавливается ПО, которое в дальнейшем используется для удаленного доступа и закрепления в системе.

Минимальный набор мер безопасности для ритейлеров

1. Актуальные антивирусные решения и средства защиты конечных устройств. Конечными устройствами принято называть любое оборудование, которые подключено к сети компании — от серверов до офисных принтеров и смартфонов сотрудников. Два последних пункта часто не входят в список приоритетов службы ИБ: за ними сложно уследить, еще сложнее — регулярно обновлять на них ПО.

По статистике, конечные устройства оказываются задействованы более чем в 20% киберинцидентов. Для защиты используются антивирусы, которые «ловят» стандартные угрозы, например известные вирусы, а также более сложные системы, например EDR и XDR: они блокируют атаки, спроектированные с прицелом на конкретную компанию, учитывающие ее особенности.

2. Двухфакторная аутентификация для критических систем. Двухфакторка — дополнительная защита для входа в систему. Она подразумевает, что после ввода логина и пароля нужно пройти еще одну проверку: ввести код из SMS или приложения, предъявить биометрию или физический ключ — токен. В случае утечки паролей это защищает системы от несанкционированного входа.

3. Регулярное обучение сотрудников (в том числе кассиров и складских работников). По статистике, 44% утечек информации происходит по вине сотрудников. Чаще всего — линейных специалистов и руководителей младшего и среднего звена. В большинстве случаев утечки происходят без преступного умысла, в силу низкой киберграмотности сотрудников.

Среди проблемных тем, которые стоит осветить в программе обучения команды основам ИБ:

• Виды киберугроз (социальная инженерия, спам, фишинг, вредоносный софт и программы-вымогатели)

• Как безопасно использовать интернет, корпоративную почту и мессенджеры, личные аккаунты в соцсетях

• Как придумать и хранить безопасный пароль

• Как защитить данные от утечки

• Что делать при возникновении киберугрозы

4. Мониторинг утечек и даркнета (в том числе Telegram) через DRP-сервисы. DRP помогает руководству компании узнать, что утекла база клиентов или финансовый отчет, до того, как об этом напишут в прессе. Такие сервисы в режиме 24 на 7 отслеживают веб-ресурсы и находят данные, связанные с конкретной компанией: логины и пароли, внутренние документы, резюме.

Использовать готовый DRP намного выгоднее, чем загружать текущих сотрудников ИТ/ИБ и юридический департамент. Без DRP компании придется или нанимать узкоспециализированных сотрудников, которые разбираются в OSINT (разведке по открытым источникам) и даркнете (анонимной части интернета), или разрабатывать софт для мониторинга и анализа угроз (аналог готового DRP)

5. Централизованный контроль доступа (ЦКД) к системам. Позволяет контролировать, кто и когда получает доступ к данным, приложениям и сервисам, а также раздавать и забирать доступы, контролировать действия в системе. Система для ЦКД даст компании прозрачность и поможет избежать ситуации, когда рядовой сотрудник или подрядчик получает доступ к чувствительной информации.

6. Политика управления подрядчиками и аудит их ИБ-практик. Позволит ввести единые требования к доступам, системам и минимизировать риск, что компанию взломают, например, через софт для контроля складских остатков.

7. Наличие плана реагирования на инциденты. В кризисной ситуации ИТ и ИБ командам не придется «изобретать велосипед» — у них будет четкий план действий и понимание ролей всех сотрудников.

8. Проверка и обновление инфраструктуры (включая ПО на кассах, терминалах и складе). Нужна, чтобы минимизировать риск уязвимостей, которые исправили в новых версиях продуктов.

9. Соответствие требованиям 152-ФЗ «О персональных данных» и рекомендациям Роскомнадзора. Это ваша защита от штрафов за утечки и исков со стороны клиентов.

С чего начать

Если среди перечисленных угроз вы увидели актуальные для вашего бизнеса, то начать стоит со следующих шагов:

1. Аудит информационной безопасности. Приглашенные эксперты обследуют системы и процессы компании. Их задача — найти слабые места в ИТ-инфраструктуре. По результатам аудита вы получите документ с анализом существующего положения, описанием желаемых показателей и дорожной картой преобразований. Минимальный срок аудита — от одного месяца.

2. Выбор подрядчика в сфере информационной безопасности для реализации дорожной карты. Здесь важно ориентироваться на наличие лицензий ФСТЭК и ФСБ, техническую экспертизу команды и опыт работы с ритейлерами, в том числе схожего с вашим бизнесом масштаба.

3. Подбор решения. По итогам общения подрядчик предложит финальный план работ со сроками, списком внедряемой техники и ПО. Многие компании включают в проекты обучение сотрудников и топ-менеджеров клиента.

Все перечисленные задачи решает команда «Кросс технолоджис». Мы более 14 лет на рынке информационной безопасности. Реализовали свыше 1 500 проектов в различных отраслях, работаем с ритейлерами из топ-20 по выручке. В числе наших клиентов X5 Group, Магнит, М.Видео, Авито, Ашан, Детский мир, Avon, Бристоль.

Мы помогаем компаниям провести аудит ИТ и ИБ, выстроить комплексную cистему защиты информации, внедрить средства защиты и обучить команду работе с ними. Также берем на себя круглосуточный мониторинг инцидентов и защиту бренда, оперативно удаляя копии сайтов и отслеживая утечки данных. Если вам нужна поддержка, будем рады помочь.