EDI и информационная безопасность

За разговорами про то, что электронный обмен нужен сегодня всем и каждому, остается неосвещенным вопрос о том, почему же тогда EDI еще не стал в нашей большой стране обыденным явлением? Одна из вероятных причин может заключаться в неразвитости отраслевых механизмов контроля за гарантией информационной безопасности (ИБ) со стороны EDI и ЭДО провайдеров.

Небольшой отечественный заказчик чаще всего переходит на EDI и внешний ЭДО под давлением внешних обстоятельств. В качестве которых, обычно, выступает некое побуждающее воздействие со стороны крупных ритейлеров. Ведь они, в случае чего, могут закупить аналогичный товар и в другом месте.

Некоторые считают, что таким способом растет степень проникновения EDI в торговый сектор, а значит — и в другие отрасли. Может и так. Однако EDI, почему-то, довольно медленно проникает в отечественную экономику в целом. Факты, говорящие о том, что определенным группам заказчиков EDI может быть попросту невыгоден, иногда замалчиваются. А то, что сферой его действительного применения так и остается первоначально установленный обмен с ритейлером – попросту игнорируются.

Между тем, есть еще одна, достаточно обширная сфера, куда еще не ступала нога большинства отечественных провайдеров. Это – информационная безопасность (ИБ).

EDI-провайдер фактически становится неким продолжением внутренних бизнес-процессов своих заказчиков. И через него начинает проходить информация, составляющая, в том числе, коммерческую тайну. В таком контексте, вопрос о “внутренней кухне” провайдера перестает быть праздным. А уверений типа “все что мы делаем – вполне безопасно” со стороны оператора электронного обмена становится недостаточно.

Особенно очевидным становится это в тех случаях, когда от темы EDI мы переходим к e-invoicing. Добавление к EDI-сообщениям финансовых транзакций тут же “выпячивает” те стороны, которые в отечественной практике электронного обмена пока что остаются покрытыми тенью.

Как принято сегодня, — в развитых странах, — отвечать клиентам на вопросы, касающиеся ИБ? Разберем пару примеров.

Американская компания Corcentric объявила в марте о прохождении аудита Standards for Attestation Engagements (SSAE) № 16, который был проведен для ее SaaS платформы автоматизации работы с платежами и задолженностью.

Облачная платформа COR360 компании Corcentric позволяет клиенту автоматизировать процесс обработки кредиторской задолженности

Источник: Advanced Capture Team

Стандарт SSAE-16 одобрен американской ассоциацией бухгалтеров American Institute of Certified Public Accountants (AICPA) и комиссией по ценным бумагам Securities and Exchange Commission (SEC). Соответствие SSAE-16 может быть подтверждено лишь независимой аудиторской компанией. Подчеркнем комплексный характер стандарта, который охватывает вопросы, касающиеся управления данными и операционными процессами. А также — затрагивает внутренний контроль, говорить о котором, применительно к практике отечественного электронного обмена, пока, вообще говоря, как-то не принято.

По критериям, связанным с предоставлением действительных, а не «бумажных» гарантий безопасности обработки коммерческих данных, различить работающих на нашем рынке провайдеров пока что затруднительно. Поэтому, наверное, не стоит удивляться и тому, что крупные заказчики из других отраслей, помимо ритейла, — где EDI является, так сказать, производственной необходимостью, — пока что предпочитают обходить отечественных операторов электронного обмена стороной.

Тем временем, понимание важности обеспечения ИБ при предоставлении услуг электронного обмена пришло ко многим западным компаниям. В частности, TIE Kinetix сообщила этой весной о том, что стала первым облачным провайдером для e-commerce, получившим сертификат по управлению ИБ ISO 27001:2013. «За последние годы, несколько крупных компаний уже имели дело с масштабными вторжениями, а также со взломом своего программного обеспечения или инфраструктуры, которые привели к утрате или получению несанкционированного доступа к конфиденциальной информации клиентов,” — отметил CEO компании TIE Kinetix Ян Санделин (Jan Sundelin).

Впрочем, потерей одних только данных дело уже не ограничивается. О важности комплексного подхода, включающего помимо чисто технических мер, еще и контроль за действиями персонала, напомнила история в компании Toll Global Forwarding (TGF). Где автоматизация не смогла предотвратить мошеннические действия сотрудника. Как заметили эксперты eInvoicing Platform, речь, в данном случае, скорее надо вести, про автоматизацию процесса мошенничества.

Вместо того, чтобы переводить денежные средства поставщикам логистических и прочих услуг, сотрудница бухгалтерии заменяла их реквизиты на свои собственные или же на принадлежащие членам ее семьи. Поскольку поставщиков было много, а у нечистой на руку сотрудницы была техническая возможность удалять из системы e-invoicing сведения о произведенных ею хищениях денежных средств, то вся эта история длилась несколько лет. До тех пор, пока сумма нанесенного TGF ущерба не составила 1,3 млн. долл.

Таким образом, системный подход к обеспечению ИБ подразумевает, в частности, наличие в отрасли ассоциаций, стандартов, отработанных механизмов внутреннего контроля и института внешнего аудита. Всего этого у нас в стране пока либо нет, либо не практикуется. Откуда можно сделать вывод о том, что наш рынок электронного обмена находится на первоначальной стадии своего формирования.

Помимо прочего, нежелание привлекать лишнее внимание к теме ИБ, косвенно ведет и к тому, что сдерживается развитие аналитических сервисов провайдера, которые могли бы быть полезными сегодня многим клиентам. Ведь в отсутствии должных гарантий по поводу сохранности исходных данных, встает, например, и крайне неудобный в плане содержательного и убедительного ответа вопрос: кому еще, помимо оплатившего работу заказчика, может быть предоставлена такая аналитика?

Top