Ретейл — одно из наиболее активно развивающихся направлений в новой цифровой реальности. Внедрение ИИ, машинного обучения, чат-ботов, больших данных (Big Data) порождают новые возможности, вслед за которыми приходят и новые риски, связанные с безопасностью. На многие из них пока не обращают пристального внимания.
- Введение
- Риски в торговле, связанные с цифровизацией
- Соблазны порождают преступления
- Дипфейки создают новые угрозы
- Уроки по безопасности, вынесенные из дипфейков
- Новые методы удалённой проверки личности
- Новые методы требуют проверки и внедрения
- Традиционные риски остаются
- Выводы
Введение
Розничная торговля на протяжении веков была в авангарде внедрения всего нового. Появление цифровых технологий не стало исключением, они породили новые модели продаж. Как любое новшество, это привлекает покупателей, но одновременно меняет их формат участия.
В розничной торговле сейчас активно внедряются новые технологии: ИИ, машинное обучение, большие данные. Вслед за ними приходят новые риски, связанные с обеспечением безопасности. Список подверженных риску активов стал значительно шире. Теперь в него входят не только сами товары, но и сопутствующая информация: ноу-хау, списки клиентов, персональные данные покупателей и многое другое.
Эксперты по безопасности, попадая в сложные новые условия, любят говорить: «Профилактика лучше лечения, тем более что она дешевле». Мы попробовали выделить новые риски, которые могут привести к серьёзным последствиям в будущем. Их появление в ретейле требует изучения при планировании и модернизации существующих систем безопасности.
Риски в торговле, связанные с цифровизацией
До недавнего времени торговля воспринималась как линейный процесс с точки зрения поведения покупателя. Процесс покупки делился на ряд последовательных этапов, каждый из них требовал внимания со стороны службы безопасности. Система защиты выстраивалась в цепочку операций контроля.
Сначала покупатель заходил в магазин, затем направлялся к прилавку или другим местам размещения товаров. Далее он выбирал нужные товары и брал их с собой, направляясь к кассе. Этап движения в сторону кассы с товаром и последующий переход к оплате требовали особого внимания. После этого следовала оплата покупки, требующая отдельных правил контроля. Наконец, заключительный этап — уход из магазина. Покинув территорию места продажи, покупатель завершал цепочку контрольных операций службы безопасности. До последнего момента сохранялась возможность выявления и задержания злоумышленника, его можно было поймать с поличным. Если кража всё-таки совершалась, то процедура контроля редко могла помочь выявить виновных. Ущерб списывали либо наказывали тех, кто отвечал за сохранность товаров. Это было проще, чем искать покупателя, местонахождение которого было в общем случае неизвестно.
Существенные изменения в розничной безопасности произошли после внедрения системы самообслуживания. «Освобождённый» из-под прямого контроля покупатель повысил продажи за счёт спонтанных покупок. Однако для системы безопасности начался слом прежней стройной модели контроля за «послушным покупателем». Потребовались серьёзные изменения, прежде всего направленные на наращивание существующих систем с целью распознавания злоумышленников и расширения периметра защиты вплоть до поиска скрывшихся с «места преступления».
В настоящее время наблюдается новый этап в развитии систем защиты. Введённые благодаря предложению маркетологов кассы самообслуживания способствуют дальнейшему раскрепощению покупателя и развитию в нём азарта спонтанных покупок. Но эти средства автоматизации в свою очередь требуют и развития систем розничной безопасности.
Соблазны порождают преступления
Чтобы выстроить новую систему защиты, необходимо понимать мотивацию тех, кто сегодня идёт на преступления, считают эксперты по безопасности. По оценкам представителей ретейла, существует целый букет возможных причин.
Раньше считалось, что преступления в ретейле совершаются только по рациональным причинам. Недавние исследования показали, что в настоящее время появилось множество отклонений от этого правила. Например, анализ вооружённых ограблений магазинов в Великобритании показал, что деньги не всегда становятся главной целью грабителей. «Средний “доход” от ограбления составляет около 500 фунтов стерлингов. Это наводит на мысль, что средний вооружённый грабитель не настолько рационален… Стратегия безопасности должна учитывать мотивацию преступника, его точку зрения», — говорится в выпущенном отчёте.
Одним из мотивов, которые выявили британцы, является желание «продемонстрировать окружающим свою жестокость. Чем более жестоко ведёт себя преступник, тем больше внимания (уважения) он получает со стороны своего окружения». Был сделан вывод, что создаваемая в Британии система безопасности должна принимать в расчёт существование подобных «моральных принципов» у части общества.
Новые варианты мотивов правонарушений выявлены и в работе магазинов самообслуживания. Там были обнаружены нарушители нового типа. Например, среди них нашлись такие, кто сначала украл товар по случайности — перепутал, забыл оплатить и т. д. Отсутствие реакции со стороны службы безопасности магазина порождает у части таких покупателей соблазн «продолжить игру», отмечают эксперты.
К этому же типу мошенников относят и т. н. «заменителей ценников». Это — те покупатели, которые «промышляют» заменой этикеток с ценами (а теперь ещё и переклеивают стикеры со скидками). Затем они пытаются совершить «легальную покупку», заменив её на «приобретение более дешёвого товара». «Эти люди не считают себя преступниками, они просто играют, — считают британские исследователи. — Поскольку они совершают оплату по всем правилам, они склонны думать, что в целом они сохраняют честность».
Дипфейки создают новые угрозы
Розничная торговля не существует вне общества. Создание атмосферы доверия на рынке, подкреплённой современными технологиями, подразумевает соответствующее поведение и в смежных областях общественной жизни. Если общественная жизнь «хромает», то негативные проявления находят место прежде всего в торговле. К сожалению, отмечают исследователи, далеко не все отдают себе отчёт в том, как своими действиями они создают препятствия на пути внедрения новых, более удобных технологий в ретейле — таких, например, как «оплата лицом».
Наиболее ярко это проявляется в дипфейках, когда один из участников онлайн-коммуникации выдаёт себя за другого.
Рисунок 1. Дипфейк с участием псевдо-Кличко вызвал широкий резонанс в сети
Заметным примером из недавнего прошлого стала серия онлайн-разговоров с руководителями Берлина, Вены и Мадрида, которые проводил некий мужчина, выдававший себя за мэра Киева. Последний случай был зарегистрирован 24 июня. На этот день было намечено проведение заранее согласованной телефонной беседы между руководителями Берлина и Киева. Технически оно было организовано через сервис видеоконференций Webex.
Разговор, продлившийся около 15 минут, бургомистр Берлина Франциска Гиффай провела с мужчиной внешне похожим на мэра Киева Виталия Кличко, сообщила Die Welt. По оценкам другой немецкой газеты Tagesspiegel, мужчина на экране действительно «выглядел как настоящий Виталий Кличко». Сомнения в подлинности участника беседы возникли, когда мужчина попросил вернуть беженцев на Украину, чтобы призвать их на военную службу.
Далее разговор был временно прерван. В это время служба канцелярии бургомистра экстренно связалась с послом Украины в Германии Андреем Мельником, тот в свою очередь связался с официальными лицами в Киеве и выяснил, что Виталий Кличко не вёл в это время бесед по телефону с Берлином. Позднее эту информацию подтвердили в Der Spiegel, сообщив, что это уже не первый подобный инцидент, когда некто выдавал себя за Кличко в разговоре. До этого неизвестный созванивался с мэрами Мадрида и Вены.
Уроки по безопасности, вынесенные из дипфейков
Хотя подробной информации об организации дипфейков с Кличко нет и остаётся множество спорных моментов, эксперты уже задаются вопросом о необходимости развития новых механизмов контроля идентичности участников при онлайн-взаимодействии в цифровом формате. Эти технологии должны найти широкое применение в будущем также в бизнесе, где онлайн-общение между клиентами и сотрудниками компаний, а также при совершении онлайн-продаж будет прогрессировать. Без надлежащих мер защиты от мошенничества такие формы онлайн-торговли подвергаются большим рискам, считают эксперты.
Инциденты с дипфейками подталкивают компании ко внедрению технологий отвечающих концепции Zero Trust, добавляют эксперты. Её главный принцип: «ничему не доверяй, проверяй всё».
Как считают участники рынка, новые принципы защиты требуют развития новых методов удалённой проверки личности. В настоящее время идентичность подтверждается прежде всего путём регистрации по документу, выданному государством и удостоверяющему личность (например, паспорту). Подобные проверки используются давно, они хорошо зарекомендовали себя на практике. Но, считают эксперты, после волны дипфейков, которая прокатилась по миру в последнее время, их надёжность уже недостаточно высока.
Новые методы удалённой проверки личности
Методы удалённой проверки личности, которые планируется внедрять в новых онлайн-системах, относят к т. н. «способам обнаружения живой личности». В настоящее время наиболее совершенными считаются различные способы биометрической верификации. Они заключаются в том, чтобы подтвердить физическое присутствие именно того человека, который был заявлен. Требуется проконтролировать, что реальное лицо в кадре не было подменено фотографией, видео или маской (рассматриваются также другие синтетические способы формирования картинки).
На этапе проверки человека просят сделать селфи вручную со своего мобильного устройства. Это селфи рассматривается как доказательство фактического присутствия человека в настоящем времени и его подлинности. Встречаются также другие проверки, например просьба проговорить определённую фразу или сделать определённое действие, связанное с изменением мимики. Признаками возможной демонстрации синтетического видео или дипфейка служат появление постоянного «моргания» кадра, обнаружение биометрических несоответствий.
Более сложные случаи связаны со внедрением дипфейка через скомпрометированный API. Такой способ предусматривает трансляцию видеопотока в обход его получения напрямую с камеры устройства или путём заражения компьютера вредоносной программой. В этом случае обычное селфи (сделанное злоумышленником) не будет распознано как мошенническое.
Предполагается, что для выстраивания надёжной дополнительной защиты от подобных дипфейков следует внедрять активные либо пассивные проверки для «обнаружения живой личности». Так, человека могут попросить выполнить определённые, не известные ему заранее действия, например совершить серию поворотов головы в разные стороны, произнести ряд случайных чисел и т. д. Оценивается не только результат, но и готовность онлайн-персонажа к проверке и его реакция на спонтанные инструкции. Названные действия относятся к т. н. «активной проверке». Считается, что в случае дипфейков персонаж не всегда может динамически правильно отреагировать на предложенный ему набор команд.
Пассивные проверки связаны с применением технических средств. Например, сначала на лице человека выявляются повторяющиеся случайные последовательности цветов, которые вызваны особенностями освещения в том месте, где он находится. Затем его просят сделать селфи. Если в поток трансляции будет внедрено дипфейковое видео, то заранее заготовленная серия цветовых последовательностей исчезнет либо поменяется. По этому признаку можно выявить, что совершается мошенническая атака.
Новые методы требуют проверки и внедрения
Как отмечают исследователи, реализация новых способов защиты от дипфейков не настолько проста. Ситуация пока не является критической, потому что производство дипфейков всё ещё отличается высокими затратами, поэтому навряд ли оно встанет на поток в скором будущем. В то же время, в первую очередь появления подобных фальшивок следует ожидать в сфере элитных продаж, где высока потенциальная прибыль.
Представители финансовой сферы уже работают над развитием опенсорс-экосистемы идентификации в рамках инициативы Global Assured Identity Network (GAIN). Этот проект призван реализовать принципы доверия (Trust), проверки реквизитов доступа к онлайн-ресурсам (Verify Credentials) и аутентификации (Authenticate) в будущей реализации отдельных направлений общественной жизни — прежде всего в публичной деятельности, образовании, частной жизни, оказании финансовых услуг, здравоохранении.
Рисунок 2. Базовые принципы экосистемы удалённой верификации GAIN
Розничная торговля рассматривается как один из элементов экосистемы GAIN. Сейчас важно осознать, что в настоящее время фактически идёт процесс строительства новой глобальной системы проверки идентичности личности и её валидации. В случае успеха к этой системе в дальнейшем будут подключаться все сегменты общественной жизни. Этот процесс носит глобальный характер.
В то же время пока находят применение менее системные решения, которые помогают предотвращать масштабирование атак в цифровом ретейле. Главные угрозы здесь — спуфинг, использование поддельных документов, применение лицевых масок. Наиболее действенным способом защиты от дипфейков называют метод синхронной видеоидентификации, когда видеовызов осуществляется с привлечением стороннего (живого) агента, который направляется к собеседнику и участвует в проверке его документов или паспорта вручную.
В то же время эксперты отмечают, что данный способ защиты является слишком затратным и не всегда реализуемым на практике. Они считают, что лучшим оружием против атак с использованием ИИ могут быть только средства защиты с использованием ИИ. Поэтому они настаивают на необходимости разрабатывать средства обнаружения аномалий, чтобы уже в скором будущем получить простые и действенные способы контроля за появлением дипфейков.
Традиционные риски остаются
До сих пор мы упоминали в основном наиболее сложные риски, с которыми могут встретиться в будущем службы безопасности торговых предприятий. Помимо этого, останутся и традиционные формы атак, с которыми сталкивается торговля. Поэтому в завершение мы назовём наиболее часто встречающиеся «традиционные» способы мошенничества для онлайн-торговли.
Фишинговые атаки
Цель фишинговых сообщений — заставить работников сферы розничной торговли раскрыть конфиденциальную информацию. Мошенники могут проявлять высокую осведомлённость о взаимоотношениях внутри торговой компании. Например, они могут посылать электронные письма с адреса похожего на адрес кого-то из партнёров. В других случаях, наоборот, потенциальный покупатель может получить электронное письмо с сообщением о якобы предназначенном для него подарке, для получения которого необходимо перейти по предложенной мошеннической ссылке.
Кража паролей
Этот тип атаки также носит массовый характер. Он часто встречается в местах торговли, когда злоумышленники могут подсмотреть и украсть пароль при его вводе через терминал. Краже подвержены также устройства, которые записывают ввод паролей. Нередки случаи установки фишинговых хот-спотов Wi-Fi, когда мошенники подделывают оригинальную точку доступа Wi-Fi, задавая общее имя.
Троянские атаки
Трояны — это приложения, которые выдают себя за то, чем на самом деле не являются. Они маскируются под законные приложения. Основная цель троянов — создать возможность загрузки вирусов на устройство будущего потерпевшего.
Черви
Такие вредоносные программы способны распространяться и размножаться после проникновения на устройство пользователя. Например, они могут отправить себя всем получателям в списке контактов электронной почты.
Социальная инженерия
Атаки методом социальной инженерии заключаются в том, чтобы обманом заставить пострадавшего разгласить конфиденциальную информацию.
Поддельный чат
ИИ-чаты стали важным инструментом онлайн-продвижения в интернет-торговле. Сегодня хакеры научились создавать поддельные чаты, чтобы заставить покупателей и партнёров раскрыть конфиденциальную информацию.
Выводы
Новшества цифровизации появляются в быту в первую очередь через предприятия розничной торговли. Там же возникают новые риски, связанные с мошенничеством. Главное их отличие — использование ИИ. Бороться с ними будет сложно, считают эксперты и советуют развивать контртехнологии заранее, для профилактики новых угроз.
