Информационная безопасность и общепит: как мыслят управляющие об IT-продуктах
Я – человек, который потребляет IT-продукцию через App Store, Сбербанк Online, Delivery Club и имеет отношение к IT-индустрии постольку поскольку. Если коротко, специфика моей профессиональной деятельности – оказывать консультационные услуги предприятиям общественного питания по оптимизации и развитию бизнес-процессов. В последнее время стало поступать большое количество заказов от собственников заведений, чья цель построить систему информационной безопасности на предприятиях.
Начнем с пару веселых историй. История номер один. В одном кафе формата casual dining раз в три месяца менялись управляющие. Когда-то самый первый управляющий, будучи большим поклонником советской истории, создал пароль 07111917 и указывал его на всех ресурсах, с которыми он хоть как-то соприкасался по долгу службы: программа автоматизированного учета IIKO, доступ к программе лояльности Plazius, установка систем охранной и пожарной безопасности. Однажды этот управляющий был пойман на продаже персональных данных гостей конкурентам, и был благополучно уволен. Однако революционный пароль 07111917 продолжал жить и передавался от одного управляющего к другому. В результате каждый официант в заведении знал, как подключиться к офисному Wi-Fi. Более того, гости тоже узнали этот пароль, поскольку официанты, по доброте душевной, рекомендовали им подключаться к более скоростному интернету с названием internet_office.
В общепите персонал часто использует слабости информационной безопасности в своих корыстных целях
История номер два. Симпатичный молодой человек в васильковом пиджаке встречается с исполнительным директором одного крупного ресторанного холдинга. Между ними ведется следующий диалог:
- Наша компания специализируется на information products. Сегодня я предлагаю Вам рассмотреть возможность приобретения менеджера паролей нового поколения Соколиный глаз[1]. Он уникален тем, что обладает высокой степенью надежности, как для облачной версии, так и для коробочной. Шифрование делается по алгоритму AES-256. Помимо стандартных функций любого менеджера паролей, Соколиный глаз имеет продвинутые бэкапы и секьюрити-аудит. Что скажите?
- Константин, спасибо за информацию, а в чем разница между коробочной и облачной версией и зачем мне это все?
Две приведенные истории касаются одной проблемы – низкой осведомленности управленцев о роли и значении информационной безопасности в жизнедеятельности предприятий. Но есть дополнительный нюанс. То, как представители IT-компаний делают свои предложения, также мало способствует пониманию среди управленцев, для чего им нужны IT-продукты. За несколько лет своей консалтинговой практики я пришел к твердому убеждению, что сегмент HoReCa является мало освоенным рынком среди поставщиков IT-инструментов для внедрения и поддержания принципов информационной безопасности. В данном тексте, я бы хотел поделиться фрагментом небольшого исследования, которое мы провели среди менеджеров предприятий общественного питания с целью определить степень их осознанности относительно внедрения и применения IT-продуктов. Прежде всего, мне хочется сфокусировать внимание на использовании менеджеров паролей. Добавлю, что проведение исследования было продиктовано желанием лучше понять мышление управленцев с целью более эффективно продвигать свои консалтинговые услуги.
Коротко о методологии. Была выбрана качественная стратегия получения данных (qualitative data). Мы провели двенадцать неформализованных интервью с управляющими и их замами в шести заведениях общественного питания. В анкете интервью было двадцать вопросов, которые касались общей философии информационной безопасности, знания нормативно-правовой базы, работы с персональными данными, технических возможностей системы защиты на отдельных предприятиях, используемых IT-продуктов, включая работу с менеджерами паролей. Все интервью транскрибировались, результаты были сформированы в обобщенном виде.
Каждый был в ситуации, когда не может вспомнить пароль к своей учетной записи
Если начинать с концептуальных вопросов, то большинство респондентов связывают информационную безопасность предприятий исключительно с хранением персональных данных своих сотрудников. Управленцы не вдаются в подробности технической стороны вопроса. Их волнует, насколько тот или иной софт будет эффективно экономить время, помогать в безопасном хранении данных, и на сколько он будет удобен в использовании. Причем приоритеты расставляются именно в этом порядке: (1) – время – (2) – безопасность – (3) – юзабилити.
Слушайте, мне надо составлять табели, графики, готовить отчетность собственникам. В ресторане постоянно что-то ломается. Мне катастрофически не хватает времени заниматься настройками программы, переустановками. Айтишника у нас в штате нет. Если будет что-то быстрое и удобное, то можно попробовать (мужчина, 41 год).
Информационная безопасность здесь ограничивается тем, что трудовые книжки хранятся в сейфе, а паспортные данные вон на той верхней полке рядом с бухгалтером. Это все плохо и я это понимаю. Но настройка безопасности по уму требует времени, а сейчас его у меня нет. У нас был опыт в заведении покупки продвинутого антивирусника, даже лицензию купили. Постоянно приходили какие-то уведомления, было неудобно, отвлекало от работы (мужчина, 35 лет).
Где-то полгода назад в бизнес-инкубаторе для нас организовывали семинар по 152 Федеральному закону. Тогда, да и сейчас, я мало, что понимаю в персональных данных. Главное, и я сказала об этом собственнику, нужно навести порядок в нашем кадровом учете. К данным доступ имею я, бухгалтер, по согласованию со мной, и все. Сейчас у нас здесь бардак конечно (женщина, 34 года).
Как показали результаты интервью, в пяти из шести заведений отсутствуют стандарты и процедуры обеспечения информационной безопасности, нет ответственных лиц. Более того, нет штатной единицы или специалиста на аутсорсе, который бы занимался настройкой и контролем системы безопасности. Как сказал один из опрошенных:
У нас есть мальчик, который добавляет информацию на сайт ресторана. В теории, он мог бы заниматься вот этим вот всем (женщина, 35 лет).
Обеспокоенность менеджеров сохранностью персональных данных вполне объяснима. Все больше заводится дел с административным и уголовным наказанием , меняются требования к проверкам операторов персональных данных . В ресторанной сфере эта тема становится все более актуальной, так как помимо внутренних доступов к учетным записям, большинство заведений имеют программы лояльности, где количество резидентов идет на тысячи.
На мой взгляд, сейчас представители IT-индустрии имеют хороший шанс получить доступ к рынку, где есть четко обозначенная проблема и потребность в ее решении. В ближайшие три года запрос на построение системы информационной безопасности в общепите будет только возрастать. Особенно в регионах.
Тем не менее, при всем поверхностном понимании того, как должна быть устроена система информационной безопасности, все респонденты пользуются менеджерами паролей. Причем, некоторые обязуют ими пользоваться своих замов, шеф-поваров и администраторов. Первое, что мы спросили у респондентов, какие менеджеры паролей Вы используете на своих предприятиях:
Не знаю правильно произнесу или нет, но сейчас я использую Зохо[2]. Удивительно, но я могу посмотреть пароль даже с телефона и с рабочего компьютера. Единственное мне надо не забыть базовый пароль для доступа. Поэтому я его записала в ежедневник (женщина 32 года).
Слушайте, менеджером паролей начал пользоваться случайно. Приятель по университету работает в банке и дал попользоваться. Называется Пасворк[3], вроде пока удобно, экономит время. У нас была проблема, когда уволенный сотрудник подключался к системе учета и смотрел наши выручки. Совершенно случайно узнали, что действующие в ресторане пароли были созданы им. Срочно пришлось все переделывать. Так и возникла потребность в менеджере (мужчина, 41 год).
Я немного учился на айтишника в нашем техническом. Когда думал о менеджере паролей, то остановился на CommonKey[4], так как он хорошо справляется с функцией администрирования личных профилей сотрудников. Для нашей сетки пиццерий это очень удобно (мужчина, 38 лет).
Отмечу, что я выбрал наиболее осмысленные комментарии респондентов. Большинство опрошенных не могли вспомнить, как точно называется их менеджеры. Для некоторых менеджер паролей исключительно связан с хранением данных на браузере. В целом, респонденты, при выборе того или иного продукта не задаются вопросом о механизме криптографии, лежащей в основе менеджера пароля. Приоритетами для них является скорость и удобство в использовании.
Несмотря на то, что среди опрошенных есть общее понимание, для чего им нужен менеджер паролей, респонденты используют их от случая к случаю. Как сказала женщина респондент:
Когда с одной стороны тебя дергает заказчик банкетов, с другой поставщик, а с третьей персонал, который спрашивает, когда будет заработная плата, а ты в это время создаешь учетную запись для нового сотрудника, единственное, что остается – это записать логин и пароль на бумажку (женщина, 41 год).
Однако определенные практики есть. Существует ряд проблем, благодаря которым менеджерам паролей нашли применение в сфере общественного питания. Какие это проблемы?
Во-первых, доступ к программам лояльности. Для инсайдеров не секрет, что со скидками мутит персонал, кэшбыки начисляются на пластиковые карты, привязанные к родственникам и друзьям персонала etc. Наиболее эффективный способ предотвратить мошенничество – это регулярно осматривать активность учетных записей на бэке программы лояльности. Ситуация осложняется тем, что доступ к программе нужно иметь минимум трем человекам: управляющему, маркетологу (для смс и push-отправлений) и оператору, который обслуживает программу лояльности (в случае технических сбоев или подключения дополнительных опций).
Единственное, когда я стараюсь не забывать про менеджера паролей, это при работе с нашей гостевой базой. Помимо доступа к персональным данным гостей, через эту базу можно зачислять или списывать виртуальные деньги. Раз в месяц я меняю пароль, и делаю ранжирование доступов в зависимости от статуса пользователя. Поэтому информацию нужно постоянно актуализировать. Менеджер паролей облегчает работу в этом плане (мужчина, 48 лет).
Во-вторых, на каждом предприятии существует магнитные карты персонала для доступа к автоматизированной системе учета (например, IIKO или R-Keeper). Бывают занимательные случаи. Официант увольняется и уходит вместе с картой. По сути, ушедший официант знает пароль доступа к системе, где отражаются финансовые показатели предприятия, удаляются и списываются блюда, фиксируется рабочее время персонала.
Была история, когда уволенный сотрудник вступил в сговор с барменом и пробивал алкоголь на представительские расходы. Каким-то странным образом у этого товарища оставалась незаблокированная карта и он пользовался ей (мужчина, 38 лет)
В-третьих, управляющие приходят и уходят, а учетные записи остаются. Профессиональная адаптация нового менеджера замедляется, когда он сидит у экрана монитора и пытается дозвониться до предыдущего руководителя, чтобы узнать логин и пароль от электронной почты, систем Меркурий и ЕГАИС, личному кабинету на портале компании METRO etc.
Я не могла нормально решать вопросы, когда нет ни одного доступа к действующим учеткам. Предыдущая управляющая плохо разошлась с собственником и ничего мне не передала. Пришлось все восстанавливать, перебирать ее черновики, уговаривать человека поделиться информацией. После этого твердо для себя решила, что все пароли буду хранить в специальной программе (женщина, 29 лет).
Все перечисленные ситуации могут быть полезны представителям IT-разработчиков для формулирования грамотных коммерческих предложений представителям ресторанной сферы. Еще раз подчеркну, рынок HoReCa готов к потреблению IT-продукции. Это касается не только менеджеров паролей, но и антивирусного программного обеспечения, систем видеонаблюдения и оптимизации бизнес-процессов.
При написании текста, я осознал серьезные коммерческие перспективы внедрения стандартов информационной безопасности для ресторанов, кафе и баров. Поэтому всех заинтересованных прошу написать в комментариях, какое программное обеспечение Вы бы посоветовали представителям HoReCa для построения надежной системы информационной безопасности. В завершении темы менеджеров паролей, прошу поучаствовать в опросе ниже. Буду очень благодарен за развернутые комментарии относительно Вашего выбора.
[1] Название вымышлено. Любые сходства с другими менеджерами паролей лишь сходства и не более того.
[2] Респондент имеет ввиду менеджер паролей Zoho Vault: https://www.zoho.com/vault/
[3] Респондент имеет ввиду менеджер паролей Passwork: https://passwork.ru/
[4] Респондент имеет ввиду менеджер паролей CommonKey: https://www.commonkey.com