Jaemüük ohus: suurimad ohud, millega jaemüüjad sel pühadehooajal silmitsi seisavad

Äri turvalisus

Kuigi võib olla juba liiga hilja oma turvapoliitikasse hulgimüügi muudatusi teha, ei tee halba vaadata värske pilguga, kus on suurimad ohud ja millised parimad tavad aitavad neid neutraliseerida.

Phil Muncaster

28 2023 november  •  , 6 min. lugeda

Pühadeostlemise hooaeg on tõsiselt alanud. Kuigi jaemüüjad on keskendunud jockeying jaoks hinnanguliselt 1.5 triljonit dollarit müüki sel aastal (ja see kehtib ainult USA kohta), võib nende raske töö nurjuda, kuna küberturvalisusele ei pöörata piisavalt tähelepanu. 

Miks? Sest praegu on jaemüügi IT-meeskondade jaoks parimad ja halvimad ajad. Klientide jaoks on aasta kiireim aeg ka a magnet küberkurjategijatele. Ja kuigi praeguses etapis võib olla juba liiga hilja oma turvapoliitikasse hulgi muudatusi teha, ei tee halba vaadata värske pilguga, kus on suurimad ohud ja millised parimad tavad aitavad neid neutraliseerida.

Miks jaemüük, miks nüüd?

Jaemüüjad on küberkurjategijate poolt juba ammu erikohtlemise tõttu esile tõstetud. Ja aasta kiireim ostlemisperiood on juba ammu kujutanud endast kuldset võimalust streikida. Aga miks?

• Jaemüüjad hoiavad oma klientide kohta rahaks teenitavat isiklikku ja finantsteavet. Mõelge lihtsalt kõigile neile kaardi üksikasjadele. Pole üllatav, et kõik (100%) analüüsitud jaemüügiandmete rikkumised Verizon viimase aasta jooksul on ajendatud rahalisest motiivist.
• Pühadeostlemise hooaeg on jaemüüjate jaoks tulude seisukohast kõige olulisem aeg aastas. Kuid see tähendab, et nad puutuvad rohkem kokku küberohtudega, nagu lunavara või hajutatud teenuse keelamine (DDoS), mille eesmärk on teenusest keeldumise kaudu raha välja pressida. Teise võimalusena võivad konkurendid käivitada DDoS-i rünnakud, et keelata oma rivaalidele elutähtsad tavad ja tulud.
• Aasta kiireim aeg tähendab, et töötajad, eriti pingelised IT-meeskonnad, on rohkem keskendunud ettevõtte võimalikult suure tulu teenimisele kui küberohtude otsimisele. Nad võivad isegi sisemisi pettusefiltreid kohandada, et võimaldada suuremaid oste ilma kontrollita heaks kiita.
• Jaemüüjad toetuvad üha enam digitaalsetele süsteemidele, et luua mitme kanaliga kaubanduskogemusi, sealhulgas pilvepõhine äritarkvara, kaupluses olevad asjade Interneti-seadmed ja klientidele suunatud mobiilirakendused. Seda tehes laiendavad nad (sageli tahtmatult) potentsiaalset rünnakupinda.

Ärgem unustagem, et üks neist maailma suurim registreeritud andmerikkumine toimus ja kuulutati välja pühadehooajal 2013. aastal, mil häkkerid varastasid USA jaemüüjalt Target 110 miljonit kliendikirjet.

Millised on jaemüüjate suurimad küberohud sel pühadehooajal?

Jaemüüjad ei pea mitte ainult kaitsma suuremat ründepind, peavad nad võitlema ka järjest suurema valiku taktikate, tehnikate ja protseduuridega (TTP) kindlate vastaste hulgast. Ründajate eesmärgid on kas varastada klientide ja töötajate andmeid, DDoS-i kaudu oma äritegevust välja pressida/häirida, pettusi toime panna või konkurentsieelise saavutamiseks roboteid kasutada. Siin on mõned peamised jaemüügi küberohud:

• Andmete rikkumine võib tuleneda töötajate varastatud/murtud/andmepüügiandmetest või haavatavuse ärakasutamisest, eriti veebirakendustes. Tulemuseks on suur rahaline ja mainekahju, mis võib kasvuplaanid ja tulud rööpast välja lüüa.
• Digitaalne skimming (st Magecarti rünnakud) ilmneb siis, kui ohus osalejad kasutavad turvaauke, et sisestada näpunäitekoodi otse teie makselehtedele või kolmanda osapoole tarkvaratarnija/vidina kaudu. Selliseid rünnakuid on sageli raske märgata, mis tähendab, et need võivad mainet kahjustada. Vastavalt andmetele moodustasid need eelmisel aastal 18% jaemüügiandmetega seotud rikkumistest Verizon.  
• väljapressimisvaraga on jaemüüjate jaoks üks peamisi ohte ning sellel kiirel hooajal võivad ohus osalejad rünnata lootuses, et rohkem ettevõtteid on valmis oma andmete tagasisaamise ja dekrüpteerimise eest maksma. Eelkõige on sihtpunktis väikesed ja keskmise suurusega ettevõtted, kuna nende turvakontrollid võivad olla vähem tõhusad.
• DDoS on endiselt populaarne viis jaemüüjate väljapressimiseks ja/või häirimiseks. Eelmisel aastal, sektor oli vastuvõtvas otsas Peaaegu viiendiku (17%) nendest rünnakutest – 53% aastatagusest (aasta-aastast) tõus, kusjuures tipud täheldati musta reede ajal.
• Tarneahela rünnakud võib olla suunatud digitaalsele tarnijale näiteks tarkvarafirma või isegi avatud lähtekoodiga hoidla. Või võivad need olla suunatud traditsioonilisematele professionaalsetele või isegi puhastusteenustega tegelevatele ettevõtetele. Sihtmärgi rikkumine sai võimalikuks, kui häkkerid varastasid HVAC-tarnijalt võrgumandaadid.
• Kontode ülevõtmised (ATO-d) on tavaliselt lubatud varastatud, andmepüügi või krakitud volikirjad. See võib olla suure andmemurdmise katse algus või see võib olla suunatud klientidele, mandaatide täitmisele või muudele jõhkra jõu kampaaniatele. Tavaliselt kasutatakse siin pahatahtlikke roboteid.
• Muud halbade robotite rünnakud hõlmab skalpimist (kus konkurendid ostavad nõutavaid kaupu kõrgema hinnaga edasimüügiks), makse-/kinkekaardipettusi ja hinnakraapimist (võimaldab konkurentidel teie hindu alla lüüa). Pahatahtlikud robotid hõlmavad ümber 30% kogu Interneti-liiklusest täna, kahe kolmandiku Ühendkuningriigi veebisaitidest ei saa blokeerida isegi lihtsad rünnakud. Seal oli hinnanguliselt 50% kasv 2022. aasta pühadehooajal halbade robotite liikluses.
• API-liidesed (rakenduse programmeerimisliides) on jaemüügi digitaalse ümberkujundamise keskmes, võimaldades paremini ühendatud ja sujuvamat kliendikogemust. Kuid haavatavused ja väärkonfiguratsioonid võivad samuti pakkuda häkkerite jaoks lihtne tee kliendiandmeteni.

Kuidas jaemüüjad saavad end küberriskide eest kaitsta

Vastuseks peavad jaemüüjad tasakaalustama turvalisuse töötajate tootlikkuse ja ettevõtte kasvuga. See ei ole alati lihtne arvutamine, eriti kui kõrge elukallidus avaldab kasumiotsimisele üha suuremat survet. Aga seda saab teha. Siin on 10 parimat tava, mida kaaluda:

• Regulaarne personali koolitus: See peaks olema ütlematagi selge. Tagada oma töötajad võivad märgata isegi keerukaid andmepüügirünnakuid ja teil on mugav viimane kaitseliin.
• Andmete audit: saate aru, mis teil on, kus seda hoitakse, kuhu see voolab ja kuidas see on kaitstud. Seda tuleks igal juhul teha osana GDPR-i järgimisest.
• Tugev andmete krüptimine: Kui olete oma andmed avastanud ja klassifitseerinud, rakendage kõige tundlikumale teabele tugevat krüptimist. Seda tuleks teha pidevalt.
• Riskipõhine plaastrihaldus: Tarkvara parandamise tähtsust ei saa alahinnata. Kuid igal aastal avaldatavate uute turvaaukude arv võib olla tohutu. Automatiseeritud riskipõhised süsteemid peaksid aitama protsessi sujuvamaks muuta ning seada prioriteediks kõige olulisemad süsteemid ja haavatavused.
• Mitmekihiline kaitse: Kaaluge pahavaratõrjet ja muid võimalusi serveris, lõpp-punktis, meilivõrgus ja pilvekihis küberohtude ennetava barjäärina.
• XDR: Ohtude puhul, mis suudavad ennetavast kontrollist mööda hiilida, veenduge, et mitmel tasandil töötaks tugev laiendatud tuvastamine ja reageerimine (XDR), sealhulgas ohuotsingute ja intsidentidele reageerimise toetamine.
  
• Tarneahela turvalisus: Auditeerige kõiki tarnijaid, sealhulgas digipartnereid ja tarkvaramüüjaid, et tagada nende turvalisus teie riskivalmidusega.
• Tugev juurdepääsu kontroll: Tugevate unikaalsete paroolide ja mitmefaktorilise autentimise paroolihaldurid on kohustuslikud kõikide tundlike kontode jaoks. Koos XDR-i, krüptimise, võrgu eraldamise ja ennetavate kontrollidega moodustavad need a Null usalduse turvalisuse lähenemine.
• Katastroofitaaste/äritegevuse järjepidevuse planeerimine: Plaanide ülevaatamine aitab tagada õigete äriprotsesside ja tehnoloogiliste tööriistade olemasolu.
• Juhtumitele reageerimise planeerimine: Veenduge, et teie plaanid oleksid vettpidavad ja regulaarselt testitud, nii et iga sidusrühm teaks, mida halvima stsenaariumi korral teha, ja et ei läheks aega raisatud ohule reageerimisele ja selle ohjeldamisele.

Enamiku, kui mitte kõigi jaemüüjate jaoks on PCI DSS-i järgimine ka ettevõtete jaoks oluline nõue. Pidage seda pigem võimaluseks kui koormaks. Selle üksikasjalikud nõuded aitavad teil luua küpsema turvahoiaku ja minimeerida riski. Sellised tehnoloogiad nagu tugev krüptimine võivad samuti aidata vähendada nõuetele vastavuse kulusid ja halduskoormust. Häid pühi.