Vähittäiskauppa vaarassa: Vähittäiskauppiaiden suurimmat uhat tänä jouluna

Liiketoiminnan turvallisuus

Vaikka saattaa olla liian myöhäistä tehdä tukkutason muutoksia tietoturvakäytäntöihisi, ei ole haittaa tarkastella uudelleen, missä suurimmat uhat ovat ja mitkä parhaat käytännöt voivat auttaa neutraloimaan ne.

Phil Muncaster

28 marraskuu 2023  •  , 6 min. lukea

Jouluostoskausi on alkanut tosissaan. Vaikka jälleenmyyjät ovat keskittyneet jockeying varten arviolta 1.5 biljoonaa dollaria tänä vuonna (ja tämä koskee vain Yhdysvaltoja), heidän kova työnsä saattaa olla turhaa, jos kyberturvallisuuteen ei kiinnitetä tarpeeksi huomiota. 

Miksi? Koska tämä on parhaita aikoja ja pahimpia aikoja vähittäiskaupan IT-tiimille. Asiakkaiden vuoden kiireisin aika on myös a magneetti kyberrikollisille. Ja vaikka tässä vaiheessa saattaa olla liian myöhäistä tehdä tukkutason muutoksia tietoturvakäytäntöihisi, ei ole haittaa tarkastella uudelleen, missä suurimmat uhat ovat ja mitkä parhaat käytännöt voivat auttaa neutraloimaan ne.

Miksi vähittäiskauppa, miksi nyt?

Verkkorikolliset ovat jo pitkään valinneet vähittäiskauppiaille erityiskohtelun. Ja vuoden vilkkain ostoskausi on jo pitkään edustanut kultaista mahdollisuutta lakkoon. Mutta miksi?

• Jälleenmyyjillä on erittäin kaupallistavia henkilökohtaisia ​​ja taloudellisia tietoja asiakkaistaan. Ajattele vain kaikkia noita korttitietoja. Ei ole yllätys, että kaikki (100 %) vähittäiskaupan tietomurrot analysoivat Verizon kuluneen vuoden aikana taloudellisista syistä.
• Jouluostoskausi on vähittäiskauppiaille liikevaihdon kannalta tärkein vuodenaika. Mutta tämä tarkoittaa, että he ovat alttiimpia kyberuhkille, kuten lunnasohjelmat tai hajautettu palvelunesto (DDoS), joiden tarkoituksena on kiristää rahaa kieltämällä palvelu. Vaihtoehtoisesti kilpailijat voivat käynnistää DDoS-hyökkäyksiä estääkseen kilpailijoiltaan elintärkeän tavan ja tulot.
• Vuoden kiireisin aika tarkoittaa, että työntekijät, varsinkin venyneet IT-tiimit, keskittyvät enemmän tukemaan yritystä saamaan mahdollisimman paljon tuloja kuin varautumaan kyberuhkiin. He saattavat jopa säätää sisäisiä petossuodattimia salliakseen suurempien ostojen hyväksymisen ilman valvontaa.
• Jälleenmyyjät luottavat yhä enemmän digitaalisiin järjestelmiin rakentaessaan monikanavaisia ​​kaupankäyntikokemuksia, mukaan lukien pilvipohjaiset yritysohjelmistot, myymälässä olevat IoT-laitteet ja asiakaskohtaiset mobiilisovellukset. Näin tehdessään he laajentavat (usein tietämättään) mahdollista hyökkäyspintaa.

Älkäämme unohtako, että yksi niistä maailman suurimmat koskaan rekisteröidyt tietomurrot tapahtui ja julkistettiin lomakaudella 2013, jolloin hakkerit varastivat 110 miljoonaa asiakastietoa yhdysvaltalaiselta jälleenmyyjältä Targetilta.

Mitkä ovat suurimmat kyberuhat vähittäiskauppiaille tänä jouluna?

Ei vain vähittäiskauppiaiden tarvitse puolustaa suurempaa hyökkäyspinta, heidän on myös taisteltava yhä laajemman valikoiman taktiikoita, tekniikoita ja menettelyjä (TTP) vastaan ​​määrätietoisilta vihollisilta. Hyökkääjien tavoitteet ovat joko varastaa asiakkaiden ja työntekijöiden tietoja, kiristää tai häiritä liiketoimintaasi DDoS:n avulla, tehdä petoksia tai käyttää botteja kilpailuedun saamiseksi. Tässä on joitain tärkeimmistä vähittäiskaupan kyberuhkista:

• Tietosuojaus voi johtua varastetuista/murtuneista/tietojenkalasteluista työntekijöiden tunnistetiedoista tai haavoittuvuuden hyväksikäytöstä, erityisesti verkkosovelluksissa. Seurauksena on suuria taloudellisia ja mainevaurioita, jotka voivat suistaa kasvusuunnitelmat ja tulot.
• Digitaalinen keraaminen (ts. Magecart-hyökkäykset) tapahtuu, kun uhkatoimijat käyttävät haavoittuvuuksia lisätäkseen salauskoodin suoraan maksusivuillesi tai kolmannen osapuolen ohjelmistotoimittajan/widgetin kautta. Tällaisia ​​hyökkäyksiä on usein vaikea havaita, mikä tarkoittaa, että ne voivat vahingoittaa mainetta suunnattomasti. Niiden osuus vähittäiskaupan tietomurroista viime vuonna oli 18 prosenttia Verizon.  
• ransomware on yksi vähittäiskauppiaiden suurimmista uhista, ja tänä kiireisenä kauden aikana uhkatekijät voivat tehdä hyökkäyksiään toivoen, että useammat yritykset ovat valmiita maksamaan tietojensa palauttamisesta ja salauksen purkamisesta. Varsinkin pk-yritykset ovat hiusristikkouksissa, koska niiden turvatarkastukset voivat olla tehottomampia.
• DDoS on edelleen suosittu tapa kiristää ja/tai häiritä jälleenmyyjiä. Viime vuonna, sektori oli vastaanottopäässä Lähes viidesosa (17 %) näistä hyökkäyksistä – 53 prosentin vuosikasvu (yoY) ja huiput havaittiin Black Fridayn aikana.
• Toimitusketjun hyökkäykset ehkä suunnattu digitaaliselle toimittajalle kuten ohjelmistoyritys tai jopa avoimen lähdekoodin arkisto. Tai ne voivat olla suunnattu perinteisemmille ammatti- tai jopa siivouspalveluyrityksille. Tavoitteen rikkominen tehtiin mahdolliseksi, kun hakkerit varastivat verkkotunnukset LVI-toimittajalta.
• Tilin haltuunotot (ATO) ovat tyypillisesti käytössä varastetut, kalastellut tai murretut käyttäjätiedot. Se voi olla aloitus suurelle tietomurtoyritykselle tai se voi olla suunnattu asiakkaille, valtuustietojen täyttämiseen tai muihin raa'an voiman kampanjoihin. Tyypillisesti täällä käytetään haitallisia botteja.
• Muut huonojen bottien hyökkäykset sisältää scalping (jossa kilpailijat ostavat kysyntä-tuotteita jälleenmyyntiä varten korkeammalla hinnalla), maksu-/lahjakorttipetokset ja hinnan raapiminen (jolloin kilpailijat voivat alittaa hintojasi). Haitalliset robotit sisältävät noin 30% kahdella kolmasosalla Yhdistyneen kuningaskunnan verkkosivustoista ei pysty estämään jopa yksinkertaisia ​​hyökkäyksiä. siellä oli arviolta 50 % lisäys bad bot -liikenteessä 2022 lomakaudella.
• API (Application Programming Interface) ovat vähittäiskaupan digitaalisen muutoksen ytimessä, mikä mahdollistaa entistä yhdistetymmät ja saumattomat asiakaskokemukset. Mutta haavoittuvuudet ja virheelliset määritykset voivat myös tarjota helppo reitti hakkereille asiakastietoihin.

Kuinka vähittäiskauppiaat voivat suojautua kyberriskeiltä

Vastauksena jälleenmyyjien on tasapainotettava turvallisuus työntekijöiden tuottavuuden ja liiketoiminnan kasvun kanssa. Se ei ole aina helppo laskelma, varsinkin kun korkeat elinkustannukset asettavat yhä suuremman paineen voiton tavoittelulle. Mutta se voidaan tehdä. Tässä on 10 parasta käytäntöä, jotka kannattaa harkita:

• Säännöllinen henkilöstön koulutus: Tämän pitäisi olla sanomattakin selvää. Varmista omasi työntekijät voivat havaita jopa kehittyneitä tietojenkalasteluhyökkäyksiä ja sinulla on kätevä viimeinen puolustuslinja paikallaan.
• Tietojen tarkastus: Ymmärrä, mitä sinulla on, missä se on säilytetty, missä se virtaa ja miten se on suojattu. Tämä tulee tehdä joka tapauksessa osana GDPR-vaatimustenmukaisuutta.
• Vahva tietojen salaus: Kun olet löytänyt ja luokitellut tietosi, käytä vahvaa salausta kaikkein arkaluontoisille tiedoille. Tämä tulisi tehdä jatkuvasti.
• Riskipohjainen korjaustiedostojen hallinta: Ohjelmistojen korjauksen merkitystä ei voi aliarvioida. Mutta vuosittain julkaistavien uusien haavoittuvuuksien valtava määrä voi olla valtava. Automatisoitujen riskiin perustuvien järjestelmien pitäisi auttaa virtaviivaistamaan prosessia ja priorisoimaan tärkeimmät järjestelmät ja haavoittuvuudet.
• Monikerroksinen suojaus: Harkitse haittaohjelmien torjuntaa ja muita ominaisuuksia palvelimessa, päätepisteessä, sähköpostiverkossa ja pilvikerroksessa kyberuhkien ehkäisevänä esteenä.
• XDR: Jos uhat onnistuvat kiertämään ennaltaehkäiseviä hallintatoimenpiteitä, varmista, että laaja ja laajennettu tunnistus- ja vastaustoiminto (XDR) toimii useilla kerroksilla, mukaan lukien uhkien etsintä- ja välikohtaustoimien tukeminen.
  
• Toimitusketjun turvallisuus: Tarkista kaikki toimittajat, mukaan lukien digitaaliset kumppanit ja ohjelmistotoimittajat, varmistaaksesi, että heidän turvallisuusasentonsa vastaa riskinottohaluasi.
• Vahvat pääsynhallintalaitteet: Vahvat, ainutlaatuiset salasanat ja monivaiheinen todennus ovat välttämättömiä kaikille arkaluonteisille tileille. Yhdessä XDR:n, salauksen, verkon erottelun ja ennaltaehkäisevien ohjausten kanssa ne muodostavat perustan a Zero Trust -turvallisuuslähestymistapa.
• Katastrofipalautus/toiminnan jatkuvuuden suunnittelu: Suunnitelmien tarkistaminen auttaa varmistamaan, että oikeat liiketoimintaprosessit ja teknologiatyökalut ovat käytössä.
• Tapahtumasuunnittelu: Varmista, että suunnitelmasi ovat vesitiiviitä ja niitä testataan säännöllisesti, jotta jokainen sidosryhmä tietää, mitä tehdä pahimmassa tapauksessa, eikä aikaa mene hukkaan uhan reagoimiseen ja hillitsemiseen.

Suurimmalle osalle, ellei kaikille, jälleenmyyjille, PCI DSS -yhteensopivuus on myös olennainen vaatimus yrityksille. Pidä tätä enemmän mahdollisuutena kuin taakana. Sen yksityiskohtaiset vaatimukset auttavat sinua rakentamaan kypsemmän turvallisuusasennon ja minimoimaan riskialtistuksen. Teknologiat, kuten vahva salaus, voivat myös auttaa vähentämään vaatimustenmukaisuuden kustannuksia ja hallinnollista taakkaa. Hyvää lomaa.