ঝুঁকিতে খুচরা: এই ছুটির মরসুমে খুচরা বিক্রেতাদের মুখোমুখি শীর্ষ হুমকি

ব্যবসায় সুরক্ষা

যদিও আপনার নিরাপত্তা নীতিগুলিতে পাইকারি পরিবর্তনগুলি প্রবর্তন করতে অনেক দেরি হতে পারে, তবে সবচেয়ে বড় হুমকিগুলি কোথায় এবং কোন সেরা অনুশীলনগুলি সেগুলিকে নিরপেক্ষ করতে সাহায্য করতে পারে তা নতুন করে দেখে নেওয়ার জন্য এটি ক্ষতি করে না

ফিল মুনকাস্টার

28 নভেম্বর 2023  •  , ২ মিনিট. পড়া

ঈদের কেনাকাটার মৌসুম শুরু হয়েছে। খুচরা বিক্রেতাদের জন্য জকিিং উপর দৃষ্টি নিবদ্ধ করা হয় আনুমানিক $1.5 ট্রিলিয়ন বিক্রয় এই বছর (এবং এটি শুধুমাত্র মার্কিন যুক্তরাষ্ট্রের জন্য), তাদের কঠোর পরিশ্রম ব্যর্থ হতে পারে এটি সাইবার নিরাপত্তার প্রতি যথেষ্ট মনোযোগ দেওয়া হয় না। 

কেন? কারণ এটি খুচরা আইটি দলগুলির জন্য সময়ের সেরা এবং সবচেয়ে খারাপ সময়। গ্রাহকদের জন্য বছরের ব্যস্ততম সময়টিও একটি সাইবার অপরাধীদের জন্য চুম্বক. এবং যদিও আপনার নিরাপত্তা নীতিতে পাইকারি পরিবর্তনগুলি প্রবর্তন করতে এই পর্যায়ে অনেক দেরি হতে পারে, তবে সবচেয়ে বড় হুমকিগুলি কোথায় তা নতুন করে দেখে নেওয়ার জন্য এটি ক্ষতি করে না এবং কোন সেরা অনুশীলনগুলি সেগুলিকে নিরপেক্ষ করতে সহায়তা করতে পারে৷

খুচরো কেন, এখন কেন?

খুচরা বিক্রেতাদের দীর্ঘকাল ধরে সাইবার অপরাধীদের দ্বারা বিশেষ আচরণের জন্য চিহ্নিত করা হয়েছে। এবং বছরের ব্যস্ততম কেনাকাটার সময়টি দীর্ঘকাল ধরে স্ট্রাইক করার একটি সুবর্ণ সুযোগ উপস্থাপন করেছে। কিন্তু কেন?

• খুচরা বিক্রেতারা তাদের গ্রাহকদের উপর অত্যন্ত নগদীকরণযোগ্য ব্যক্তিগত এবং আর্থিক তথ্য রাখে। শুধু ঐ সমস্ত কার্ড বিশদ চিন্তা করুন. এটি কোন আশ্চর্যের বিষয় নয় যে সমস্ত (100%) খুচরা ডেটা লঙ্ঘন দ্বারা বিশ্লেষণ করা হয়েছে ভেরাইজন গত বছর ধরে একটি আর্থিক উদ্দেশ্য দ্বারা চালিত ছিল.
• রাজস্বের দৃষ্টিকোণ থেকে খুচরা বিক্রেতাদের জন্য ছুটির কেনাকাটার মৌসুমটি বছরের সবচেয়ে গুরুত্বপূর্ণ সময়। কিন্তু এর অর্থ হল তারা র্যানসমওয়্যার বা ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) এর মতো সাইবার হুমকির সম্মুখীন হচ্ছেন যা পরিষেবা অস্বীকার করে অর্থ আদায় করার জন্য ডিজাইন করা হয়েছে। বিকল্পভাবে, প্রতিযোগীরা তাদের প্রতিদ্বন্দ্বীদের অত্যাবশ্যক কাস্টম এবং রাজস্ব অস্বীকার করতে DDoS আক্রমণ শুরু করতে পারে।
• বছরের ব্যস্ততম সময় হওয়ার মানে হল যে কর্মীরা, বিশেষ করে প্রসারিত আইটি টিম, সাইবার হুমকির দিকে তাকানোর চেয়ে যতটা সম্ভব আয় করতে ব্যবসাকে সমর্থন করার দিকে বেশি মনোযোগী। এমনকি তারা অভ্যন্তরীণ জালিয়াতি ফিল্টারগুলিকেও পরিবর্তন করতে পারে যাতে যাচাই-বাছাই ছাড়াই বৃহত্তর ক্রয়ের অনুমোদন দেওয়া যায়।
• খুচরা বিক্রেতারা ক্লাউড-ভিত্তিক ব্যবসায়িক সফ্টওয়্যার, ইন-স্টোর IoT ডিভাইস এবং গ্রাহক-মুখী মোবাইল অ্যাপ্লিকেশন সহ ওমনি-চ্যানেল বাণিজ্য অভিজ্ঞতা তৈরি করতে ডিজিটাল সিস্টেমের উপর ক্রমবর্ধমানভাবে নির্ভর করে। এটি করার মাধ্যমে, তারা (প্রায়ই অনিচ্ছাকৃতভাবে) সম্ভাব্য আক্রমণের পৃষ্ঠকে প্রসারিত করছে।

এর একটি যে ভুলে যাবেন না বিশ্বের সবচেয়ে বড় রেকর্ডকৃত তথ্য লঙ্ঘন ঘটেছিল এবং 2013 সালে ছুটির মরসুমে ঘোষণা করা হয়েছিল, যখন হ্যাকাররা মার্কিন খুচরা বিক্রেতা টার্গেট থেকে 110 মিলিয়ন গ্রাহকের রেকর্ড চুরি করেছে.

এই ছুটির মরসুমে খুচরা বিক্রেতাদের কাছে সবচেয়ে বড় সাইবার হুমকি কি?

খুচরা বিক্রেতাদের একটি বৃহত্তর রক্ষা করতে হবে না শুধুমাত্র আক্রমণ পৃষ্ঠ, তাদের অবশ্যই প্রতিপক্ষের একটি নির্ধারিত সেট থেকে ক্রমবর্ধমান বৃহৎ বৈচিত্র্যের কৌশল, কৌশল এবং পদ্ধতির (TTPs) সাথে লড়াই করতে হবে। আক্রমণকারীদের লক্ষ্য হয় গ্রাহক এবং কর্মচারী তথ্য চুরি, DDoS এর মাধ্যমে আপনার ব্যবসায় ছিনতাই/ব্যাঘাত ঘটান, জালিয়াতি করুন, বা প্রতিযোগিতামূলক সুবিধা পেতে বট ব্যবহার করুন। এখানে কিছু প্রধান খুচরা সাইবার হুমকি রয়েছে:

• তথ্য লঙ্ঘন চুরি/ক্র্যাকড/ফিশড কর্মচারী শংসাপত্র বা দুর্বলতা শোষণ থেকে উদ্ভূত হতে পারে, বিশেষ করে ওয়েব অ্যাপ্লিকেশনগুলিতে। এর ফলে বড় ধরনের আর্থিক এবং সুনামগত ক্ষতি হয় যা বৃদ্ধির পরিকল্পনা এবং রাজস্বকে লাইনচ্যুত করতে পারে।
• ডিজিটাল স্কিমিং (অর্থাৎ, ম্যাজকার্ট আক্রমণ) ঘটে যখন হুমকি অভিনেতারা আপনার অর্থপ্রদানের পৃষ্ঠাগুলিতে বা তৃতীয় পক্ষের সফ্টওয়্যার সরবরাহকারী/উইজেটের মাধ্যমে সরাসরি স্কিমিং কোড সন্নিবেশ করার জন্য দুর্বলতাকে কাজে লাগায়। এই ধরনের আক্রমণগুলি প্রায়শই চিহ্নিত করা কঠিন, যার অর্থ তারা খ্যাতির অবর্ণনীয় ক্ষতি করতে পারে। এই হিসাবে গত বছর খুচরা তথ্য লঙ্ঘনের 18% জন্য দায়ী, অনুযায়ী ভেরাইজন.  
• ransomware খুচরা বিক্রেতাদের জন্য শীর্ষ হুমকিগুলির মধ্যে একটি, এবং এই ব্যস্ত মরসুমে হুমকি অভিনেতারা তাদের আক্রমণ বাড়িয়ে দিতে পারে এই আশায় যে আরও ব্যবসাগুলি তাদের ডেটা ফেরত এবং ডিক্রিপ্ট করার জন্য অর্থ প্রদানের জন্য প্রস্তুত। বিশেষ করে এসএমবিগুলি ক্রসহেয়ারে রয়েছে, কারণ তাদের নিরাপত্তা নিয়ন্ত্রণ কম কার্যকর হতে পারে।
• DDoS চাঁদাবাজি এবং/অথবা খুচরা বিক্রেতাদের ব্যাহত করার একটি জনপ্রিয় উপায় হিসেবে রয়ে গেছে। গত বছর, সেক্টর প্রাপ্তি প্রান্তে ছিল এই আক্রমণগুলির প্রায় পঞ্চমাংশের (17%) - একটি 53% বার্ষিক বৃদ্ধি (YoY), ব্ল্যাক ফ্রাইডেতে শীর্ষে দেখা যায়।
• সাপ্লাই চেইন আক্রমণ হতে পারে একটি ডিজিটাল সরবরাহকারীকে লক্ষ্য করে যেমন একটি সফ্টওয়্যার কোম্পানি বা এমনকি একটি ওপেন সোর্স সংগ্রহস্থল। অথবা তারা পেশাদার বা এমনকি পরিচ্ছন্নতার পরিষেবাগুলিতে আরও ঐতিহ্যবাহী ব্যবসার লক্ষ্য হতে পারে। লক্ষ্য লঙ্ঘন সম্ভব হয়েছিল যখন হ্যাকাররা একটি HVAC সরবরাহকারীর কাছ থেকে নেটওয়ার্ক শংসাপত্র চুরি করেছে৷
• অ্যাকাউন্ট টেকওভার (ATOs) দ্বারা সাধারণত সক্রিয় করা হয় চুরি করা, ফিশ করা বা ক্র্যাক করা শংসাপত্র. এটি একটি বড় ডেটা লঙ্ঘনের প্রচেষ্টার সূচনা হতে পারে, অথবা এটি গ্রাহকদের লক্ষ্য করে, শংসাপত্র স্টাফিং বা অন্যান্য নৃশংস বল প্রচারে হতে পারে। সাধারণত, ক্ষতিকারক বট এখানে ব্যবহার করা হয়।
• অন্যান্য খারাপ বট আক্রমণ স্ক্যালপিং (যেখানে প্রতিদ্বন্দ্বীরা উচ্চ মূল্যে পুনঃবিক্রয়ের জন্য চাহিদার মধ্যে পণ্য ক্রয় করে), পেমেন্ট/গিফট কার্ড জালিয়াতি এবং মূল্য স্ক্র্যাপিং (প্রতিযোগীদের আপনার দাম কমাতে সক্ষম করে) অন্তর্ভুক্ত করে। দূষিত বট গঠিত প্রায় 30% ইউকে ওয়েবসাইটগুলির দুই-তৃতীয়াংশের সাথে আজকের সমস্ত ইন্টারনেট ট্রাফিকের ব্লক করতে অক্ষম এমনকি সাধারণ আক্রমণ। সেখানে আনুমানিক 50% বৃদ্ধি ছিল 2022 ছুটির মরসুমে খারাপ বট ট্রাফিকের মধ্যে।
• API গুলি (অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস) খুচরা ডিজিটাল ট্রান্সফরমেশনের কেন্দ্রবিন্দুতে রয়েছে, যা আরও সংযুক্ত এবং নিরবচ্ছিন্ন গ্রাহক অভিজ্ঞতা সক্ষম করে। কিন্তু দুর্বলতা এবং ভুল কনফিগারেশনও একটি প্রদান করতে পারে হ্যাকারদের জন্য গ্রাহকের ডেটার জন্য সহজ রুট.

কীভাবে খুচরা বিক্রেতারা সাইবার ঝুঁকির বিরুদ্ধে নিজেদের রক্ষা করতে পারে

প্রতিক্রিয়া হিসাবে, খুচরা বিক্রেতাদের কর্মচারী উত্পাদনশীলতা এবং ব্যবসা বৃদ্ধির সাথে নিরাপত্তার ভারসাম্য বজায় রাখতে হবে। এটি সর্বদা একটি সহজ গণনা নয়, বিশেষ করে জীবনযাত্রার উচ্চ ব্যয় মুনাফা-অন্বেষণের উপর সর্বদা অধিক চাপ সৃষ্টি করে। কিন্তু এটা করা যেতে পারে। বিবেচনা করার জন্য এখানে 10টি সেরা অনুশীলন রয়েছে:

• নিয়মিত কর্মীদের প্রশিক্ষণ: এই বলা ছাড়া যেতে হবে. আপনার নিশ্চিত করুন কর্মীরা এমনকি অত্যাধুনিক ফিশিং আক্রমণগুলিও দেখতে পারে৷ এবং আপনার জায়গায় প্রতিরক্ষার একটি সহজ শেষ লাইন থাকবে।
• ডেটা অডিট: আপনার কাছে কী আছে, কোথায় সংরক্ষিত আছে, কোথায় প্রবাহিত হয় এবং কীভাবে সুরক্ষিত তা বুঝুন। এটি জিডিপিআর সম্মতির অংশ হিসাবে যেকোনো ক্ষেত্রেই করা উচিত।
• শক্তিশালী ডেটা এনক্রিপশন: একবার আপনি আপনার ডেটা আবিষ্কার এবং শ্রেণীবদ্ধ করার পরে, সবচেয়ে সংবেদনশীল তথ্যে শক্তিশালী এনক্রিপশন প্রয়োগ করুন। এটি একটি ক্রমাগত ভিত্তিতে করা উচিত।
• ঝুঁকি ভিত্তিক প্যাচ ব্যবস্থাপনা: সফ্টওয়্যার প্যাচিংয়ের গুরুত্বকে ছোট করা যাবে না। কিন্তু প্রতি বছর প্রকাশিত নতুন দুর্বলতার নিছক সংখ্যা অপ্রতিরোধ্য হতে পারে। স্বয়ংক্রিয় ঝুঁকি-ভিত্তিক সিস্টেমগুলি প্রক্রিয়াটিকে প্রবাহিত করতে এবং সবচেয়ে গুরুত্বপূর্ণ সিস্টেম এবং দুর্বলতাগুলিকে অগ্রাধিকার দিতে সহায়তা করবে।
• বহু-স্তরীয় প্রতিরক্ষামূলক নিরাপত্তা: সাইবার হুমকির প্রতিরোধমূলক বাধা হিসাবে একটি সার্ভার, এন্ডপয়েন্ট, ইমেল নেটওয়ার্ক এবং ক্লাউড লেয়ারে অ্যান্টি-ম্যালওয়্যার এবং অন্যান্য ক্ষমতা বিবেচনা করুন।
• XDR: হুমকির জন্য যেগুলি প্রতিরোধমূলক নিয়ন্ত্রণগুলিকে এড়াতে পরিচালনা করে, নিশ্চিত করুন যে হুমকি শিকার এবং ঘটনার প্রতিক্রিয়া সমর্থন সহ একাধিক স্তর জুড়ে শক্তিশালী বর্ধিত সনাক্তকরণ এবং প্রতিক্রিয়া (XDR) কাজ করছে।
  
• সাপ্লাই চেইন নিরাপত্তা: ডিজিটাল অংশীদার এবং সফ্টওয়্যার বিক্রেতা সহ সমস্ত সরবরাহকারীদের অডিট করুন তাদের নিরাপত্তা ভঙ্গি আপনার ঝুঁকির ক্ষুধার সাথে সঙ্গতিপূর্ণ কিনা তা নিশ্চিত করতে।
• শক্তিশালী অ্যাক্সেস নিয়ন্ত্রণ: শক্তিশালী, অনন্য পাসওয়ার্ড এবং মাল্টি-ফ্যাক্টর প্রমাণীকরণের জন্য পাসওয়ার্ড পরিচালক সকল সংবেদনশীল অ্যাকাউন্টের জন্য আবশ্যক। এক্সডিআর, এনক্রিপশন, নেটওয়ার্ক বিভাজন এবং প্রতিরোধমূলক নিয়ন্ত্রণের পাশাপাশি তারা একটি ভিত্তি তৈরি করে জিরো ট্রাস্ট নিরাপত্তা পদ্ধতি.
• দুর্যোগ পুনরুদ্ধার/ব্যবসায়িক ধারাবাহিকতা পরিকল্পনা: পরিকল্পনা পর্যালোচনা করা সঠিক ব্যবসায়িক প্রক্রিয়া এবং প্রযুক্তি টুলিং নিশ্চিত করতে সাহায্য করবে।
• ঘটনার প্রতিক্রিয়া পরিকল্পনা: আপনার পরিকল্পনাগুলি জলরোধী এবং নিয়মিত পরীক্ষা করা হয়েছে তা নিশ্চিত করুন, তাই প্রতিটি স্টেকহোল্ডার জানেন যে একটি খারাপ পরিস্থিতিতে কী করতে হবে এবং কোনও হুমকির প্রতিক্রিয়া জানাতে এবং ধারণ করতে সময় নষ্ট হয় না।

বিশাল সংখ্যাগরিষ্ঠের জন্য, সব না হলে, খুচরা বিক্রেতা, PCI DSS সম্মতিও ব্যবসার জন্য একটি অপরিহার্য প্রয়োজন হবে। এটিকে বোঝার পরিবর্তে একটি সুযোগ বিবেচনা করুন। এর বিশদ প্রয়োজনীয়তাগুলি আপনাকে আরও পরিপক্ক নিরাপত্তা ভঙ্গি তৈরি করতে এবং ঝুঁকির এক্সপোজার কমাতে সাহায্য করবে। শক্তিশালী এনক্রিপশনের মতো প্রযুক্তিগুলিও কমপ্লায়েন্সের খরচ এবং প্রশাসনিক বোঝা কমাতে সাহায্য করতে পারে। শুভ ছুটির দিন.