суббота, 26 октября 2019 г.

Большие данные в управлении отелем: использовать нельзя игнорировать


source

Близится сезон долгожданный сезон отпусков, и многие уже выбрали для себя то самое желанное туристическое направление, которое давало силы месяцами продираться сквозь дебри дедлайнов и овертаймов. Вот уже совсем близко заветное «путешествие мечты», о котором так приятно будет потом вспоминать осенними и зимними вечерами.

При выборе отпускного жилья многие, наверняка, будут пользоваться системой Booking.com. В статье предлагается взглянуть на систему Booking.com «с другой стороны интерфейса», глазами тех, кто управляет отелем и устанавливает цены на проживание. Конкретней, рассмотрены средства Booking.com Analytics и возможности применения полученных данных для управления продажами в отеле. В качестве примера, приведены кейсы для мини-отеля, находящегося в Камбодже, которым мне выпала честь и удовольствие управлять.

Почему Камбоджа?




В качестве небольшого вступления, постараюсь объяснить, почему отель моей мечты оказался в Камбодже. Самое главное – это лояльные условия ведения бизнеса в этой стране. Сегодня это единственная страна в Азии, в которой иностранец может легально оформить бизнес на свое имя, и при этом безвыездно находиться на территории Камбоджи неограниченное время по бизнес визе. Стоимость ВСЕХ разрешительных документов на мини-отель, например, составляет около 400 долларов США в год (включая лицензию министерства коммерции, лицензию местной мэрии, налоговый патент и индивидуальное разрешение на работу в стране). При оформлении перечисленных документов особенных трудностей не возникает, а при проверках бизнеса государственными органами наличие разрешительных документов является необходимым и достаточным условием для избегания любого рода вымогательства.

Дополнительные плюшки – это все прелести жизни в Азии. Демократичные цены, неагрессивное население, море и красивая природа, теплый климат, в том числе, достаточно мягкий муссонный период, круглогодичные свежие фрукты, овощи и морепродукты, «простая жизнь», не требующая оплаты отопления, инвестиций в зимнюю или брендовую одежду и обувь, в ремонт квартиры, в дорогие авто и прочие атрибуты «успешной жизни».

Есть и минусы: «дураки и дороги», дорогое электричество (0,20$ за киловатт-час), практически полное отсутствие медицины и других инфраструктурных моментов (проблемы с работой полиции, пожарных служб, системы образования, коммунальных служб и т.д.), проблемы с мусором (впрочем, это характерно для многих азиатских стран, а в периоды «мусорных войн», и для европейских).

На хабре есть несколько статей (тыц и тыц), объективно, на мой взгляд, отражающих состояние дел и условия жизни в Камбодже, поэтому, не буду дальше развивать эту тему.
Итак, Камбоджа, курортный городок Кеп, отель Chateau Puss in Boots, 2019 год.

Вводные ремарки и ограничения


Для продаж на данный момент мы используем только Booking.com и AirB&B. Можно много говорить о преимуществах и недостатках этих и других сервисов, но в данном случае важно то, что с этих сервисов к нам заходили и заходят клиенты, а с других – нет. До Кепа у нас с женой был отель в Сиануквиле, а еще раньше – в Морджиме, в Гоа, и там по каналам продаж была такая же картина. На AirB&B аналитика пока находится в зачаточном состоянии, поэтому рассматривается только Booking.com. И здесь у нас есть только один основной рычаг управления продажами – это цена номера за сутки проживания.

Конечно же, на продажи влияют и другие факторы. Например, рейтинг, составляемый по результатам отзывов гостей. Статистика по рейтингу присутствует в аналитике Booking.com, и мы ее рассмотрим чуть ниже.

Многое зависит от туристической конъюнктуры места. Кеп, например, это небольшой поселок со среднеразвитой курортной инфраструктурой. Для многих это всего лишь транзитный пункт на границе между Камбоджой и Вьетнамом. Однако, энергетика колониальной французской ривьеры, море и острова, горы и пещеры, пагоды и национальные парки делают свое дело, и постоянный поток туристов в сезон достаточно уверенно наполняет местные отели.

Важный момент, влияющий на продажи, – это концепция и «фишки» отеля, которые помогают клиенту сделать правильный выбор и стимулируют интуитивное «узнавание» места, где ему было бы комфортно. Вопрос этот связан с целеполаганием, миссией и мировоззрением собственника бизнеса и выходит за рамки данной статьи.

Кроме того, необходимо ввести несколько важных допущений для понимания ограничений проведенного исследования:

  • речь пойдет именно о частном мини-отеле (среди найденных мной определений указывается, что в мини-отеле может быть до 15 номеров), в котором нет корпоративных процедур, и все упрощено до предела с целью снизить накладные расходы; поэтому, вся операционная деятельность сосредоточена в руках владельцев без участия каких-либо структурных подразделений; у нас, например, в отеле работает лишь уборщица, все остальное мы с женой делаем сами с аутсорсом только сложных ремонтных и строительных работ; если надо отлучиться на 1-2 дня, то есть договоренность с приходящим администратором;
  • не рассматривается структура цены за номер, расходная часть и дополнительные возможности заработка (бар и ресторан, аренда велосипедов и мотобайков, продажа билетов и экскурсий и т.п.),
  • не рассматривается общий подход к управлению отелем; впрочем, это интересный фреймворк, о котором я писал в несколько другом формате; если тема вызовет интерес, я также сделаю пост на хабре по теме менеджмента в мини-отеле.

Функционал Booking.com Analytics


Booking.com Analytics был запущен в 2016 г., как инструмент, помогающий менеджерам отелей анализировать статистику бронирований и продаж. В системе поддерживается русифицированный интерфейс, но, на мой взгляд, важно обращаться к первоисточнику, чтобы не искажать базовую терминологию.

Booking.com Analytics включает следующие разделы:

  • Analytics Dashboard агрегирует данные для обзора достигнутых показателей, включая количество забронированных ночей по категориям номерах, доход от номера (общая сумма, выплаченная гостями) и среднесуточную стоимость (Average Daily Rate, ADR), представляющую собой доход от номера, разделенный на количество оплаченных суток проживания; также Analytics Dashboard содержит ссылки на основные отчеты, кратко обсуждаемые ниже;
  • Pace Report позволяет сравнить объем своих продаж на Booking.com с аналогичными периодами предыдущего года, а также, сравнить продажи с агрегированными данными по своим конкурентам;
  • Sales Statistics предоставляет срез объемов продаж за любой период последнего года;
  • Booker Insights предоставляет подробные сведения о гостях отеля, включая страну, устройство, используемое для бронирования, и цель поездки;
  • Bookwindow Information показывает, насколько заранее клиенты Booking.com бронируют свои номера;
  • Cancelation Characteristics содержит информацию о проценте отмененных бронирований;
  • Guest Review Score содержит данные, касающиеся отзывов гостей об отеле и оценок отеля по 10-бальной шкале, выставленных гостями;
  • Manage Competitive Set позволяет выбрать до десяти отелей в своем регионе, чтобы сравнить собственные ключевые показатели эффективности (Key Performance Indicator, KPI) с KPI ближайших конкурентов;
  • Genius Report показывает процент бронирований, выполненных в соответствии с программой Genius (скидки для часто путешествующих);
  • Ranking Dashboard демонстрирует, насколько эффективны продажи отеля, когда гости ищут жилье в данном регионе.

Для анализа данных могут быть выбраны диапазоны дат, составляющие 7, 14, 30, 60, 90 или 365 дней. Кроме того существуют дополнительные возможности анализа данных путем сравнения:

  • собственных результатов с показателями прошлого года;
  • собственных результатов с показателями группы конкурентов, включающей до десяти отелей, назначаемых по собственному выбору;
  • собственных результатов с показателями рынка, включающего все объекты в пункте размещения отеля.

Примеры использования больших данных в Booking.com Analytics


Данный раздел не претендует на какие-либо обобщения, тем более, что картина, может меняться из месяца в месяц. Это просто примеры использования встроенных средств Booking.com Analytics.

Например, в Booker Insights можно посмотреть статистику по странам, туристы из которых бронируют номера в отелях. Национальные особенности туристов – это отдельная тема, обсуждать которую можно очень долго. Поэтому, и статистика по странам тоже довольно увлекательна. У каждой страны есть свои предпочтения, и это сказывается на распределении целевой аудитории отеля. Хотя, порой бывают неожиданные статистические выбросы. Например, в разгар туристического сезона мы получили такую картину. Более ярким цветом выделен наш отель, а более бледным – ситуация по рынку.


Данные Booking.com Analytics: Распределение гостей отеля по странам

Туристы из Камбоджи и Франции представляют около 50% туристического рынка в Кепе, однако, в на нашем отеле они составили только 15% и 14% соответственно. Это можно объяснить консерватизмом камбоджийских туристов, которые любят останавливаться в отелях, управляемых камбоджийскими владельцами. То же самое объясняет низкий процент французских туристов, многие из которых плохо говорят либо вовсе не говорят по-английски. Российским туристам также нравится, когда персонал отеля говорит по-русски, и это объясняет, почему они составляют более 10% гостей против 1,4% по рынку. Что касается новозеландских (10% бронирований в нашем отеле против 0,6% по рынку) и швейцарских (8,7% бронирований в нашем отеле против 2,4% по рынку) туристов, то более высокий процент можно объяснить хорошим соотношением цены и качества, поскольку туристы из этих стран консервативны с точки зрения избегания излишних затрат. Подробный отчет Booker Insights содержит также информацию, разделенную по странам относительно средней суточной цены номера, средней продолжительности пребывания и частоты отмены бронирований. Эти данные важны для прогноза поведения туристов в зависимости от страны. Например, гости из Камбоджи чаще всего отменяют бронирования.

На следующей диаграмме из раздела Bookwindow Information представлена информация о распределении величины окна бронирования, т.е. за сколько дней до заезда гости бронируют номера.


Данные Booking.com Analytics: Распределение величины окна бронирования

Большое окно бронирования предоставляет больше возможностей с точки зрения определения суточной стоимости номера. Кроме того, стоимость номера должна учитывать локальные и глобальные праздники, чтобы заблаговременно установить праздничные цены. Статистика говорит, что лишь немногие гости бронируют номер за срок более, чем 30 дней. Более того, около 70% всех бронирований были сделаны непосредственно перед заездом. Это не очень хорошо, так как возрастает риск того, что номера останутся незаполненными, и, кроме того, требуется более тщательная настройка суточной стоимости номера для фактической даты.

Важным показателем, влияющим на любой гостиничный бизнес, является процент отмены бронирований, данные по которому доступны в разделе Cancelation Characteristics (см. диаграмму ниже). Здесь также в верхней части каждой из полос более ярким цветом выделен наш отель, а более бледным – ситуация по рынку.


Данные Booking.com Analytics: Распределение частоты отмен бронирования

Отмена в последнюю минуту, как правило, вызывает стресс, поскольку существенно уменьшает окно бронирования и увеличивает риск того, что отмененная комната не будет распродана. К сожалению, для анализируемого примера у нас отменялось 34% бронирований, в то время как коэффициент отмены для рассматриваемого рынка составляет 28%. Большая часть отмен объясняется окном бронирования более одного месяца. Сложно разработать эффективную стратегию уменьшения числа отмен. Люди часто меняют планы, или они могут обнаружить, что предложение какого-то другого отеля является для них более привлекательным. Мы пытаемся общаться с гостем, как только мы получаем бронирование, но эта стратегия, также, не всегда успешна.

Гостиничный бизнес сильно зависит от репутации, которая на Booking.com определяется на основании отзывов гостей. Оценка выставляется в диапазоне от 2,5 до 10 для следующих характеристик отеля: чистота, комфорт, расположение, удобства, персонал и соотношение цены и качества. Раздел Guest Review Score содержит детали каждого из отзывов, а также представляет агрегированные значения рейтинга отеля. На диаграмме представлены данные о количестве отзывов, полученных в каждом из месяцев, а на графике показано итоговое значение рейтинга по результатам каждого из месяцев. Результаты нашего отеля (более яркий график и гистограмма) сравниваются со средними результатами десяти ближайших конкурентов.


Данные Booking.com Analytics: Рейтинг отеля по результатам отзывов гостей

Booking.com поддерживает программу лояльности Genius. Зарегистрированные пользователи Genius на Booking.com получают скидки на бронирование от 10% и более. Чтобы привлечь путешественников Genius, отель должен поддержать эту программу. Проблема для отеля состоит в том, что снижение цены происходит исключительно за счет снижения собственных доходов. Это означает, что цена для гостей со статусом Genius составляет всего 90% (иногда даже 85%) от заявленной суточной стоимости номера на Booking.com. С другой стороны, многие пользователи Booking.com участвуют в программе Genius, и эти пользователи ценят, когда отель поддерживает программу. Таким образом, участие отеля в программе Genius может увеличить общий доход отеля, несмотря на то, что суточная стоимость номера уменьшается. Важно помнить, что суточная стоимость номера должна учитывать риск снижения стоимости номера на 10% или 15% для гостей Genius. Гости Genius составляют более 50% всех клиентов, что демонстрирует эффективность участия отеля в программе. Данная информация доступна в разделе Genius Report.


Данные Booking.com Analytics: Соотношение бронирований по программе Genius

Интегральные данные по деятельности отеля доступны в разделе Ranking Dashboard, где представлен ряд показателей, влияющих, по мнению Booking.com, на показатель дохода отеля.

Данные приводятся в сравнении между нашим отелем и средним результатом по рынку:

  • Conversion (конверсия) – это процент просмотров страниц отеля, конвертированных в бронирование (отношение количества бронирований к количеству просмотров страницы отеля на Booking.com);
  • Average Daily Rate (средняя цена за сутки проживания), объединенный доход, полученный от проданных номеров, деленный на количество проданных номеров;
  • Cancelations (отмены бронирований) показывают процент всех бронирований, которые были отменены;
  • Review Score (оценка гостей) рассчитывается с использованием оценок, выставленных отелю гостями;
  • Property Page Score (оценка страницы отеля) показывает, насколько заполнена страница отеля в части информации и фотографий;
  • Reply Score (оценка ответов) учитывает, насколько быстро отель отвечает гостям.

Принимая во внимание вышеупомянутые шесть факторов, которые могут повлиять на объем доходов отеля, имеет смысл рассмотреть соответствующие зависимости. Однако, часть показателей (отмены бронирований, оценка гостей, оценка страницы отеля, оценка ответов) могут лишь косвенно влиять на доход. Поэтому, невозможно найти зависимости между доходом отеля и косвенными факторами. Перспективными, с точки зрения анализа больших данных, являются процент конверсии и суточная цена номера. В следующем разделе мы рассмотрим гипотезы, связанные с зависимостями дохода от конверсии и суточной цены.

Гипотезы для управления ценой номера на основании больших данных


Итак, при помощи Booking.com Analytics нам доступны большие данные отражающие состояние продаж в отеле. Хотелось бы понять, как использование этих данных может помочь при формировании оптимальной цены за номер.

Экономическая наука говорит о том, что есть кривые спроса и предложения, а следовательно, некая оптимальная цена, позволяющая извлечь максимум прибыли из продажи товара либо услуги. Ошибки первого рода (повышения цены выше оптимальной) приводят к отказу клиентов от покупки, а ошибки второго рода (снижение цены ниже оптимальной) приводят к снижению прибыли, причем не факт, что при этом увеличивается количество продаж.

Таким образом, выдвигаем Гипотезу 1 (G1): Существует зависимость между объемом продаж номеров S и стоимостью номера за ночь C.

Формально для каждого календарного дня для каждого из номеров это может быть описано следующим минимаксным критерием:
S = max( C) ˄ f = 1, где S – оборот от продажи номера численно равный стоимости проживания в номере C = {Cmin…Cmax} (значение стоимости принадлежит некоторому диапазону); f = {0;1} – бинарный индикатор продажи номера: f = 0, если номер не продан и f = 1, если номер продан.

Если есть несколько однотипных номеров, то каждый день могут продаваться не все номера, кроме того, цена Ci за один и тот же номер может меняться в течение окна продаж, и минимаксный критерий имеет вид:
S = max(Σ Ci) ˄ F = Σ fi, где Ci – цена одного номера (цена номера одной и той же категории может меняться), fi = {0;1} – бинарный индикатор продажи номера, F = {0..N} – количество проданных номеров одной категории, общее количество которых составляет N.

Если в отеле есть несколько категорий номеров, то для каждой из них применяется вышеуказанный критерий, а общий оборот отеля формируется как сумма продаж всех категорий номеров, или все может быть сведено в общую формулу, если увеличить размерность, добавив еще один индекс.

Проанализируем взаимную зависимость объема продаж и стоимости номера (гипотеза G1). Детальные экономические данные приводить не буду, покажу лишь общий результат. Для анализа зависимости между двумя рядами данных используем коэффициент корреляции Пирсона, вычисляемый как отношение ковариации к произведению среднеквадратических отклонений:



Для расчета применяется MS Excel, в котором ведется помесячный отельный учет. Поэтому и коэффициент корреляции удобно считать помесячно. Рекомендуется, чтобы количество наблюдений не менее, чем в 10 раз превышало количество факторов, и количество дней (наблюдений) в месяце вписывается в эту рекомендацию. Отель мы запустили буквально перед Новым 2019 годом, поэтому на июнь 2019 статистика у нас пока накопилась только за 5 месяцев (150 дней-наблюдений). Месяц месяцу рознь, и значения коэффициента корреляции отличаются значительным разбросом, от 0,51 в марте до 0,93 в феврале. Значит, в некоторых месяцах гипотеза G1 не подтверждается, и связи между стоимостью номера и объемом продаж не существует. Тем не менее, для тех месяцев, в которых r > 0,75, можно говорить о наличие зависимости одной случайной переменной от другой, т.е. гипотеза G1 подтверждается. Лучше всего проводить анализ на всем множестве данных, поскольку, если у нас количество наблюдений в сотни раз превышает количество факторов, то мы приближаемся к закону больших чисел. Для пяти месяцев также подтвердилась гипотеза G1 (r = 0,80). Ниже представлены значения коэффициента корреляции для каждого из прошедших месяцев текущего года, а также интегральное значение за 5 месяцев. Напомню, что исследуется зависимость значения суточного объема продаж от значения средней стоимости номера за данные сутки.

Значения коэффициента корреляции r(S,C)


Очевидно, что объем продаж зависит от количества проданных номеров. Однако, корреляционную зависимость между количеством проданных за сутки номеров и средней суточной стоимостью номера обнаружить не удалось (r = 0,51 для всей выборки данных).

MS Excel умеет также строить диаграмму рассеяния, добавлять к ней график и уравнение линейной регрессии и определять для регрессии величину достоверности аппроксимации R2. Регрессия может давать достоверные результаты, если для нее R2 > 0,8. Для полной выборки данной достоверную регрессию получить не удалось, поскольку достоверность апроксимации составила R2 = 0,64. Однако, это возможно для тех месяцев, когда r > 0,9. Например для февраля получили R2 = 0,86. Февраль знаменателен самым значительным объемом продаж в году за счет китайского Нового года, который длится более недели и обеспечивает полное заселение отеля при повышенных праздничных ценах.

Линейная регрессия не имеет смысла с точки зрения оптимизации, поскольку она говорит, что, чем выше цена, тем выше прибыль. Тем не менее, цена должна быть в разумном диапазоне, сопоставимым с ценой ближайших конкурентов.

С точки зрения управления продажами наиболее критичной является область, в которой суточные продажи составили меньше 30 у.е., и особенно критично, когда продажи составили 0 у.е. Однако, наша статистика не дает ответ на вопрос, какое значение суточной цены является оптимальным, поскольку при цене в диапазоне от 12 до 20 у.е. продажи составляли от 0 до 6 номеров в сутки, и это не зависело от других календарных факторов (например, день недели или приближение праздников).

Еще одним предположением является то, что чем больше туристов ищут жилье в вашем регионе и чем больше туристов просматривают страницу вашего отеля, тем больше бронировок вы получите. Booking.com Analytics предоставляет такие данные. Например, на диаграмме ниже результаты поиска для города Кеп (Камбоджа) с разбивкой по дням. Конверсия составляет 132 / 79 377 =0,16%, то есть на 10 000 туристов, ищущих жилье, мы получаем 16 бронировок.


Данные Booking.com Analytics: количество поисковых запросов по региону

Сформулируем Гипотезу 2 (H2): Существует связь между объемом продаж номеров S и количеством поисковых запросов в день R.

Однако, коэффициенты корреляции, полученные как для полной выборки данных за 5 месяцев, так и помесячно, не превысили значения 0,5, что говорит об отсутствии связи между двумя случайными переменными. Это относится, как количеству поисковых запросов по региону, так и к количеству просмотров страницы отеля на Booking.com.

Заключение


В статье рассмотрены возможности инструментов Booking.com Analytics, предназначенных для анализа больших данных, относящихся к продажам номеров в отелях. Исходя из доступной информации, были выдвинуты две гипотезы.

Подтвердилась Гипотеза 1 (G1): Существует зависимость между объемом продаж номеров S и стоимостью номера за ночь C.

Для анализа достоверности гипотезы был определен коэффициент корреляции Пирсона r(S,C) для данных за пять первых месяцев 2019 (r = 0,80) и помесячно (максимальное значение r = 0,93 в феврале), что говорит о наличии зависимости между двумя рядами данных. Регрессия имеет линейный характер (чем выше цена, тем выше прибыль), что не дает возможности оптимизировать значение суточной стоимости номера. Тем не менее, цена за сутки должна быть в разумном диапазоне, сопоставимым с ценой ближайших конкурентов. Определить оптимальное значение стоимости номера численным методом, на основании диаграммы рассеяния, также не удалось.

Не подтвердилась Гипотеза 2 (H2): Существует связь между объемом продаж номеров S и количеством поисковых запросов в день R.

Несмотря на доступность больших данных, на данный момент не удается сформировать стратегию управления продажами, основанную исключительно на статистических показателях. Возможно, эти закономерности зависят от таких энергий, над которыми не властна статистика. Известна волновая теория бизнеса, и, с моей точки зрения, она имеет смысл. Если построить простую зависимость объема продаж от календарной даты, то мы явственно увидим чередующиеся пики и спады. Таким образом, надо «ловить волну», пользуясь, в том числе, опытом и интуицией.

Данная статья не претендует на истину в последней инстанции, это просто мой опыт, которым я хотел поделиться.

А мне лишь остается пожелать читателям максимум удовольствия от пользования сервисами бронирования и незабываемых путешествий!

четверг, 22 ноября 2018 г.

Информационная безопасность интернета вещей: кто вещь, а кто хозяин?

источник

Ни для кого не секрет, что в области интернета вещей (Internet of Things, IoT), пожалуй, меньше всего порядка в плане обеспечения информационной безопасности (ИБ). Сегодня мы наблюдаем развивающуюся технологию, постоянно меняющийся ландшафт отрасли, прогнозы, порой уводящие в сторону от реальности, десятки организаций, пытающихся объявить себя законодателями в той или иной области, хотя бы «на час». Актуальность проблемы подчеркивается эпическими инцидентами. Industroyer, BrickerBot, Mirai – и это лишь видимая верхушка айсберга, а что «день грядущий нам готовит»?

Если продолжать двигаться по течению, то хозяевами интернета вещей станут ботнеты и прочие «вредоносы». А вещи с непродуманным функционалом будут довлеть над теми, кто попытается стать их хозяином.

Несколько особняком стоит промышленный интернет вещей (Industrial Internet of Things, IIoT), включающий, в том числе, объекты критической информационной инфраструктуры (КИИ). Операторы IIoT систем привыкли внедрять достаточно зрелые технические решения с горизонтом эксплуатации в десятки лет. Таким образом, внедрение модернизаций и инноваций с использованием IIoT решений сдерживается динамичностью рынка с отсутствием общепринятой системы стандартов и общепринятых схем лицензирования.

Еще один вопрос: что делать с морем информации, накопленной в области ИБ IoT за последние 3-4 года? Что нужно взять за основу, а что является второстепенным? А если в разных документах встретилась противоречивая информация, то, что важнее? Одним из ответов может быть изучение аналитических отчетов, в которых обобщен и гармонизирован накопленный опыт с учетом максимального числа доступных источников.

В ноябре 2018 ENISA (The European Union Agency for Network and Information Security) выпустило документ «Good Practices for Security of Internet of Things in the context of Smart Manufacturing», в котором собраны всевозможные практики обеспечения кибербезопасности для промышленного интернета вещей, причем проанализировано около сотни документов с лучшими практиками в этой области. Что же находится «под капотом» этой попытки объять необъятное? В статье выполнен обзор содержания.

Итак, ENISA предлагает обобщение опыта, основанное на использовании лучших практик. Чтобы продемонстрировать, что такой подход не является единственным, рассмотрим еще одну возможность, а именно, создание коллекции всевозможных стандартов.

На сайте National Institute of Standards and Technology (NIST) можно обнаружить документ «Draft NISTIR 8200. Interagency Report on Status of International Cybersecurity Standardization for the Internet of Things (IoT)». Версия датирована февралем 2018, и пока все еще носит статус драфта. Там проводится анализ существующих стандартов, распределенных по следующим 11 областям: Cryptographic Techniques, Cyber Incident Management, Hardware Assurance, Identity and Access Management, Information Security Management Systems (ISMS), IT System Security Evaluation, Network Security, Security Automation and Continuous Monitoring (SACM), Software Assurance, Supply Chain Risk Management (SCRM), System Security Engineering.

Перечень стандартов занимает больше ста страниц! Значит, там содержатся сотни наименований, это десятки тысяч страниц, на изучение которых могут уйти годы, к тому же, многие документы являются платными. При этом идентифицированы множественные пробелы в стандартизации отрасли, которые, очевидно, будут заполняться.

Думаю, читатель уже понял, на стороне какого подхода находится здравый смысл и симпатии автора. Поэтому, вернемся к лучшим практикам ENISA. Они базируются на анализе около сотни уже выпущенных документов. Однако, нам не надо читать все эти документы, поскольку эксперты ENISA уже собрали в своем отчете все самое важное.

Ниже на рисунке представлена структура документа, и мы с ней сейчас детально ознакомимся.



Первая часть является вводной.
Во второй части сначала приводится базовая терминология (2.1), а затем вызовы в обеспечении безопасности (2.2), к которым относятся:
- уязвимые компоненты (Vulnerable components);
недостатки в управлении процессами (Management of processes);
- возростающее количесво коммуникационных связей (Increased connectivity);
- взаимодействие операционных и информационных технологий (IT/OT convergence);
- наследование проблем АСУ ТП (Legacy industrial control systems);
- небезопасные протоколы (Insecure protocols);
- человеческий фактор (Human factors);
- избыточная функциональность (Unused functionalities);
- необходимость учета аспектов функциональной безопасности (Safety aspects);
- реализация обновлений, связанных с ИБ (Security updates);
- реализация жизненного цикла ИБ (Secure product lifecycle).

В разделе 2.3, со ссылкой на ISA, приведена референсная архитектура, которая, тем не менне, несколько противоречит общепринятой архитектуре ISA (Purdu), поскольку RTU и PLC отнесены ко 2-му, а не к 1-му уровню (как это практикуется в ISA).


Референсная архитектура IIoT

Референсная архитектура является входом для формирования таксономии активов, которая выполнена в разделе 2.4. На основании экспертных данных оценена критичность активов с точки зрения их влияния на ИБ. О репрезентативности речь не идет (в отчете сказано, что участвовали эксперты от 42 различных организаций), и можно воспринимать эту статистику, как «некоторое мнение». Проценты на диаграмме означают процент экспертов, которые оценили тот или иной актив, как наиболее критичный.

Экспертная оценка критичности активов IIoT

В разделе 3.1 выполнена классификация и описание возможных угроз, применительно к области IIoT. Кроме того, к каждой из угроз привязаны классы активов, которые могут быть затронуты. Выделены основные классы угроз:
- Nefarious activity / Abuse (недобросовестная деятельность и злоупотребления) – различного рода манипуляции, производимые с данными и устройствами;
- Eavesdropping / Interception / Hijacking (прослушивание / перехват / хакинг) – сбор информации и взлом системы;
- Unintentional damages (accidental) (непреднамеренные случайные повреждения) – ошибки в конфигурировании, администрировании и применении;
- Outages (отключения) – перебои в работе, связанные с потерей электропитания, коммуникаций или сервисов;
- Disaster (катастрофы) – разрушительные внешние воздействия природного и техногенного характера;
- Physical attack (физические атаки) – воровство, вандализм и саботаж (вывод из строя), производимый непосредственно на оборудовании;
- Failures / Malfunctions (отказы и нарушения в работе) – могут происходить по причине случайных отказов аппаратных средств, по причине отказов сервисов провайдера, а также из-за проблем в разработке программного обеспечения, приводящего в внесению уязвимостей;
- Legal (правовые вопросы) – отклонения от требований законов и контрактов.


Таксономия угроз

В разделе 3.2 рассмотрены типовые примеры атак на компоненты систем IIoT.

Самый важный раздел в документе – это 4-й, в котором рассмотрены лучшие практики, направленные на защиту компонентов IIoT. В практики включены три категории: политики, организационные практики и технические практики.


Структура лучших практик обеспечения ИБ IIoT

Принципиальное различие политик и организационных практик не объяснено, а процедурный уровень присутствует в обоих случаях. Например, Risk and Threat Management попали в политики, а Vulnerability Management – в организационные практики. Единственное различие, которое можно уловить, это то, что политики применяются, в первую очередь, для разработчиков, а организационные практики – для эксплуатирующих организаций.

В составе политик (4.2) описаны 4 категории и 24 практики. В организационном разделе (4.3) описано 27 практик, разделенных на 6 категорий, а в техническом (4.4) – 59 практик, разделенных на 10 категорий.

В Приложении А отмечено, что настоящим документом ENISA продолжает исследования, задекларированные в 2017 г. в документе «Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures». Конечно, IoT более широкое понятие, чем IIoT, и, с этой точки зрения, можно было бы взять прошлогодний документ за основу этого обзора, однако, всегда хочется иметь дело с более новым материалом.

Приложение В – эта основная смысловая часть документа. Перечень практик из раздела 4 изложен в виде таблиц, где сделана привязка к группам угроз и даны ссылки на документы, поддерживающие применение той или иной практики, правда, к сожалению, без указания конкретной страницы или параграфа. Вот, например, несколько пунктов, относящихся к безопасности облачных сервисов.


Фрагмент описания лучших практик обеспечения ИБ IIoT


В Приложении С дан перечень цитируемых документов (их всего около 100), которые были проработаны и легли в основу разработанных лучших практик.
В Приложении D перечислены самые значимые инциденты, связанные с нарушением ИБ в промышленных приложениях.

Выводы

«Good Practices for Security of Internet of Things in the context of Smart Manufacturing», разработанный в ноябре 2018, является на сегодняшний момент одним из самым подробный документов в области ИБ интернета вещей. Подробной технической информации по реализации 110 описанных практик нет, однако, есть свод накопленных знаний, полученный на основе анализа сотни документов от ведущих экспертных организаций в области IoT.

Документ сфокусирован на IIoT, учитывает промышленную архитектуру и связанные с ней, активы, угрозы и сценарии возможных атак. Более общим для IoT является документ-предшественник ENISA «Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures», выпущенный в 2017.

«Хищные вещи века» и незаметная для нас тенденция обретения власти вещей над людьми сдерживаются на данный момент лишь разрозненным сопротивлением мер по обеспечению ИБ. От того, насколько эффективны будут меры ИБ, во многом, зависит наше будущее.

вторник, 23 октября 2018 г.

Обзор презентаций шестой конференции по промышленной кибербезопасности (Сочи, 19-21.09.2018)

source

«Лаборатория Касперского» опубликовала пресс релиз о шестой конференции по промышленной кибербезопасности (Сочи, 19-21.09.2018), организатором которой она же и являлась.

Организаторы любезно предоставили слайды презентаций, обещают скоро выложить в сеть и видео докладов. На конференции мне побывать, к сожалению, не удалось, но с презентациями я решил ознакомиться и не разочаровался. Все выглядит актуально, полезно, и даже вдохновляюще. И еще, впечатляет размах тематики, создается впечатление, что «Лаборатория Касперского» занимается «всем», как в плане вертикальных, так и горизонтальных рынков. Я сначала сделал обзор «для себя», а потом все же решил опубликовать.

Всего в программе конференций 40 докладов, я разделил их на несколько категорий. Классификация эта моя собственная и не претендует на единственно правильную, поскольку часть докладов можно отнести сразу к нескольким категориям. Однако, некоторые обобщения это сделать позволит. Итак, на конференции была представлена следующая тематика.

1. Обзоры о состоянии дел в промышленной кибербезопасности в целом – 5 докладов

Из обзорных докладов, безусловно, надо отметить «Think like a hacker, but act like an engineer» (Marty Edwards, International Society of Automation), который открывал конференцию и задавал ей тон. Здесь и сравнительный анализ информационных и операционных технологий (IT-OT), и тренды в недостатках киберзащиты по мотивам U.S. ICS-CERT, и анализ последствий инцидентов, и типовой сценарий атаки и многое другое, с одной стороны, очевидное и известное, с другой стороны, системно и оригинально изложенное. Прозвучали два тренда, которые представляются мне важными: сближение с областью safety (функциональная безопасности) и важность применения фреймворка NIST по кибербезопасности. Многоаспектный интересный обзор с качественной инфографикой представлен в «50 shades of ICS security controls» (Ibrahim Samir Hamad, An Oil & Gas Company). Интересной и познавательной статистикой впечатлил доклад «Five myths of industrial cybersecurity» (Evgeny Goncharov, Kaspersky Lab).

2. Презентации компаний и продуктов – 10 докладов

«Продуктовые» или «продажные» презентации вызывают больше всего нареканий, хотя все и понимают, что вендоры едут на конференции, чтобы «продавать». В Сочи, мне думается, баланс был соблюден, поскольку презентации продуктов сопровождались и общей теоретической составляющей, и интересными техническими подробностями. Особенно интересными, на мой взгляд, получились «KICS*HICS=Tested and protected» (Ruslan Stefanov, Honeywell), а также «A complex approach to industrial cyberdefense in the age of digitalization» (Yan Sukhikh, Schneider Electric).

3. Отдельные технологии обеспечения кибербезопасности – 7 докладов

В области технологий можно уйти в попытку объять необъятное, или в очевидные вещи, или в сложные технические подробности, понятные лишь хакерам. Организаторам же удалось представить несколько интересных и важных направлений: проблемы облачных технологий, анализ атак с использованием удаленных средств администрирования, honeypots fingerprinting, мониторинг угроз, компрометация отключенных от интернета систем. Отличный анализ целевых APT (Advanced Persistent Threat) атак сделан в докладе «Attribution in a world of cyber espionage» (Yury Namestnikov, Kaspersky Lab).
Пожалуй, одна из самых важных презентаций конференции – это «Security PHA review for analyzing process plant vulnerability to cyberattack» (Edward Marszal, Kenexis). Эдвард стал заниматься кибербезопасностью, имея огромный опыт в области анализа рисков и функциональной безопасности. Поэтому, основной его тезис – кибербезопасность должна основываться на рисках процесса. Такая оценка базируется на методе HAZOP (Hazard and Operability study) и его разновидности для процессов, PHA (Process Hazard Analysis). Методы эти несколько десятков лет применяются в области функциональной безопасности. В докладе говорится только о количественной оценке (детерминированный подход), хотя, если в таблицы добавить вероятности событий, то можно перейти к количественной оценке. На сайте Kenexis много полезной информации (что редкость для консалтинговых компаний): шаблоны таблиц для анализа, руководства, статьи. Пишут, что даже базовую версию своего инструментального средства, OPEN PHA, они предоставляют бесплатно.

4. Особенности обеспечения кибербезопасности в отдельных промышленных отраслях – 7 докладов

Все презентации очень познавательны, поскольку рассказывают об особенных сферах, с которыми мы сталкиваемся не каждый день, и, зачастую, даже не догадываемся об их удивительной специфике. Хороший обзор тенденций современного автопрома представлен в «How digital transformation enables Ferrari to be even faster» (Remigio Armano, Ferrari), хотя непосредственно про кибербезопасность там сказано не так уж и много. Феерична история захода «Лаборатории Касперского» на автомобильный рынок: сначала спонсируем гоночную команду, а потом обеспечиваем кибербезопасность. Очень интересный доклад был по применению IoT-решений на яхтах «Swimming IoT: A hackers journey into the secrets of modern yacht (in)security» (Stephan Gerling, Rosen Group), настоящая романтика кибербезопасности. На конференции не было презентаций от «традиционных» отраслей (энергетика, авионика, химия, нефтегаз). Пожалуй, информация об этих отраслях больше на виду, а организаторы копнули в сторону «экзотики», поскольку были представлены системы водоснабжения, «умные» дома, железнодорожный транспорт, системы видеонаблюдения.

5. Нормативно-правовая основа кибербезопасности – 4 доклада

Презентации затрагивали, в основном, ФЗ-187.

6. R&D – 4 доклада

Речь в докладах шла о машинном обучении, о блокчейне, и, несколько неожиданно для меня, о MILS (Multiple Independent Levels of Security).

7. Человеческий фактор и управление персоналом – 2 доклада

Прозвучал доклад, посвященный созданию команд реагирования на инциденты, и доклад, посвященный организации тренингов.

8. Социологические аспекты кибербезопасности – 1 доклад

Был представлен доклад о влиянии масс медиа на общественное восприятие проблем кибербезопасности. Как и следовало ожидать, имеем много искажений реальности.

Как видим, покрытие тематики индустриальной безопасности достаточно широкое. Для меня, пожалуй, самым важным оказалась общая тенденция, которая явно прослеживается в докладах – в среде кибербезопасности есть определенное движение в сторону принятия и применения наработок в области функциональной безопасности. Видимо, в ISA в важности этого твердо убеждены, а они задают в этом тон всему миру. Остальные пока больше говорят, чем применяют что-то на практике. В итоге, многие вещи из области safety «открываются» для security заново (те же примеры – «заново открытые» HAZOP и MILS).

Из того, что не прозвучало на конференции (хотя, возможно, и могло бы прозвучать):
- не было ничего про вероятностную оценку кибербезопасности; возможно, или не добрались еще до этого специалисты по ИБ (хотя до HAZOP и MILS уже добрались), или это не очень актуально с практической точки зрения; с другой стороны, вероятность отказа функции ИБ было бы и можно, и нужно посчитать, это был бы аналог SIS (Safety Instrumented Function);
- не было подробных докладов о международной нормативной базе, лучших практиках и т.п.; наверно, или слишком «академично», или всем уже надоело.

Из небольших дополнений или предложений (это делают организаторы других конференций). Когда я пытался разложить «по полкам» 40 докладов, мне показалось, что было бы удобно для реферирования использовать короткий общий ключ. Можно сделать или сквозную нумерацию всех презентаций по порядку или нумерацию по секциям, например, пленарные доклады: Р1, Р2 и т.д., Business Track: BT1, ВТ2 и т.д. Это, конечно, не самое главное.

Самое главное – это заметные позитивные стороны конференции, а именно:
- хороший уровень конференции чувствуется даже дистанционно, поскольку выступило много «сильных» спикеров;
- программа конференции обеспечила всесторонний охват самых важных аспектов промышленной кибербезопасности без «перекосов» в ту или иную сторону;
- конференция получилась действительно международная, а то часто организуются «международные» конференции, куда случайно попадают несколько «иностранных консультантов»; в Сочи все было «по-честному»; хотя основная масса участников была из РФ, делать слайды на английском, чтобы зарубежные участники понимали, о чем идет речь – это хорошая практика, даже если речь в презентациях идет о ФЗ;
- как правило, организаторы конференции могут внести в программу сколько угодно своих докладов, и это порой вызывает определенные нарекания; докладов от «Лаборатории Касперского» было немало, но все они были объективно качественными, и они, скорее, повысили общий уровень конференции, чем наоборот.

Все получилось, спасибо организаторам за отличный ивент!