Сравнительно недавно IP-камеры наблюдения присоединились к легиону IoT-устройств. И сразу получили широкую популярность. Поскольку они дешевле, проще в развертывании, использовании и обслуживании. Однако наряду с очевидными преимуществами возникают потенциальные риски безопасности.

Подобно другим IoT-устройствам или любым другим устройствам, которые передают информацию, IP-камеры могут быть взломаны. В результате можно выделить три следующих последствия:

Во-первых, хакер может получить доступ к той информации, которую записывает камера, а потому он сможет получать изображения и конфиденциальную информацию о компании, при этом никто об этом не будет знать.

Во-вторых, они могут быть взломаны для того, чтобы транслировать поддельную «картинку».

В-третьих, что может быть самым неприятным последствием, подобно другим IoT-устройствам IP-камеры уязвимы перед специальными вредоносными программами. Такие устройства для хакеров не являются, как правило, конечной целью, а служат средством осуществления атаки: через них хакеры могут получить доступ к корпоративной сети всей компании.

Среди подобного типа атак очень опасны Reaper, IoTrooper, Persirai и другие подобные угрозы, которые, по мнению аналитиков, с каждым годом заражают все больше и больше подобных устройств. Последствия? Некоторые из этих ботнетов, такие как Reaper, еще пока не проявили себя во всей красе, в то время как другие уже продемонстрировали свою эффективность в обеспечении доступа к сетям, к которым они подключены, или их использованию для проведения DDoS-атак.

Самый известный случай на текущий момент – это атака против Dyn в октябре 2016 г. Будучи провайдером для таких компаний как Amazon, Netflix и Twitter, DDoS-атака на Dyn парализовала Интернет на несколько часов. И ботнет, который участвовал в атаке (Mirai), состоял не из компьютеров, а из IoT-устройств, среди которых, естественно, было и очень много IP-камер.

Основная проблема с IP-камерами, как и в случае с другими устройствами Интернета вещей, заключается в том, что они не защищены должным образом, т.к. не имеют достаточных возможностей для эффективного шифрования беспроводного соединения или имеют проблемы безопасности при подключении к внешним серверам. В этом, конечно, виноваты производители. Хотя не всегда они могут предложить достаточно высокий уровень безопасности. Потому что наличие серьезных инструментов защиты может существенно повысить себестоимость продукции и значительно сократить их прибыли.

Не существует сети, в которой нет никаких нарушений с точки зрения безопасности. Но возможно обеспечить хорошую безопасность, если использовать правильные средства. В первую очередь, всегда следует выбирать камеры, которые подключены проводом, а не беспроводные аналоги. Потому что это значительно сокращает вероятность нарушения безопасности.

Во-вторых, желательно поддерживать, по возможности, собственный сервер, который управляет данными, поступающими от системы наблюдения. Когда данные дольше находятся под собственным контролем, вероятность инцидента безопасности меньше. Если мы полностью контролируем сеть, а данные не покидают компанию, то выше вероятность того, что все коммуникации будут в безопасности.

Учитывая вышесказанное, крайне важно контролировать трафик во избежание потери данных или внедрения нежелательного вредоносного кода в наши системы. Соответствующие решения позволяют обеспечивать надежный уровень безопасности сети в реальном времени. Нарушения безопасности на IP-камерах могут быть идентифицированы таким же образом, как и любая атака на подключенные корпоративные устройства, поэтому предотвращать такие инциденты вполне реально.

Половина населения Украины находится за пределами банковской системы, а проникновение Интернета и смартфонов едва ли превышает 60% – об этом стоит помнить всякий раз, радуясь подвижкам в развитии современных технологий доступа в Сеть в нашей стране, запуску прогрессивных сервисов вроде Android Pay или становлению первого за много лет достойного конкурента мобильного приложения «Приват24».

Актуальные технологии – это хорошо, когда они решают реальные проблемы жителей страны, а не существуют в параллельной вселенной. Эта нехитрая мысль не оставляла меня в ходе презентации первого каталога украинского рынка финтеха, подготовленного совместными усилиями «Агентства США по международному развитию» (USAID) и парка инноваций UNIT.City. Целью данного проекта является содействие расширению доступа украинцев к финансовым услугам и привлечение инвестиций в соответствующие технологические стартапы.

Детально ознакомиться с результатами исследования (PDF) можно на сайте http://fintech.unit.city/guide2018. Я же далее приведу основные выводы.

• Более 80 украинских компаний активно разрабатывают продукты и сервисы для финансового сектора на основе современных технологий, причем 84% из них уже предоставляют услуги рынку;
• Около 60% этих финтех-стартапов начали работать в последние три года;
• Почти 32% проектов заняты в области платежей и денежных переводов, 19% – технологий и инфраструктуры, 14% – кредитования;
• Более половины (56%) из них сфокусированы на сегменте B2B, причем лишь чуть более трети – на решениях для СМБ;
• Возглавляют такие компании преимущественно (70%) выходцы из банковской сферы. Что, по мнению аналитиков, хорошо. Поскольку способствует поиску технологичных решений действительно актуальных задач;
• Основная бизнес-модель (почти 72%) таких проектов – заработок на комиссии с реализованных товаров или услуг, а также с транзакций;
• 45% финасируются за счет собственных средств основателей. Между тем, около половины ищут внешние инвестиции.

Стоит отметить, что по данным Макса Яковера, СЕО и управляющего партнера UNIT.City, в мире финтех активно развивается последние 10 лет и сейчас это уже многомиллиардный рынок, где есть свои «единороги». Между тем, наиболее актуальны такие проекты именно для стран с развивающейся экономикой и Украина в этом плане имеет неплохие перспективы.

Сегодня компании все больше зависят от ИТ, а некоторые виды бизнеса полностью на них основаны и попросту не могут себе позволить длительных простоев. Это относится к бизнес-приложениям, системам управления производством и логистикой, а также к центрам мониторинга безопасности. При этом предотвратить простои современных сложных систем уже попросту не в человеческих силах.

Недавний опрос в группе пользователей Oracle Applications Users Group показал, что, несмотря на значительный прогресс в автоматизации управления системами, по данным многих клиентов, более 80% ИТ-проблем обнаруживают и сообщают о них сами пользователи. Тем временем количество приложений растет, еще быстрее увеличивается объем данных. Границы между системами становятся все более сложными, особенно это касается облачных и гибридных архитектур.

На основе анализа результатов опроса своих клиентов, Oracle сделала следующий прогноз: к 2020 г. более 80% операций с инфраструктурой приложений будут осуществляться автономно, то есть без участия человека. Это означает не только ежедневное выполнение повседневных задач, включая мониторинг, настройку, устранение неполадок и автоматическое применение исправлений, но также оперативное обнаружение и быстрое устранение проблем. Даже в случае самых сложных проблем машины могут упростить анализ причин, «просеивая» миллионы возможных вариантов для предоставления наиболее простых и вероятных сценариев. И тогда уже люди смогут применить свой опыт, сделать выводы и решить, какие именно действия предпринять.

В процессе опроса, проведённого сторонней компанией по заказу Oracle, группам пользователей задавались вопросы о том, какие действия системные администраторы выполняют ежедневно, еженедельно и ежемесячно, включая смену паролей, перезагрузку системы, установку патчей к ПО и т.п. В Oracle считают, что ИТ-подразделения вскоре на несколько порядков смогут сократить число ситуаций, требующих «ручного» вмешательства. Если в организации ежегодно обычно возникает 20 тыс. ситуаций, для разрешения которых необходимо участие человека, то в будущем их останется всего 20. Остальные будут обрабатываться самими системами: они могут использовать автоматизацию в сочетании с машинным обучением, что позволит анализировать шаблоны и реагировать быстрее, чем системные администраторы, обеспечивая профилактическое техническое обслуживание, оптимизацию производительности и разрешение проблем.

Такие автономные системы, безусловно, изменят роль ИТ-администраторов. Вместо рутинного мониторинга и реагирования на ситуации, требующие немедленного вмешательства, они сфокусируют усилия на решении наиболее сложных проблем, взаимодействии с бизнес-подразделениями для использования новых возможностей, планировании внедрения следующего поколения технологий.

Так же отчет «Cloud Predictions 2018» (PDF) содержит еще ряд прогнозов:

• Управление более 50% всех данных предприятия будет осуществляться автономно;
• Обеспечение безопасности поднимется по приоритету с 10-го места на 1-е;
• Облачные поставщики будут дополнять свои сервисы средствами контроля, размещаемыми локально (on-premise), – иначе они упустят возможность обслуживать критически важные рабочие нагрузки;
• Регулируемые отрасли начнут массовую миграцию в облако;
• Львиная доля новых приложений будет создаваться с использованием микросервисов;
• Искусственный интеллект «прочно укрепится» на предприятиях;
• Большинство взаимодействий служб поддержки с клиентами будет вестись через чат-боты;
• Интернет вещей будет эволюционировать от отдельных компонентов к интегрированным платформам;
• Блокчейн станет новым прорывным стандартом в современной электронной коммерции.

В прошлом году достоянием общественности стали ряд масштабных инцидентов безопасности из которых можно сделать ряд полезных для бизнеса выводов. В частности, что адекватная реакция на инциденты не менее важна, чем их предотвращение и устранение последствий.

Так, стало известно, что компания Uber в конце 2016 г. скрыла факт кражи данных 57 млн. клиентов и, к тому же, заплатила хакерам около 100 тыс. долл. за молчание. В свою очередь Equifax стала жертвой кибер-преступников, которые воспользовавшись дырой безопасности в веб-приложении компании для кражи информации о 143 млн. ее пользователей.

Отказ от своевременного уведомления пользователей о взломе привел к некоторым юридическим последствиям для Uber (помимо суммы выкупа), а в случае с Equifax непоследовательные заявления представителей компании продемонстрировали непрофессиональный подход и нанесли серьезный урон репутации.

Чтобы избежать подобных ситуаций, важно, чтобы обновления безопасности были частью бизнес-стратегии компании, как и уведомление об инцидентах соответствующих органов, которое, хоть и неприятно, но должно быть первым шагом после случившегося.

Кроме того, пример Uber показал, что обмен регистрационными данными через код – не такая уж хорошая идея. Хакеры в итоге получили доступ к серверам компании благодаря коду, который разработчики Uber опубликовали на Github.

Далеко не все угрозы проистекают от вредоносного ПО. Злоумышленники могут также использовать вполне легальные утилиты, чтобы проникнуть в сеть предприятия и начать выдавать себя за администратора. Такие атаки, безусловно, останутся в «тренде», а для их выявления необходимо использовать усовершенствованные инструменты мониторинга в сочетании с методами Threat Hunting, основанными на поведении пользователя.

Прошлый год показал, что даже сложные пароли, которые сочетали в себе прописные и строчные буквы, цифры и специальные символы, нередко могут быть подобраны злоумышленниками. Поэтому Национальный Институт Стандартов и Технологий (NIST) пересмотрел подходы к созданию паролей и теперь рекомендует использовать составные предложения со случайными словами. Такой пароль будет достаточно длинным и сложным в подборе. При этом пользователю его легко запомнить.

Количество вредоносных программ растет экспоненциально. К примеру, в прошлом году компания PandaLabs зарегистрировала свыше 15 млн. новых вредоносов. Но лишь малая их часть получила широкое распространение. Т.е. большинство образцов имеет очень ограниченное распространение и всегда пытается оставаться незамеченными. Поэтому для защиты важно выбрать современную платформу с функциями расширенной информационной безопасности для распознавания атак и реагирования на них в режиме реального времени.

Уже упоминавшаяся атака на Equifax началась в мае 2017 г. и основывалась на уязвимости, которая была обнаружена еще в марте. Потому патчи стоит устанавливать максимально оперативно, пока злоумышленники не воспользовались известной уязвимостью.

Системы, решения и устройства, используемые в компании, но которые никогда не были разрешены ее ИТ-специалистами, известны как «теневое ИТ». Они представляют собой своеобразную «черную дыру» для корпоративной системы безопасности, т.к. очень сложно защитить то, о существовании чего не известно. По данным исследования EMC, ежегодные потери от «теневого ИТ» достигают 1,7 трлн. долл. Таким образом, необходимо разрабатывать приемлемые политики, которые бы удовлетворяли потребности сотрудников, ограждая их от соблазна использовать несанкционированные решения. Повышение осведомленности по вопросам безопасности и анализ того, почему сотрудники переходят на приложения и утилиты, запрещенные в компании, могут даже помочь усовершенствовать рабочие процессы.

Количество внешних угроз продолжает увеличиваться, поэтому важно сделать правильные выводы из предыдущего опыта.

Ежедневно в мире создаются сотни тысяч вредоносных программ. Причем лишь ничтожный процент охватывает более 1 тыс. компьютеров. Это позволяет снизить риск обнаружения, повысить шансы на успех и максимизировать прибыль… Специалисты компании Panda Security представили ежегодный отчет, где делятся своим видением ситуации в области информационной безопасности.

В прошлом году эксперты PandaLabs проанализировали и нейтрализовали около 75 млн. вредоносных файлов, что эквивалентно примерно 285 тыс. новых образцов в день. Очевидно, что в целом существует гораздо больше вредоносов, каждый из которых атакует небольшое количество устройств.

Из примерно 15 млн. вредоносных программ (PE-файлы), впервые обнаруженных в 2017 г., 99.10% попадали в поле зрения лишь однажды. С другой стороны, только 989 вредоносных файлов (0,01%) были замечены более чем на 1000 компьютеров, т.е. получили сколь-нибудь широкое распространение.

За редкими исключениями (такими как WannaCry или HackCCleaner) большинство вредоносных программ меняется при каждом заражении, а потому каждая их копия имеет очень ограниченное распространение.

Скрытые атаки с адаптивными горизонтальными перемещениями становятся весьма распространенным явлением. Злоумышленники все чаще стали осуществлять атаки вовсе без использования вредоносных программ. Они предпочитают оставаться незамеченными для традиционных моделей защиты, не требуя взаимодействия с жертвой. При удачном стечении обстоятельств такие атаки способны удвоить получаемую прибыль.

В 2018 г. специалисты ожидают увеличения числа изолированных атак, как против государственных структур, так и в корпоративном секторе. Хакеры на службе у тех, кто больше платит, рост числа подставных операций (false flag), рост общего числа жертв – вот, что ждет нас в наступившем году.

Увеличится число атак с использованием невредоносных инструментов или скомпрометированного легального ПО.

Вредоносные программы для мобильных устройств и Интернета вещей продолжат свое развитие. В целом, IoT-устройства как таковые не являются для кибер-преступников конечными целями. Но благодаря их компрометации, такие устройства увеличивают площадь атаки и используются в качестве шлюза для проникновения в корпоративную сеть.

Без сомнения продолжат совершенствоваться шифровальщики. Пока это наиболее простой способ монетизации успешной кибератаки.

Также расширится использование криптовалют, в результате чего мы увидим рост кибер-преступности, связанной с ними: заражение компьютеров для майнинга криптовалют, кража цифровых кошельков и пр.

Будет расти количество фейковых новостей, учитывая огромный потенциал их влияния на общественное мнение. Крупнейшая социальная сеть в мире Facebook намерена предпринимать соответствующие контрмеры. Однако реальная их эффективность пока неизвестна.

В текущей ситуации приоритетом для всех компаний должно стать регулярное обновление ПО и средств безопасности. Такие случаи как WannaCry лишь подтверждают это, поскольку каждый день без обновления уязвимой системы подвергает риску всю компанию, а также целостность ее данных, включая сведения об ее клиентах и поставщиках. Под угрозу может быть поставлено производство, что чревато серьезными убытками.

Наличие глубоких знаний об атаках и о том, из чего они состоят, должно стать основой для хорошей стратегии защиты. Инструменты машинного обучения и анализ специалистами служб Threat Hunting также имеют важное значение для предотвращения будущих вторжений и выявления уже свершившихся.

Переход на цифровые технологии происходит повсеместно, и от этого никуда не деться. Это необходимый и естественный шаг в развитии общества. Поэтому подходы к защите информации также должны постоянно эволюционировать. Сегодня для кражи учетных данных злоумышленники чаще всего используют фишинговые рассылки.

Техники социальной инженерии не новы. Они применялись задолго до появления современных широкополосных каналов связи. Разве что таких злоумышленников раньше называли не хакерами, а просто мошенниками.

Многие хакерские группы – это по сути просто современные мошенники. Они используют традиционные мошеннические приемы, только уже в цифровом мире. Они предпочитают такой способ действий потому, что отправить фишинговое электронное письмо гораздо проще, чем найти новую брешь или уязвимость, открывающую доступ к критически важным элементам инфраструктуры.

По данным отчета компании Verizon о расследованиях краж данных в 2016 г., пользователи открыли 30% фишинговых электронных писем. Типичный пользователь уже через 40 с после получения письма открывал его, а еще через 45 с открывал и вредоносное вложение. 89% всех фишинговых писем были отправлены организованными киберпреступными группами, а за 9% стояли государственные структуры.

Отчет Verizon о кражах данных за 2016 г.

Самым слабым звеном остаются люди. Нередко фишинговые письма так хорошо замаскированы, что типичный пользователь не может отличить поддельное письмо от настоящего. Причем для его подготовки может потребоваться всего несколько минут.

Сначала злоумышленники изучают социальные и профессиональные сети, собирая как можно больше информации о жертве. Интерес могут представлять организационные диаграммы, образцы корпоративных документов, шаблоны заголовков электронных писем, фотографии нагрудных значков сотрудников и тому подобное.

Существуют специальные инструменты, позволяющие получить максимум полезной информации из открытых источников или украденных баз данных. Кроме того, злоумышленник может купить необходимую информацию на цифровом «черном рынке» (darknet). Например, миллион скомпрометированных электронных адресов и паролей можно купить примерно за $25, банковские учетные записи – по доллару за штуку, а номера социального страхования вместе с данными для верификации по дате рождения – примерно по $3.

После сбора данных злоумышленник подготавливает шаблон электронного письма, похожего на то, что ожидает увидеть получатель (например, запрос на восстановление пароля), и отправляет его жертве.

Этапы фишинговой атаки:

1. Злоумышленник создает целевые фишинговые письма и рассылает их жертвам;
2. Сотрудник компании открывает фишинговое письмо, предоставляя злоумышленнику возможность выполнить вредоносный код или скомпрометировать учетные данные пользователя;
3. Рабочая станция скомпрометирована, злоумышленник запускает на ней вредоносное ПО и собирает учетные данные;
4. Злоумышленник использует украденные учетные данные для дальнейшего проникновения в корпоративную сеть, для получения доступа к ключевым элементам инфраструктуры и их компрометации;
5. Злоумышленник крадет личные данные пользователей и другую ценную информацию.

Сегодня, когда порог вхождения в сферу кибератак очень низок, вопросы кибербезопасности должны решаться на уровне руководителей компании. Организации должны отойти от прежней установки «у нас есть брандмауэр, антивирус и средства шифрования диска, так что мы защищены» к новой «кибератаки неизбежны, поэтому мы не можем ограничиваться исключительно построением преград, нам нужны еще и средства быстрого обнаружения и реагирования». Ключевой момент – исходить из того, что прорыв защиты или уже произошел, или обязательно произойдет – это лишь вопрос времени. Размер и сфера деятельности организации не имеет значения; сегодня у каждой компании есть данные, представляющие интерес для злоумышленников, а иногда и для других государств.

В современном мире жизненно важен последовательный подход к обеспечению информационной безопасности. Он включает правильные процедуры реагирования на инциденты, а также технологии для защиты от кибератак, их обнаружения и реагирования. И наконец, готовность ИТ-специалистов и пользователей.

Встроенные возможности многих современных продуктов, таких, например, как Microsoft Enterprise Mobility + Security, Windows 10, Office 365 и Microsoft Azure позволяют организациям противостоять таким атакам. Главное трезво оценивать важность проблемы и правильно использовать имеющийся инструментарий.

Свой отчет о трендах информационной безопасности, которые с высокой вероятностью будут определять развитие мирового киберландшафта в наступившем году, представила (PDF) компания ESET. В числе прочего аналитики ожидают усиление кибератак на критическую инфраструктуру и системы электронного голосования.

Эксперты ESET прогнозировали в 2017 г. рост ущерба от киберугроз, включая программы-вымогатели, и новые атаки на критическую инфраструктуру. Прогнозы сбылись – массовые эпидемии шифраторов Wannacry, Petya и Bad Rabbit нанесли значительный ущерб компаниям, вызвав широкий общественный резонанс.

На фоне повышения осведомленности частных и корпоративных пользователей в 2018 г. ожидается дальнейший рост числа и сложности кибератак. Хакеры будут использовать «классические» инструменты компрометации, а также продолжат поиски новых эффективных схем.

Специалисты прогнозируют новые атаки на объекты критической инфраструктуры. В 2017 г. одной из наиболее серьезных угроз для промышленных систем управления стала вредоносная программа Industroyer, предположительно послужившая причиной сбоя энергоснабжения в Киеве. Однако атаки могут затронуть не только энергетику – в числе потенциальных целей оборонный сектор, системы транспорта и водоснабжения, здравоохранение и производство.

Корпорации работают в условиях повышенного риска кибератак и инвестируют в защиту. Как следствие, в текущем году хакеры перейдут к атакам на цепи поставок – на малые и средние предприятия, поставляющие товары и сервисы крупным компаниям. Например, в 2017 г. успешный взлом сервера обновления популярного бухгалтерского ПО M.E.Doc привел к массовой эпидемии шифратора Petya.

Одна из сравнительно новых проблем кибербезопасности – вмешательство хакеров в избирательный процесс, угрожающее легитимности выборов. По мнению экспертов, снизить риски электронной демократии позволят гибридные системы, использующие как цифровые, так и традиционные записи.

Аналитики полагают, что в 2018 г. возможны кибератаки, выполненные с помощью устройств интернета вещей. «Умные» устройства подвержены взлому и могут быть использованы в качестве инструментов злоумышленников. Сохраняет актуальность угроза появления новых «ботнетов вещей».

Улучшить ситуацию в области кибербезопасности позволит расширение сотрудничества правоохранительных органов и коммерческих компаний. Так, в 2017 г. совместный проект ряда организаций позволил ликвидировать крупнейший ботнет Gamarue. В 2018 г. ожидаются новые успешные расследования, что, в конечном итоге, приведет к снижению числа активных киберпреступников.

После многих лет ожидания, похоже, Dropbox готовится к выходу на биржу. Согласно информации Bloomberg, компания конфиденциально подала документы для первичного публичного размещения своих акций.

Последний раунд инвестирования этот стартап проходил три года назад, тогда, в 2014 г., сервис оценили в 10 млрд долл. Причем в Dropbox, который был основан в 2007 г. венчурные фонды, среди которых Sequoia Capital и Accel Partners, суммарно уже вложили около 600 млн. долл.

За прошедшие три года ситуация на рынке облачных хранилищ данных значительно изменилась, и конкуренция обострилась – тут и Amazon, и Google, и Microsoft и еще несколько десятков небольших сервисов. Хотя по заявлению руководителей Dropbox, им удалось найти свою нишу – корпоративные заказчики – и нарастить годовой оборот до 1 млрд долл.

Наблюдатели полагают, что в нынешней ситуации оценка Dropbox вполне может оказаться и ниже 10 млрд. Именно это подталкивает владельцев стартапа спешить с выходом на IPO. Кроме того, как отмечают аналитики, статус публичной компании может поднять уровнять доверия среди клиентов в корпоративном сегменте.

Ежегодно исследователи в области информационной безопасности публикуют мало изменяющиеся антирейтинги наиболее распространенных паролей. Можно бесконечно недоумевать относительно примитивности последних и безалаберности пользователей. Между тем, очевидно, что люди в массе своей не любят возни с паролями и мечтают избавиться от них.

И, похоже, в перспективе усилиями разработчиков это станет возможным более надежным способом, чем 123456. Во всяком случае, как сообщает Брет Арсено (Bret Arsenault), директор по защите информации Microsoft, корпорация инвестирует в данное направление миллиарды долларов, а система биометрической аутентификации Windows Hello, использующая, в том числе распознавание лиц, стала стандартом для 125 тыс. ее сотрудников. Большинство из них уже регистрируются на своих компьютерах, применяя Windows Hello for Business вместо символьных паролей.

Как справедливо констатирует Арсено, десятилетиями индустрия фактически была сосредоточена на безопасности устройств, и вот теперь лучшие умы сосредоточились на обеспечении безопасности пользователей. Пароли были созданы для мира устройств и систем. Между тем, современный уровень развития технологий позволяет предложить массовому рынку более удобные способы проверки личности человека в реальном времени.

Мы довольно быстро привыкли как к чему-то будничному к аутентификации по отпечатку пальца, а инженеры уже вовсю трудятся над тем, чтобы сделать сам датчик невидимым. Последняя мода в области биометрии – распознавание лица. И хотя в этом направлении еще есть над чем поработать. Так, после выхода на массовый рынок Apple Face ID, к примеру, стали появляться сообщения что технология порой не может отличить мать от сына, а иногда и незнакомых людей. Однако это скорее болезни роста, чем непреодолимое препятствие. Исправят.

Остается также открытым вопрос надежности. Уже известны и апробированы методы обхода биометрической защиты. И отпечаток пальца при желании можно подделать и инфракрасную камеру обмануть. А недавние скандалы с уязвимостями процессоров Intel и модулей TPM (Trusted Platform Module) показывают, что взлом систем возможен и на базовом уровне. Безопасность стремительно превращается в иллюзию даже для государственных структур и крупных корпораций, не говоря уже о рядовых потребителях. Скомпрометированный пароль можно заменить, а вот что делать с «украденным» лицом?

Тем не менее, преодоление биометрической защиты – несравнимо сложнее, чем заполучить символьный пароль. А главное, для потребителей она гораздо удобнее и проще. Недаром, по оценкам Microsoft, уже около 70% пользователей Windows 10 на устройствах с биометрическими датчиками предпочитают Windows Hello традиционным паролями.

Технологии усовершенствуют, а со временем они подешевеют и станут доступны в массовом бюджетном сегменте. Безусловно, остается вопрос огромного парка вычислительных устройств предыдущих поколений, а также силы привычки. Поэтому думается до полного отказа от паролей пройдет еще немало лет. Между тем, общий тренд очевиден и есть надежда, что традиционные символьные пароли таки станут анахронизмом.

Корпорация Oracle представила результаты глобального исследования покупательских предпочтений в электронной торговле, в рамках которого были опрошены свыше 15 тыс. потребителей в четырех ключевых регионах: EMEA (Франция, Германия, Италия, Индия, Испания, Швеция, Великобритания), Северная Америка (Канада, США), Латинская Америка (Бразилия, Чили, Колумбия, Мексика) и JAPAC (Австралия, Китай). Им были заданы вопросы относительно их покупательских предпочтений и установок. Результаты исследования опубликованы в отчете «Розничная торговля в четырех измерениях: осмысление поведения потребителей в эпоху релятивизма» (Retail in 4 Dimensions: Understanding Consumer Behavior in an Age of Relativity).

В исследовании были выделены три характерных типа потребительского поведения и перечислены выявленные возможности, которыми могут воспользоваться розничные компании для идентификации потребительского опыта посредством персонализации, мобильных платежей, автоматического пополнения и виртуальной реальности. Исследование показывает, что в глобальной омниканальной среде укрепились предпочтения потребителей в отношении доставки, возврата товаров и самообслуживания, сформировавшиеся в ходе практики электронной торговли.

Отчет отмечает, что, поскольку цифровые инновации продолжают радикально перестраивать розничную торговлю, по всему миру появляются три макро-тенденции потребительского поведения: потребитель, полностью использующий преимущества омниканальной модели, основанной на сочетании цифровых и физических точек взаимодействия; «подкованный» покупатель, ищущий новые передовые высокотехнологичные способы покупки; и «охотник» за выгодной покупкой, ищущий наилучшее соотношение цены и качества.

«Кочевник» – сообразительный покупатель, не отличающийся приверженностью какому-либо бренду или каналу, который, прежде чем совершит покупку, проверит множество способов изучения и поиска товаров.

По данным исследования:

• 42% потребителей еженедельно совершают покупки как в Интернете, так и традиционных магазинах;
• 73% хотят иметь возможность вернуть товары, купленные через Интернет, в розничный магазин;
• 55% хотят, находясь в магазине, узнать о наличии товаров с помощью мобильного устройства.

«Игрок» использует технологии для того, чтобы поддерживать и направлять процесс покупки; он ищет бренды, которые по-новому выстраивают цикл взаимодействия с клиентом.

По данным исследования:

• 44% семей отметили важность наличия виртуального консультанта-продавца;
• 35% одобряют идею доставки товаров дронами или беспилотными автомобилями практически в реальном времени;
• 43% нравится идея 3D-печати на заказ.

«Дилер», чье покупательское поведение определяется жаждой острых ощущений победы и скидок.

По данным исследования:

• 84% респондентов называют самым важным аспектом процесса покупки, прежде всего, конкурентное ценообразование и рекламные акции;
• 65% отмечают, что самым важным для них при совершении покупок являются персонализированные предложения и рекламные акции;
• 50% хотят в реальном времени получать онлайн-предложения по тем товарам, которые они просматривают в браузере в данный момент.

Кроме того, в исследовании Retail in 4 D: Understanding Consumer Behavior in an Age of Relativity обозначены шесть ключевых тенденций относительно инноваций в ритейле.

Управление персонализацией и конфиденциальностью:

• 67% потребителей заявили, что не хотят создавать учетную запись для платежей в онлайн-магазинах, при этом 57% хотят иметь возможность немедленной оплаты «в один клик», что возможно осуществить только посредством создания платежного профиля;
• 29% назвали бы неприятными предложения, основанные на данных из социальных сетей;
• 52% хотят получать в магазине персонализированные предложения, сформированные на основе их персональных данных из профиля участника программы лояльности магазина.

Модный сегмент определяет трафик в магазинах и персонализацию:

• 83% потребителей указали, что они посещают магазины не реже раза в неделю; в сегменте моды 7% респондентов ходят в магазин ежедневно, а 22% – несколько раз в неделю;
• 50% респондентов поколения Y (родившихся в 1980-2000 гг.) и поколения X (предыдущего) считают весьма привлекательной возможность индивидуальной 3D-печати;
• 40% потребителей просматривают или покупают модные товары через Интернет не реже раза в неделю.

Более быстрые, «умные» платежи и самообслуживание:

• 56% считают важным наличие устройств самообслуживания для оплаты покупок;
• Для большинства представителей поколения Y важно наличие возможности искать и резервировать товары, чтобы забрать их магазине в тот же (65%) и на следующий день (58%);
• 60% предпочитают оплату с мобильных устройств в магазине, особенно эти предпочтения характерны для поколения Y (67%) и предшествующего ему.

Упрощенная процедура возврата:

• 82% респондентов хотят иметь возможность возврата онлайн-покупки с бесплатной доставкой;
• 34% потребителей хотят, чтобы возврат покупки был возможен в течение периода, превышающего 30 дней;
• 70% потребителей хотят, чтобы все покупки доставлялись бесплатно в течение двух дней.

Автоматическое пополнение и рекомендации по продуктам питания:

• 48% респондентов считают, что автоматическое пополнение запасов продуктов через Интернет приобретет для них важное значение в будущем;
• 33% опрошенных было бы неприятно получать продукты, ассортимент которых супермаркет определял бы сам на основе информации о ранее совершенных покупках, а также социальных данных и данных об окружающей среде;
• 40% считают, что было бы «классно», если бы супермаркеты использовали технологии, позволяющие бесплатно «предлагать» список покупок.

Возможности для применения новых технологий:

• 48% потребителей хотят использовать виртуальную реальность, чтобы осуществлять персонализированный поиск в магазине и получать выбранные товары с доставкой на дом, а 48% будут использовать виртуальную реальность для подбора одежды, которую потом можно будет забрать в магазине;
• 39% считают, что помощь консультанта-робота была бы «неприятной», и это мнение разделяют все возрастные группы;
• Представители поколения Y (4%) и семьи (43%) продемонстрировали наибольший интерес к доставке дронами или беспилотными автомобилями.