Während die Feiertage vor der Tür stehen, bereiten sich nicht nur Verbraucher und Einzelhändler auf die Saison vor. Cyberkriminelle sind ihnen auf den Fersen. Es ist kein Geheimnis, dass wichtige Feiertage für Verbraucher – vom Amazon Prime Day bis zum Feiertagssprint zum Jahresende – große Ziele für Bedrohungsakteure darstellen. Prognosen für den diesjährigen Black Friday zeigen, dass die Online-Ausgaben reichen 13 Milliarden Dollar.
Das ist eine lukrative Gelegenheit für schlechte Schauspieler.
In diesem Jahr sind Einzelhändler bereits mit der Inflation, einer drohenden Rezession und drohenden Datenschutzgesetzen konfrontiert. Sie können es sich einfach nicht leisten 4.35 Mio. US$ Bruch.
Ho-Ho-Ho mit eingeschränkter Sicherheit dieses Jahr?
Einzelhändler müssen ihre Sicherheitslage im Auge behalten. Das bedeutet, eine wirksame Erkennung und Reaktion zu implementieren; Schwachstellen finden Bevor Zu dieser Jahreszeit kommt es zu einem Einfrieren des Einzelhandelswechsels. Management von Risiken Dritter; und sicherzustellen, dass die Mitarbeiter die Schulung erhalten, die sie benötigen.
Das schwächste Glied vor dem Wahnsinn finden
Es ist üblich, dass Einzelhändler ein bis zwei Monate vor dem Feiertagsansturm bis zur zweiten oder dritten Januarwoche harte Umstellungsstopps einführen. Dadurch wird verhindert, dass an den geschäftigsten und wichtigsten Verkaufstagen des Jahres größere Systemänderungen (die sich auf das Kundenerlebnis auswirken) umgesetzt werden.
In den Wochen vor dem harten Änderungsstopp versuchen Entwickler oft, eine letzte Änderung am Code oder an der Infrastruktur durchzusetzen. Dieser Ansturm vor Ablauf der Frist kann manchmal zu Fehlern führen und ungepatchte und ungetestete Systeme anfällig für Angriffe machen. Cyberkriminelle sind mit diesen Zeiten des harten Wandels bestens vertraut und planen ihre Angriffe oft in diesem Zeitfenster.
Die Durchführung statischer und dynamischer Anwendungssicherheitstests (SAST und DAST) als Teil regelmäßiger App-Testprogramme ist die beste Möglichkeit, Schwachstellen zu identifizieren, bevor der jährliche Code einfriert. Diese beiden Tests prüfen Bewerbungen von unterschiedlichen Seiten. SAST konzentriert sich auf Softwarefehler wie SQL-Injection, während DAST Schwachstellen findet, die von böswilligen Akteuren ausgenutzt werden können.
Einzelhändler sollten sich beim Testen auf kritische und stark frequentierte Anwendungen wie Zahlungsgateways, Eingabefelder und sogar zentrale Webcodes konzentrieren.
Behalten Sie Drittanbieter im Auge
Früher in diesem Jahr, Der Autohersteller Toyota hat seine Produktion eingestellt nachdem ein Kunststoff- und Elektroniklieferant von einem Cyberangriff betroffen war. Die eingestellte Produktion kostete das Unternehmen rund 13,000 Autos. Obwohl der Produktionsausfall kostspielig erscheinen mag, ist er im Vergleich zu einem tatsächlichen Verstoß ein geringer Preis.
Dies zeigt, dass Risikomanagement durch Dritte (TPRM) bleibt für viele Unternehmen ein unterversorgter Sicherheitsbereich, und Einzelhändler müssen TPRM weiterhin Priorität einräumen und aus der Fallstudie lernen.
TPRM- und Anbieter-Risikomanagement-Fragebögen helfen bei der Beurteilung der Sicherheitslage von Partnerorganisationen. Viele Umfragen auf Unternehmensebene umfassen bis zu 1,000 Fragen, aber die Hauptbereiche, die angesprochen werden sollten, sind: Informationssicherheit, Sicherheit von Rechenzentren, Sicherheit von Webanwendungen, Schutz der Infrastruktur sowie Sicherheitskontrollen und -technologie.
Während Einzelhändler regelmäßig Tests an ihrem eigenen Code durchführen, der Integrationen von Drittanbietern umfasst, geht dieser nicht über die Grenzen ihrer eigenen Netzwerke hinaus. Einzelhändler sollten verlangen von ihren Anbietern die Durchführung umfassender Code-Penetrationstests auf halbjährlicher Basis und nächtliche Tests, wenn ihre Partner Codes aktualisieren oder ändern.
Aufrechterhaltung der Sicherheitsschulungen trotz der Drehtür des Talents
Schulung ist zweifellos der schwierigste Teil für Einzelhändler. Der Großer Rücktritt hat Unternehmen gezwungen, ihre Schulungs- und Einarbeitungsprozesse neu zu bewerten, wobei Cybersicherheit nur einen kleinen Teil davon ausmacht. Allerdings sind 82 % der von Verizon analysierten Verstöße „Bericht über Untersuchungen zu Datenschutzverletzungen“ beinhaltete ein menschliches Element. Daher ist die Schulung der Mitarbeiter wichtiger denn je.
Etablierte Einzelhändler verfügen wahrscheinlich über eine Art Sensibilisierungsprogramm für Cybersicherheit. Aber sie können (und sollten) darauf aufbauen. Wenn Cybersicherheitsteams Lücken bei Penetrationstests identifizieren, können sie diese Erkenntnisse mit den Mitarbeitern teilen und erklären, wie diese Schwachstellen manipuliert werden können. Dieses Maß an Transparenz hilft den Mitarbeitern, ihre Rolle beim Schutz der Unternehmens- und Verbraucherdaten zu verstehen.
Passwortsicherheit steht an erster Stelle
Und zu guter Letzt im Mitarbeiterprogramm: Passwörter. Passwortsicherheit ist nach wie vor ein Kernproblem Dies führt zu einer erschreckenden Anzahl von Datenschutzverstößen, die heute auftreten, oder spielt eine Schlüsselrolle dabei. Gestohlene Zugangsdaten sind für Bedrohungsakteure eine der einfachsten Möglichkeiten, sich Zugang zu Informationen zu verschaffen. Kompromittierte Anmeldeinformationen sind die Ursache dafür 19% der Datenverstöße (PDF). Das Traurige daran ist 45% der Verbraucher Betrachten Sie die Weitergabe von Passwörtern nicht als ernstes Problem. Einzelhändler sollten die Priorität einer guten Passworthygiene stärken, aber ebenso wichtig ist, dass sie die Multifaktor-Authentifizierung (MFA) überall und überall implementieren, wo dies möglich ist.
Viele Einzelhändler haben bereits mit Weihnachtsverkäufen begonnen, um Inflations- und Personalproblemen zuvorzukommen. Aber sie dürfen in dieser Hektik zum Jahresende ihre Sicherheitslage nicht vergessen. Unternehmen müssen der Cybersicherheit eine ebenso wichtige Priorität einräumen wie der Umsatzsteigerung, indem sie SAST und DAST in ihre App-Tests integrieren. Überwachung und Management von Risiken Dritter; und Sicherung von Anmeldeinformationen durch Schulung und ordnungsgemäße Authentifizierung mithilfe von MFA.
