Компания «Смарт-Софт» представила отчёт на основе исследования аналитиков Positive Technologies о работе Wi-Fi сетей в торговых центрах и рекомендации, как исключить возможность взлома открытого Wi-Fi и проникновения через него в компьютеры сотрудников ТЦ.
Большинство корпоративных сетей, имеющих открытые Wi-Fi-сети, можно атаковать с помощью обычного ноутбука.
В одном из подмосковных торговых комплексов работает около 60 менеджеров. Их компьютеры подключены к той же локальной сети, что и оборудование, раздающее бесплатный интернет на территории комплекса. Если среди тысяч посетителей окажется один хакер, он может попытаться не только взломать открытую Wi-Fi-сеть, но и через нее получить доступ к компьютерам сотрудников: к почте, документам и даже банк-клиенту. Как торговым центрам избежать подобных ситуаций?
«Большинство корпоративных сетей, имеющих открытые Wi-Fi-сети, можно атаковать с помощью обычного ноутбука» – говорится в отчете Positive Technologies. Аналитики рекомендуют ограничивать зону действия офисного Wi-Fi и использовать сложные пароли для подключения к нему. А как быть тем, кто наоборот, стремится раздать как можно больше интернета, бесплатно и без паролей?
Бесплатный Wi-Fi в торговых центрах – очевидная польза для посетительского трафика, особенно если в лабиринтах ТЦ плохая мобильная связь. При наличии Wi-Fi сотовый оператор совсем не нужен. Скептики могут сказать, что хакерам нет никакого дела до торговых центров – у них есть более «денежные» цели. Однако иному хакеру, особенно начинающему, проще и быстрее атаковать там, где его не ждут и где нет хорошей защиты, пусть даже и с небольшой выгодой для себя. К тому же вычислить хакера в торговом центре довольно сложно. Он может спокойно сидеть в зоне фудкорта с гамбургером и при этом копаться в бухгалтерской документации управляющей компании.
Как же исключить возможность взлома открытого Wi-Fi и проникновения через него в компьютеры сотрудников ТЦ?
Первый метод – подключить двух интернет-провайдеров: одного – для сотрудников, другого – для посетителей ТЦ. В качестве дополнительной защиты в корпоративной сети можно настроить фильтрацию по MAC-адресам (то есть, запретить доступ в сеть всем устройствам, кроме офисных компьютеров). Но для этого нужен толковый системный администратор, который не только настроит, но и будет поддерживать работу локальной сети. К тому же тянуть еще одну сеть исключительно для посетителей – занятие сложное и, в общем-то, нерациональное.
Второй метод проще, а главное, эффективнее. Он не только закрывает дорогу хакерам, но и решает попутно другие, не менее важные задачи. Суть метода – в использовании устройства, которое называется «Универсальный шлюз безопасности (UTM)». Устройство устанавливается в локальную сеть и решает следующие задачи:
- защищает компьютеры сотрудников от атак через Wi-Fi;
- защищает смартфоны и ноутбуки посетителей, которые тоже могут взломать через открытую сеть (хакеры способны считать данные банковских карт, пароли к платежным системам и другую критически важную информацию для дальнейшего списания денег);
- предоставляет пользователям доступ к Wi-Fi только после их идентификации (посетители вводят в окне входа на своем устройстве номер мобильного телефона, затем получают на него SMS-сообщение с кодом и вводит его на следующей странице). Нарушителям этого требования закона грозит штраф до 300 000 рублей.
- распределяет интернет равномерно по пользователям. Другими словами, если даже 10 посетителей сразу решат посмотреть онлайн-кино, офисный интернет сотрудников торгового центра не просядет и останется стабильным;
- блокирует сайты, которые способны причинить вред здоровью и развитию детей (заведению могут выписать штраф в размере 20-50 тысяч рублей за нарушение соответствующего закона)
Пример: собственник ТРЦ «N» через несколько месяцев после открытия торгового комплекса был оштрафован на 20 000 рублей за раздаваемый Wi-Fi, через который представители прокуратуры смогли зайти на запрещенные сайты.
Если под крылом управляющей компании десятки торговых центров по всей стране, то их шлюзы безопасности допускают объединение в единую систему. Администраторы могут централизованно управлять всеми её функциями, находясь при этом в центральном офисе. Между филиалами организуется безопасный VPN-канал обмена данными, защищенный от взлома и перехвата конфиденциальной информации.
На цифровом рынке представлено несколько шлюзов безопасности (например, Traffic Inspector Next Generation). При выборе решения владельцу ТРЦ или управляющей компании необходимо убедиться в том, что имеются следующие функции:
- система обнаружения и предотвращения вторжений IDS/IPS;
- SMS-идентификация пользователей Wi-Fi с возможностью отображения рекламы на странице регистрации;
- шейпер (для балансировки трафика);
- блокировка контента и вредных сайтов с использованием «черных списков» Роскомнадзора;
- антивирусная проверка трафика на уровне шлюза.
Резюме: бесплатный Wi-Fi – безусловное преимущество торговых центров, но оно же является узким местом информационной безопасности. Через открытую сеть хакеры могут атаковать компьютеры сотрудников, получить доступ к конфиденциальным данным, проникнуть в банк-клиент. Провести два разных интернета (один для офиса, второй для посетителей) и дорого, и неэффективно. Оптимальное решение – установить сетевой шлюз безопасности (например, Traffic Inspector Next Generation), который не только закроет вопрос собственной кибербезопасности, но и защитит посетителей от хакеров, обеспечит стабильный доступ в интернет, позволит владельцам торговых центров соблюдать «цифровые» законы РФ.