Расследования инцидентов в российском ритейле: видеонаблюдение, СКУД и ИБ

Знаете, в чем главная иллюзия российского ритейлера? В том, что, если повесить камеру, вор испугается. Разочарую — не испугается. Испугается только тот, кто пришел украсть пачку пельменей, и то — возможно. Человек регулярно промышляющий воровством, инсайдер или организованная группа знает про камеры больше, чем ваш безопасник, который проходил курсы «Видеонаблюдение на объектах ритейла» в 201… году.

За последние два года (2024-2026) российские торговые сети столкнулись с массой инцидентов, которые невозможно раскрыть старыми методами. По данным ЦБ РФ и ассоциаций ритейлеров, суммарный ущерб от внутренних хищений только в продуктовом ритейле превышает потери от внешних краж в 3–4 раза. И это я еще промолчу про утечку персональных данных, подделку пропусков и сценарии, когда кассир и охранник работают в одной связке.

Так как выстраивать расследование? Где классическое видеонаблюдение пасует перед «серыми» схемами? И почему СКУД с видеонаблюдением без ИБ — это как замок на калитке, когда забор уже снесли?

Давайте разберем по частям.

Часть 1. Иллюзия контроля: что мы видим на самом деле.

Стандартный набор в магазине у дома или даже в гипермаркете: от 12 до 30 камер, турникет на входе для персонала, домофон на черном ходе. Расследование инцидента начинается обычно с того, что менеджер видит недостачу по итогам инвентаризации. Потом смотрит записи — и скорее всего ничего не находит. Потому что камера снимает либо в 2k, но с частотой 5-10 кадров в секунду, либо запись перезаписывается каждые 5-7 дней, а инвентаризация раз в месяц.

Реальный кейс, 2025 год, федеральная сеть товаров для дома и ремонта. Потери по категории «дорогостоящий электроинструмент» выросли на 200%. Выяснилось: группа из трех сотрудников склада вывозила перфораторы через зону приема товара, подменяя накладные. Камеры на погрузочной рампе были, но их угол не захватывал номер машины (но зато, всю машину видел хорошо), а запись хранилась 7 дней. Схему вскрыли случайно — один из участников схемы попался на другом магазине. Потери — 4,7 млн рублей. Ни одно видео не помогло- были только очень косвенные признаки.

Почему? Потому что видеонаблюдение в рознице до сих пор часто работает по принципу «поставь и забудь». Оно не интегрировано в систему полного цикла расследования. Выступая в роли немых свидетелей с амнезией.

Так что же тут не так с видео? Вот 3 типовых ошибки при проектировании охранного видеонаблюдения:

• Разрешение и битрейт при записи, а не только для просмотра. Лицо человека в капюшоне на записи — просто пиксельный шум. Распознать по такой записи человека невозможно, а судебная техническая экспертиза (если до нее дошло) даст заключение «не пригодна для идентификации»
• Слепые зоны. В любом магазине есть зоны, не охватываемые камерами. Ну а любой профессиональный вор их знает лучше карты эвакуации.
• Время реагирования. Когда запись нужна через три недели после инцидента, ее уже нет. Вы хотите посмотреть, а что там было месяц до инвентаризации назад, а там — пусто.

И тут напрашивается очень простой и банальный вывод: видеонаблюдение как инструмент расследования работает только если оно было спроектировано под сценарии инцидентов, когда вы понимаете работают злодеи НА САМОМ ДЕЛЕ, и знаете, за что можно зацепиться в реальности, а не под «галочку» – типа, давайте облепим тут все камерами.

Часть 2. СКУД: пропускная система, которую можно купить за копейки

Система контроля и управления доступом — это проходная для сотрудников, rfid ключи, турникеты. И выглядит то идеально — это цифровой след: кто, когда, через какую дверь прошел. В реальности — пластиковая карта, которую можно скопировать за 30 секунд устройством за полторы тысячи рублей продающимся в любом маркетплейсе, или ключ, который передают сменщику.

Еще один пример из жизни: Ритейлер внедряет СКУД с биометрией по отпечатку пальца. Кажется, что вот она – ЗАЩИТА, ведь и не скопируешь, и не передашь никому. Но интегратор оставил бэкдор — возможность открыть дверь через служебный пароль, один на всех. Ну потому, что местные безопасники попросили, ибо «сложно это все» … Пароль узнал местный техник, техник продал его кладовщику. И как итог: за 4 месяца вывезли 7 тонн товара в московской области в 2024 году.

Расследование таких инцидентов требует не просто логов СКУД, а их корреляции с видеозаписями и учетной системой. То есть ответ на вопрос: «Почему кладовщик Петров заходил на склад в 3 часа ночи в воскресенье, когда по графику у него выходной?» — это уже не вопрос физической безопасности, а вопрос аналитики данных, которая будет иметь ценность в совокупности.

Но большинство компаний даже не выгружают логи СКУД в единую SIEM-систему. Логи лежат в файле на компе старшего охраны. Который, кстати, может их и подчистить при желание, если сам замешан.

В процессе подобных рассуждений, может возникнуть еще одна боль – привязка системы видеонаблюдения к системе самого СКУД:

Когда камера не привязана к турникету, вы не можете доказать, что именно этот человек приложил эту карту. Да сейчас существуют, относительно бюджетные решения, которые умеют привязывать лица в момент прохода и соотносить их с событием. Но, почему-то, устанавливают их пока только в премиум-сегменте. В условной обычной «Пятерочке» — по-прежнему карточка и надежда на лучшее.

Часть 3. ИБ-контур: когда данные тоже товар, который можно украсть.

Российский ритейл перешел в цифру: программы лояльности, электронный документооборот, онлайн-заказы, самовывоз, сложная системная логистика. Вместе с этим, что логично, появились новые векторы атак:

• Кражи бонусов и купонов через взлом личных кабинетов. Злоумышленники скупают слитые базы (например, как после взлома сети аптек в 2025 году) и конвертируют бонусные баллы в реальный товар.
• Подделка QR-кодов на возврат. Простая схема: кассир сканирует чек, инициирует возврат на карту «левого» покупателя, а товар оставляет себе. Система видит легальный возврат. Видеонаблюдение фиксирует, как кассир машет сканером. И по факту ничего не докажешь.
• Классическая MITMатака между ККТ и ОФД. Теоретически сложно, практически — уже зафиксированы случаи подмены фискальных данных, на ПО, где нет должной защиты каналов.

Но главная головная боль информационной безопасности в ритейле — это «персонал с правами». Администратор магазина имеет доступ к кассовой программе, системе лояльности, а иногда и к админке видеорегистратора. Он может удалить запись видео за определенный час. Он может отключить камеру в своем кабинете, он может изменить время входа в СКУД в базе данных, если знает, где лежит файл.

Расследование таких случаев — это уже компьютерная криминалистика. Нужно извлекать журналы событий из кассового ПО, проанализировать логи с IP-камер, проверять целостность видеозаписей. И делать это быстро! Пока данные не перезаписались.

В 2025 в одном из региональных филиалов одного большого продуктового ритейлера старший продавец проворачивал очень простую схему – получив доступ к панели облачного видеонаблюдения (пароль был admin/12345678 – у вас же не так, правда?), отключал запись на 10-15 минут, выносил алкоголь, потом включал обратно. Служба безопасности развела руками, ну типа какой-то системный сбой, так-то записи то были… пока не подключили внешний ИБ-аудит, который нашел расхождения в логах доступа к видеорегистратору. Простым просмотром записей это было не обнаружить.

И тут у читателя сего текста может возникнуть вполне закономерный вопрос «А что делать то?» Давайте попробуем выстроить общую концепцию методологии расследования, которая будет предназначена не для наказания постфактум провинившихся, а будет являть собой элемент системы предотвращения потерь, опираясь на три основные составляющие: видео аналитику, корреляцию событий и цифровую гигиену.

1. Видео аналитика не для поиска лиц, а для поиска поведенческих аномалий.

Современные системы умеют распознавать не только лица, номера машин или факт появления движения в определенной зоне, но и сценарии:

• человек долго стоит у стеллажа с дорогим товаром;
• сотрудник заходит в техническую зону без необходимости;
• несколько человек одновременно открывают разные двери с одной картой.

Эти события должны автоматически генерировать тревогу и сохранять фрагмент записи в защищенное хранилище (а не в общий цикл перезаписи, откуда потом они автоматически будут стерты).

1. Корреляция: СКУД + касса + видеонаблюдение = доказательство

Идеальный инструмент расследования — единая платформа, где по времени и идентификатору сотрудника можно собрать:

• его проход через турникет (СКУД);
• его операции на кассе или в учетной системе
• его перемещение по магазину (камеры с распознаванием лиц или RFID-метки в бейджике, если есть).

Да, пока это дорого и сложно в понимание обычной безопасности, но с ростом объемов потерь это будет вполне оправданно.

1. Цифровая гигиена для безопасника

Начните с простого:

• Смените заводские пароли (пароли с полным доступом к данным известные персоналу, тоже будем считать «заводскими») на камерах и регистраторах.
• Включите двухфакторную аутентификацию для доступа к панели видео (если поддерживается).
• Ограничьте время хранения критических записей (зоны касс, склады, комната инкассации) до 30 дней, а не 5-7.
• Назначьте ответственного за выгрузку логов СКУД в отдельную папку с контролем целостности (например, с хешированием раз в день).
• Проводите внезапные проверки: сравните время входа сотрудника по СКУД с временем начала его смены в табеле.

Согласитесь, большой бюджет тут утверждать не нужно – достаточно просто подойти к организации процессов чуть ответственнее.

Ну и все-таки, как проводить расследования?

Давайте возьмем очень простой пример — допустим, у вас пропала партия мобильных телефонов со склада. Пройдемся по шагам:

• Шаг 1. Временной коридор.

По инвентаризации — пропажа за последние 10 дней. Выгружаете логи СКУД за этот период. Смотрите, кто из сотрудников заходил на склад в нерабочее время или аномально часто.

• Шаг 2. Видео по событиям.

Ищете записи с камер на складе за эти промежутки. Если записи нет или она битая — это уже индикатор вмешательства. Проверяете логи доступа к видеорегистратору (кто и когда входил в веб-интерфейс).

• Шаг 3. Связь с товарным учетом.

Поднимаете документы: кто оформлял списание, перемещение, возврат поставщику за эти дни. Ищете аномалии: условный пример, списание «бой» по позициям, которые физически не бьются (телефоны).

• Шаг 4. Интервью и цифровые следы.

Проверяете, не появлялись ли подозрительные объявления о продаже таких же телефонов на Avito или «Юле» с привязкой к району магазина. Хоть это косвенный признак, но может быть зацепкой. Посмотрите не соотносятся ли аккаунты пользователей этих сервисов с аккаунтами персонала или их родственниками.

• Шаг 5. Техническая и юридическая фиксация.

Привлекаете эксперта для изъятия винчестера видеорегистратора (не копируете флешкой, а именно физически изымаете диск), чтобы эксперт мог восстановить удаленные кадры. То же самое с логами СКУД.

Без этого порядка даже очевидная кража развалится в суде, потому что защита скажет: «Запись смонтирована, логи подделаны».

Вот, наверное, и все что хотелось написать в рамках «ликбеза». На любой конференции, да и в любом медиа есть такой жанр – «гадание на кофейной гуще» про будущее и тренды. Вещь эта субъективная, но я постараюсь выделить основные 4 на следующие пару лет в моем представление:

1. Импортозамещение с ИИ

Появляются отечественные комплексы, которые уже умеют и видео аналитику, и интеграцию с ЕГАИС, и распознавание эмоций кассира (да, это тоже индикатор стресса, возможно, связанного с кражей). Пока сыровато, с большим количеством ошибок, но прогресс есть.

1. Облачные архивы.  

Ну во-первых это дешевле, а во-вторых — видеонаблюдение как услуга (VSaaS) позволяет хранить записи вне магазина. Вор не может физически уничтожить улику. Минус: канал связи должен быть надежным и стабильным (тут у нас могут возникнуть трудности), а облако — аттестованным по требованиям регуляторов (если речь о персональных данных).

1. Биометрия.

В СКУД массово приходит распознавание лица. Но есть проблема: базы лиц сотрудников нужно согласовывать с теми же регуляторами, а это большая головная боль. Поэтому многие пока остаются на картах.

1. Рост внутренних расследований силами ИБ.  

Службы безопасности ритейлеров переквалифицируются из простых «охранников» в «аналитиков данных». Знание баз данных, основ криминалистики и работы с логами – станут обязательным навыком для сотрудников СБ.

Ну и вместо заключения:

Видеонаблюдение, СКУД и ИБ в российском ритейле — это не три разные истории. Это три слоя одного пирога. И если вы положили начинку из камер, но забыли про тесто в виде логов и корочку из паролей, вор просто вытащит начинку сбоку. Может я напишу сейчас избитую фразу, но безопасность — это комплексная работа! Работа, которая требует чуть больше знаний чем мы привыкли – тут и психология, и техника, и криминалистика, и технические навыки, и информационная безопасность, и понимание порядка действий злодея.

И увы – тут нет волшебной кнопки «найти вора». Есть только постоянный непрерывный и комплексный процесс — анализируй, проверяй, интегрируй, перепроверяй. Да и технологии должны работать именно на вас (все-таки вы заплатили и заморочились их внедрением), а не на того, кто знает стандартную связку admin/12345678.