Привет Habr! Я – человек, который потребляет IT-продукцию через App Store, Сбербанк Online, Delivery Club и имеет отношение к IT-индустрии постольку поскольку. Если коротко, специфика моей профессиональной деятельности – оказывать консультационные услуги предприятиям общественного питания по оптимизации и развитию бизнес-процессов. В последнее время стало поступать большое количество заказов от собственников заведений, чья цель построить систему информационной безопасности на предприятиях.
Начнем с пару веселых историй. История номер один. В одном кафе формата casual dining раз в три месяца менялись управляющие. Когда-то самый первый управляющий, будучи большим поклонником советской истории, создал пароль «07111917» и указывал его на всех ресурсах, с которыми он хоть как-то соприкасался по долгу службы: программа автоматизированного учета IIKO, доступ к программе лояльности Plazius, установка систем охранной и пожарной безопасности. Однажды этот управляющий был пойман на продаже персональных данных гостей конкурентам, и был благополучно уволен. Однако революционный пароль «07111917» продолжал жить и передавался от одного управляющего к другому. В результате каждый официант в заведении знал, как подключиться к офисному Wi-Fi. Более того, гости тоже узнали этот пароль, поскольку официанты, по доброте душевной, рекомендовали им подключаться к более «скоростному» интернету с названием «internet_office».
В общепите персонал часто использует слабости информационной безопасности в своих корыстных целях
История номер два. Симпатичный молодой человек в васильковом пиджаке встречается с исполнительным директором одного крупного ресторанного холдинга. Между ними ведется следующий диалог:
— Наша компания специализируется на information products. Сегодня я предлагаю Вам рассмотреть возможность приобретения менеджера паролей нового поколения «Соколиный глаз»[1]. Он уникален тем, что обладает высокой степенью надежности, как для облачной версии, так и для коробочной. Шифрование делается по алгоритму AES-256. Помимо стандартных функций любого менеджера паролей, Соколиный глаз имеет продвинутые бэкапы и секьюрити-аудит. Что скажите?Две приведенные истории касаются одной проблемы – низкой осведомленности управленцев о роли и значении информационной безопасности в жизнедеятельности предприятий. Но есть дополнительный нюанс. То, как представители IT-компаний делают свои предложения, также мало способствует пониманию среди управленцев, для чего им нужны IT-продукты. За несколько лет своей консалтинговой практики я пришел к твердому убеждению, что сегмент HoReCa является мало освоенным рынком среди поставщиков IT-инструментов для внедрения и поддержания принципов информационной безопасности. В данном тексте, я бы хотел поделиться фрагментом небольшого исследования, которое мы провели среди менеджеров предприятий общественного питания с целью определить степень их осознанности относительно внедрения и применения IT-продуктов. Прежде всего, мне хочется сфокусировать внимание на использовании менеджеров паролей. Добавлю, что проведение исследования было продиктовано желанием лучше понять мышление управленцев с целью более эффективно продвигать свои консалтинговые услуги.
— Константин, спасибо за информацию, а в чем разница между коробочной и облачной версией и зачем мне это все?
Коротко о методологии. Была выбрана качественная стратегия получения данных (qualitative data). Мы провели двенадцать неформализованных интервью с управляющими и их замами в шести заведениях общественного питания. В анкете интервью было двадцать вопросов, которые касались общей философии информационной безопасности, знания нормативно-правовой базы, работы с персональными данными, технических возможностей системы защиты на отдельных предприятиях, используемых IT-продуктов, включая работу с менеджерами паролей. Все интервью транскрибировались, результаты были сформированы в обобщенном виде.
Каждый был в ситуации, когда не может вспомнить пароль к своей учетной записи
Если начинать с концептуальных вопросов, то большинство респондентов связывают информационную безопасность предприятий исключительно с хранением персональных данных своих сотрудников. Управленцы не вдаются в подробности технической стороны вопроса. Их волнует, насколько тот или иной софт будет эффективно экономить время, помогать в безопасном хранении данных, и на сколько он будет удобен в использовании. Причем приоритеты расставляются именно в этом порядке: (1) – время – (2) – безопасность – (3) – юзабилити.
«Слушайте, мне надо составлять табели, графики, готовить отчетность собственникам. В ресторане постоянно что-то ломается. Мне катастрофически не хватает времени заниматься настройками программы, переустановками. Айтишника у нас в штате нет. Если будет что-то быстрое и удобное, то можно попробовать». (мужчина, 41 год)
«Информационная безопасность здесь ограничивается тем, что трудовые книжки хранятся в сейфе, а паспортные данные вон на той верхней полке рядом с бухгалтером. Это все плохо и я это понимаю. Но настройка безопасности по уму требует времени, а сейчас его у меня нет. У нас был опыт в заведении покупки продвинутого антивирусника, даже лицензию купили. Постоянно приходили какие-то уведомления, было неудобно, отвлекало от работы» (мужчина, 35 лет)
«Где-то полгода назад в бизнес-инкубаторе для нас организовывали семинар по 152 Федеральному закону. Тогда, да и сейчас, я мало, что понимаю в персональных данных. Главное, и я сказала об этом собственнику, нужно навести порядок в нашем кадровом учете. К данным доступ имею я, бухгалтер, по согласованию со мной, и все. Сейчас у нас здесь бардак конечно» (женщина, 34 года).Как показали результаты интервью, в пяти из шести заведений отсутствуют стандарты и процедуры обеспечения информационной безопасности, нет ответственных лиц. Более того, нет штатной единицы или специалиста на аутсорсе, который бы занимался настройкой и контролем системы безопасности. Как сказал один из опрошенных:
«У нас есть мальчик, который добавляет информацию на сайт ресторана. В теории, он мог бы заниматься вот этим вот всем» (женщина, 35 лет).Обеспокоенность менеджеров сохранностью персональных данных вполне объяснима. Все больше заводится дел с административным и уголовным наказанием, меняются требования к проверкам операторов персональных данных. В ресторанной сфере эта тема становится все более актуальной, так как помимо внутренних доступов к учетным записям, большинство заведений имеют программы лояльности, где количество резидентов идет на тысячи.
На мой взгляд, сейчас представители IT-индустрии имеют хороший шанс получить доступ к рынку, где есть четко обозначенная проблема и потребность в ее решении. В ближайшие три года запрос на построение системы информационной безопасности в общепите будет только возрастать. Особенно в регионах.
Тем не менее, при всем поверхностном понимании того, как должна быть устроена система информационной безопасности, все респонденты пользуются менеджерами паролей. Причем, некоторые обязуют ими пользоваться своих замов, шеф-поваров и администраторов. Первое, что мы спросили у респондентов, какие менеджеры паролей Вы используете на своих предприятиях:
«Не знаю правильно произнесу или нет, но сейчас я использую Зохо[2]. Удивительно, но я могу посмотреть пароль даже с телефона и с рабочего компьютера. Единственное мне надо не забыть базовый пароль для доступа. Поэтому я его записала в ежедневник» (женщина 32 года).
«Слушайте, менеджером паролей начал пользоваться случайно. Приятель по университету работает в банке и дал попользоваться. Называется Пасворк[3], вроде пока удобно, экономит время. У нас была проблема, когда уволенный сотрудник подключался к системе учета и смотрел наши выручки. Совершенно случайно узнали, что действующие в ресторане пароли были созданы им. Срочно пришлось все переделывать. Так и возникла потребность в менеджере» (мужчина, 41 год).
«Я немного учился на айтишника в нашем техническом. Когда думал о менеджере паролей, то остановился на CommonKey[4], так как он хорошо справляется с функцией администрирования личных профилей сотрудников. Для нашей сетки пиццерий это очень удобно» (мужчина, 38 лет).
Отмечу, что я выбрал наиболее осмысленные комментарии респондентов. Большинство опрошенных не могли вспомнить, как точно называются их менеджеры. Для некоторых менеджер паролей исключительно связан с хранением данных на браузере. В целом, респонденты, при выборе того или иного продукта не задаются вопросом о механизме криптографии, лежащей в основе менеджера пароля. Приоритетами для них является скорость и удобство в использовании.
Несмотря на то, что среди опрошенных есть общее понимание, для чего им нужен менеджер паролей, респонденты используют их от случая к случаю. Как сказала женщина респондент:
«Когда с одной стороны тебя дергает заказчик банкетов, с другой поставщик, а с третьей персонал, который спрашивает, когда будет заработная плата, а ты в это время создаешь учетную запись для нового сотрудника, единственное, что остается – это записать логин и пароль на бумажку» (женщина, 41 год).Однако определенные практики есть. Существует ряд проблем, благодаря которым менеджерам паролей нашли применение в сфере общественного питания. Какие это проблемы?
Во-первых, доступ к программам лояльности. Для инсайдеров не секрет, что со скидками «мутит» персонал, кэшбыки начисляются на пластиковые карты, привязанные к родственникам и друзьям персонала etc. Наиболее эффективный способ предотвратить мошенничество – это регулярно осматривать активность учетных записей на бэке программы лояльности. Ситуация осложняется тем, что доступ к программе нужно иметь минимум трем людям: управляющему, маркетологу (для смс и push-отправлений) и оператору, который обслуживает программу лояльности (в случае технических сбоев или подключения дополнительных опций).
«Единственное, когда я стараюсь не забывать про менеджера паролей, это при работе с нашей гостевой базой. Помимо доступа к персональным данным гостей, через эту базу можно зачислять или списывать виртуальные деньги. Раз в месяц я меняю пароль, и делаю ранжирование доступов в зависимости от статуса пользователя. Поэтому информацию нужно постоянно актуализировать. Менеджер паролей облегчает работу в этом плане» (мужчина, 48 лет).Во-вторых, на каждом предприятии существует магнитные карты персонала для доступа к автоматизированной системе учета (например, IIKO или R-Keeper). Бывают занимательные случаи. Официант увольняется и уходит вместе с картой. По сути, ушедший официант знает пароль доступа к системе, где отражаются финансовые показатели предприятия, удаляются и списываются блюда, фиксируется рабочее время персонала.
«Была история, когда уволенный сотрудник вступил в сговор с барменом и пробивал алкоголь на представительские расходы. Каким-то странным образом у этого товарища оставалась незаблокированная карта и он пользовался ей» (мужчина, 38 лет)В-третьих, управляющие приходят и уходят, а учетные записи остаются. Профессиональная адаптация нового менеджера замедляется, когда он сидит у экрана монитора и пытается дозвониться до предыдущего руководителя, чтобы узнать логин и пароль от электронной почты, систем Меркурий и ЕГАИС, личному кабинету на портале компании METRO etc.
«Я не могла нормально решать вопросы, когда нет ни одного доступа к действующим учеткам. Предыдущая управляющая плохо разошлась с собственником и ничего мне не передала. Пришлось все восстанавливать, перебирать ее черновики, уговаривать человека поделиться информацией. После этого твердо для себя решила, что все пароли буду хранить в специальной программе» (женщина, 29 лет).
Не повторяйте ошибку Президента Косово, используйте менеджер паролей
Все перечисленные ситуации могут быть полезны представителям IT-разработчиков для формулирования грамотных коммерческих предложений представителям ресторанной сферы. Еще раз подчеркну, рынок HoReCa готов к потреблению IT-продукции. Это касается не только менеджеров паролей, но и антивирусного программного обеспечения, систем видеонаблюдения и оптимизации бизнес-процессов.
При написании текста, я осознал серьезные коммерческие перспективы внедрения стандартов информационной безопасности для ресторанов, кафе и баров. Поэтому всех заинтересованных прошу написать в комментариях, какое программное обеспечение Вы бы посоветовали представителям HoReCa для построения надежной системы информационной безопасности. В завершении темы менеджеров паролей, прошу поучаствовать в опросе ниже. Буду очень благодарен за развернутые комментарии относительно Вашего выбора.
[1] Название вымышлено. Любые сходства с другими менеджерами паролей лишь сходства и не более того.
[2] Респондент имеет ввиду менеджер паролей Zoho Vault: www.zoho.com/vault
[3] Респондент имеет ввиду менеджер паролей Passwork: passwork.ru
[4] Респондент имеет ввиду менеджер паролей CommonKey: www.commonkey.com
Комментарии (15)
ILya63
20.03.2019 12:10Мы провели двенадцать неформализованных интервью с управляющими и их замами в шести заведениях общественного питания.
Провели бы интервью в сетевых ресторанах/отелях, а не в шурмячных и вам бы рассказали о PCI DSS, Single Sign-On, NAC etc. На надо так однозначно про весь HoReCa утверждать.ILONEK Автор
20.03.2019 12:24Спасибо за Ваш комментарий. Я нисколько не пытаюсь генерализировать выводы. Я уверен, что в крупных сетях и отелях ИБ на очень высоком уровне. К сожалению, необходимо пройти большое количество согласований, чтобы пообщаться с «сетевиками».
primepix
20.03.2019 12:28А на сколько этот рынок готов к внедрению различного софта? Т.е. с точки зрения поставщиков соответствующего ПО или интеграторов там вообще есть рынок? Или надо подождать пока грубо говоря все начнут понимать, что вводить пароль 12345 на камеру это плохо :)?
ILONEK Автор
20.03.2019 12:31Чем больше персонал украл у собственника, пользуясь брешами в информационной безопасности, тем выше его готовность :) Да, рынок однозначно есть. Но, я особо хочу сделать на этом акцент, говорить и предлагать IT-продукты нужно на языке общепитовцев. Приводить реальные примеры, знакомые людям из HoReCa. Пару я раскрыл в тексте.
Andriyevski
20.03.2019 13:06Придется таки сменить пароль на: asdfgh или zxcvbn :)
imbasoft
20.03.2019 14:24Кроме проблем с забыванием паролей неплохо было бы обратить внимание и на общую защищенность IT инфраструктуры (бухгалтерия, клиент-банк и т.д.).
Настоятельно рекомендую посмотреть в сторону организации резервного копирования, да и другие ИБ контроли общепиту будут не чужды.
vilgeforce
Никакое ПО не поможет от услужливо оставленного разработчиком бэкдора на сайте ресторана. От криво настроенной CMS, от кучи других косяков. И главное, оно не поможет в случае, если считают что ПО достаточно.
ILONEK Автор
Видимо речь идет о комплексном подходе к безопасности. Поделитесь пожалуйста своим видением на это счет?
vilgeforce
Мое видение: ПО — мало. По хорошему — бэкапы, аудит, планы реагирования, всякие там ISO-стандарты и вот это все. Но не осилят.
ILONEK Автор
Пока только крупные игроки могут позволить себя внутренние службы безопасности.