Безопасность в сфере e-commerce

13 ноября компания Qrator Labs пригласила журналистов и блогеров на ежегодную пресс-конференцию в довольно интересное место в центре Москвы

Компания в лице Артема Гавриченкова, технического директора Qrator Labs, представила традиционный отчет о ситуации в области IT безопасности (ИБ) в 2019 году. Также в разговоре активно участвовал Александр Лямин, генеральный директор Qrator Labs.

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Специалисты могут ознакомиться с отчетом — не думаем, что Qrator делает из него тайну, журналистам он точно доступен без каких-либо ограничений.

Нас же заинтересовала ситуация с безопасностью в сфере e-commerce, или интернет-торговли.

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Ниша e-commerce активно развивается. Например, первый миллиард Alibaba в день одиночек, 11.11(.19), сделал за 15 секунд! Это больше, чем в прошлом году Amazon продал за всю рождественскую распродажу.

При этом удивляет отсутствие интереса к ИБ у игроков рынка. Уже есть статистика, что после пережитой атаки, если она не была отражена сразу, такой магазин обычно исчезает с рынка. Не всегда это банкротство, но, как минимум, смена торговой марки или слияние.

В российских условиях успешная DDoS-атака в течение суток приводит к исчезновению сайта магазина из Яндекса и Google. А если тебя нет в поиске, то и для покупателя тебя нет. И далеко не каждый магазин в состоянии вернуться на прошлые позиции, а не уйти с рынка.

Особенно интересно в связи с e-commerce стоит задача Data mining. Или, если говорить простыми программерскими словами — парсинг сайтов. Это когда с сайта конкурента добывается вся информация о товарах — описание, цены, изображения и любая другая, открытая и не очень.

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

С точки зрения закона сбор информации, если не нарушается работоспособность сайта, является разрешенным. А вот использование этой информации далеко не всегда законно. Причем страдают от таких парсеров, в основном, мелкие магазины — приходится тратиться на более мощный сервер, так как на 1 посетителя-человека может быть 9 роботов. Но стоит признать, что и наполнение мелких магазинов зачастую происходит с использованием таких парсеров и автоматических синонимизаторов текста.

По обе стороны баррикад находятся практически все участники рынка. Крупные ритейлеры следят за ценами и уровнем продаж конкурентов, мелкие воруют друг у друга описания и следят за скидками и акциями.

Попытки запретить роботам получать доступную людям информацию ни к чему не приводят, только осложняют жизнь реальным покупателям в виде неожиданной капчи на корзине и другими идиотскими решениями.

Защититься от парсинга открытых данных невозможно, считает Максим Кульгин, коммерческий директор Xmldatafeed.com. Вопрос только во времени и в квалификации разработчика парсера. Используются прокси с миллионами IP адресов, эмулируются скролл страницы, движение мышью и так далее.

Владельцы сайтов должны понимать — все, что доступно обычному посетителю и поисковику, доступно и роботу-парсеру. И если они считают, что какая-то информация критична для бизнеса, то ее просто нельзя выкладывать. А собрана эта информация одним живым человеком, миллионом живых людей или роботом — дело техники, а не закона.

Александр Лямин, генеральный директор Qrator Labs, считает, что рынок парсинга сейчас проходит процедуру становления, и его объем в России составляет десятки миллионов долларов. Вероятнее всего, как и поисковики, он будет нормирован на законодательном уровне.

Максим Кульгин уточнил, что сейчас парсинг одного крупного сайта интернет-магазина стоит около 10 000 рублей в месяц при заказе в компании, занимающейся парсингом, и может стоить дешевле у фрилансеров.

При этом опыт говорит, что использование здесь фрилансеров — не самое интересное решение, так как они могут конкурировать с компаниями или на мало кому нужных сайтах, или для не совсем законного доступа к информации. И конкурировать фрилансер будет, скорее, с живым человеком, а не компанией, которая может себестоимость парсинга сайта, например Леруа Мерлен, разделить на десятки, а то и сотни клиентов, которых интересуют цены на строительном рынке.

Стоит отметить, что это мероприятие Qrator Labs оказалось интересно не только крутым специалистам по IT безопасности, но и нам. Мы не так хорошо разбираемся в безопасности, а вот мониторингом СМИ занимались довольно плотно, и на наших глазах рынок схлопнулся с десятков компаний только в Москве к фактически до трех на всю Россию.

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

Какие же выводы должны сделать для себя ритейлеры в интернете:

  • Все что доступно посетителю сайта, будет так или иначе собрано и помещено в базу данных, которой могут воспользоваться конкуренты.
  • Для снижения нагрузки на сайты имеет смысл формализировать правила сбора информации, разработать API.
  • Запретить роботизированный сбор данных с сайта невозможно ни на юридическом, ни на программном уровне. Есть решения судов, которые признали такую деятельность законной.

Спасибо компании Qrator Labs за интересное мероприятие и возможность побывать в Rose Bar на Большой Дмитровке. Кстати, если будете там, не ошибитесь — на столах стоят не сахарницы Smile

Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd Qrator-13.11.19, Nikon D850, 101tema.ru, СобытияИМнения, OpinionAboutEvents, Николай Докучаев aka Filberd

 

Автор:  Nikolai Dokuchaev и Anton Novikov

Поделиться в соц. сетях