Ритейл и e-commerce — самые не защищенные сферы экономики в России

Самой незащищенной сферой бизнеса в РФ стала отрасль ритейла и e-commerce, сообщили SecPost в Cicada8. По оценке исследователей, из 10 возможных баллов ИБ-защиты эта сфера получила рейтинг 5,9. Абсолютным лидером в киберзащищенности стал финансовый сектор с рейтингом 8,1 балла из 10: «Это объясняется системными инвестициями отрасли в безопасность и жесткими регуляторными требованиями», — подчеркнули в в Cicada8.

В октябре 2024 года «Известия» сообщали, что на сферу ритейла и e-commerce пришлось до 14% всех атак в РФ, что стало вторым показателем по хакерским целям после финансовой и страховой отрасли. Представитель Wildberries&Russ сообщил SecPost, что в 2025 году их площадка также наблюдала рост общего количества попыток атак на их компанию. В Ozon отказались от комментариев, в «Яндекс.Маркете» не ответили на запрос SecPost.

Всего специалисты Cicada8 исследовали 10 отраслей экономики и проанализировали 20 тыс. компаний. Среди отраслей рассматривались государственная отрасль, финансовая, телекоммуникационная и ИТ-сектор, отрасль здравоохранения, науки и образования, промышленности и энергетики, транспорта, строительства и др. Средний балл киберзащищенности по всем ключевым отраслям экономики РФ составил 6,8. Организации оценивались по трем критериям: наличие уязвимостей на ИТ-периметре (Vulnerability Rating), репутация активов, расположенных на внешнем периметре (Network Rating), и выявление утекших баз данных, ассоциированных с данной компанией (Leaks Rating).

Продолжение ниже

В настоящее время невозможно запустить даже самый финансово привлекательный банковский проект без предварительной проверки выполнения в нем требований по информационной безопасности, без тестирования выбранной для автоматизации платформы на предмет наличия и устранения актуальных уязвимостей, базовой интеграции и подключения компонентов системы к модулю мониторинга инцидентов информационной безопасности, объясняет начальник департамента защиты информации Газпромбанка Алексей Плешков. «Коллегам из ритейла и e-commerce я бы посоветовал обратить внимание на практику регулярного проведения внешних и внутренних тестирований на проникновение с применением актуальных сценариев/методов и инструментов с подтвержденной эффективностью», — добавил он.

Финансовый сектор исторически является главной целью для киберпреступников, это заставило его эволюционировать и укреплять оборону под постоянным давлением, рассказал SecPost начальник управления развития процессов кибербезопасности ОТП Банка Алексей Колпаков. «В отличие от финансовой сферы, ритейл часто фокусируется на скорости и удобстве, что иногда происходит в ущерб безопасности», — говорит он. В качестве рекомендации для сферы ритейла Колпаков советует изменить приоритет, сделав безопасность неотъемлемой частью клиентского доверия и конкурентного преимущества: «необходимо внедрить принцип Security by Design, когда при разработке новой акции, личного кабинета или платежной функции специалист по ИБ должен быть частью проектной команды». Также он отметил, что оценка незащищенности ритейла и e-commerce справедлива в среднем по рынку, однако не для лидеров в этом сегменте.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Бюджет

Аналогичного мнения придерживаются и в Wildberries&Russ. По словам представителя площадки, утверждение о «низкой защищенности всей отрасли» требует более взвешенного подхода. «Ежегодно мы проводим более десяти внешних и внутренних пентестов, на постоянной основе работаем с независимым сообществом багхантеров, активно развивая свою программу багбаунти», — подчеркнул он.

Если впрямую сравнивать инвестиции в ИБ-защиту в тех отраслях, к которым требования регуляторов давно и последовательно применяются, уточняются и расширяются, то для глубоко регулируемых отраслей они в целом будут существенно больше, говорит директор по ИТ сети магазинов электроники «Всёсмарт» Олег Смирнов. «В связи с меньшим объемом требований со стороны регуляторов уровень защищенности в ритейле гораздо более фрагментарен, то есть лидеры и крупные компании отрасли как правило подготовлены к атакам существенно лучше, чем представители малого и среднего бизнеса», — подчеркивает он. По оценке Смирнова, атаки на ритейл в 2025 году как минимум не уменьшились.

Ритейл имеет особенности ИТ-инфраструктуры, такие как необходимость работы с большим числом внешних пользователей — заказчиков и поставщиков, что открывает системы для внешнего доступа и делает их более уязвимыми для атак, объяснил SecPost директор ИБ-компании Ideco Дмитрий Хомутов. Для улучшения ситуации с ритейлом, продолжил он, необходим комплексный подход к ИБ-архитектуре, от анализа уязвимостей и возможных векторов атак, до интеграции NGFW на сетевом уровне.

Ритейлеры хранят и обрабатывают большие объёмы ценных данных, за которыми охотятся атакующие, поясняет старший эксперт Kaspersky GReAT Леонид Безвершенко. «Нередко это делает их целью фишинга и других приёмов социальной инженерии, в число релевантных киберугроз для отрасли входят атаки с использованием программ-шифровальщиков», — говорит он, добавляя, что эти угрозы могут привести к полной остановке бизнес-процессов и закрытию магазинов.

Основные проблемы в киберзащищенности отрасли ритейла, отмечает архитектор клиентского опыта будущего UserGate Михаил Кадер, это человеческий фактор, акции самих компаний (мошенник может выкрасть скидочные купоны и приобрести товар ниже себестоимости) и высокая стоимость типовых средств защиты. «При этом законодательно дополнительно влиять на эту ситуацию я не вижу смысла. Ретейл сам управляет своим бизнесом, оценивает возможные потери, формирует бюджеты. Если же появляются дополнительные регуляторные требования, кроме общепринятых, то мы можем получить стандартную, и более плохую, чем сейчас, ситуацию – дополнительные затраты могут «лечь» на покупателей» . Поэтому я скорее сторонник того, чтобы оставить бизнесу возможность заниматься защитой в своих интересах, интересах покупателей, а не выполнением каких-то дополнительных нормативных требований», — добавил Кадер.

По прогнозам Олега Смирнова из «Всёсмарт», в связи с тяжелой экономической ситуацией в отрасли, позитивного прогноза по инвестициям в ИБ от ритейла и e-commerce в 2026 году нет: «скорее всего инвестиции будут сокращаться, ожидать запуска новых проектов не стоит, а по уже реализованным мерам могут рассматриваться даже варианты сокращения затрат», — заключил он.