खुदरा जोखिम में: इस छुट्टियों के मौसम में खुदरा विक्रेताओं के सामने सबसे बड़ा खतरा है

व्यावसायिक सुरक्षा

हालाँकि आपकी सुरक्षा नीतियों में व्यापक बदलाव लाने में बहुत देर हो सकती है, लेकिन सबसे बड़े खतरे कहाँ हैं और कौन सी सर्वोत्तम प्रथाएँ उन्हें बेअसर करने में मदद कर सकती हैं, इस पर नए सिरे से विचार करने में कोई हर्ज नहीं है।

फिल मुनकास्टर

नवम्बर 28 2023  •  , 6 मिनट। पढ़ना

छुट्टियों की खरीदारी का मौसम ज़ोर-शोर से शुरू हो गया है। जबकि खुदरा विक्रेता सामान जुटाने पर ध्यान केंद्रित कर रहे हैं बिक्री में अनुमानित $1.5 ट्रिलियन इस साल (और यह सिर्फ अमेरिका के लिए है), साइबर सुरक्षा पर पर्याप्त ध्यान नहीं देने से उनकी कड़ी मेहनत बेकार हो सकती है। 

क्यों? क्योंकि खुदरा आईटी टीमों के लिए यह सबसे अच्छा समय और सबसे खराब समय है। ग्राहकों के लिए साल का सबसे व्यस्त समय भी है साइबर अपराधियों के लिए चुंबक. और हालांकि इस स्तर पर आपकी सुरक्षा नीतियों में थोक परिवर्तन लाने में बहुत देर हो सकती है, लेकिन सबसे बड़े खतरे कहां हैं, और कौन सी सर्वोत्तम प्रथाएं उन्हें बेअसर करने में मदद कर सकती हैं, इस पर नए सिरे से विचार करने में कोई हर्ज नहीं है।

खुदरा क्यों, अभी क्यों?

खुदरा विक्रेताओं को लंबे समय से साइबर अपराधियों द्वारा विशेष उपचार के लिए चुना गया है। और वर्ष की सबसे व्यस्त खरीदारी अवधि लंबे समय से हड़ताल करने का एक सुनहरा अवसर प्रस्तुत करती है। लेकिन क्यों?

• खुदरा विक्रेता अपने ग्राहकों के बारे में अत्यधिक कमाई योग्य व्यक्तिगत और वित्तीय जानकारी रखते हैं। बस उन सभी कार्ड विवरणों के बारे में सोचें। यह कोई आश्चर्य की बात नहीं है कि सभी (100%) खुदरा डेटा उल्लंघनों का विश्लेषण किया गया है Verizon पिछले वर्ष वित्तीय उद्देश्य से प्रेरित थे।
• राजस्व के नजरिए से खुदरा विक्रेताओं के लिए छुट्टियों की खरीदारी का मौसम साल का सबसे महत्वपूर्ण समय होता है। लेकिन इसका मतलब यह है कि वे रैंसमवेयर या डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) जैसे साइबर खतरों के प्रति अधिक संवेदनशील हैं, जिन्हें सेवा से इनकार करके पैसे निकालने के लिए डिज़ाइन किया गया है। वैकल्पिक रूप से, प्रतिस्पर्धी अपने प्रतिद्वंद्वियों को महत्वपूर्ण कस्टम और राजस्व से वंचित करने के लिए DDoS हमले शुरू कर सकते हैं।
• वर्ष का सबसे व्यस्त समय होने का मतलब है कि कर्मचारी, विशेष रूप से विस्तारित आईटी टीमें, साइबर खतरों की तलाश करने की तुलना में व्यवसाय को यथासंभव अधिक राजस्व अर्जित करने में सहायता करने पर अधिक ध्यान केंद्रित कर रही हैं। वे बड़ी खरीदारी को बिना जांच के मंजूरी देने के लिए आंतरिक धोखाधड़ी फिल्टर में भी बदलाव कर सकते हैं।
• खुदरा विक्रेता क्लाउड-आधारित व्यावसायिक सॉफ़्टवेयर, इन-स्टोर IoT डिवाइस और ग्राहक-सामना वाले मोबाइल एप्लिकेशन सहित ओमनी-चैनल वाणिज्य अनुभव बनाने के लिए डिजिटल सिस्टम पर तेजी से भरोसा कर रहे हैं। ऐसा करने में, वे (अक्सर अनजाने में) संभावित हमले की सतह का विस्तार कर रहे हैं।

आइए इनमें से एक को न भूलें दुनिया का अब तक का सबसे बड़ा रिकॉर्ड किया गया डेटा उल्लंघन हुआ और इसकी घोषणा 2013 में छुट्टियों के मौसम के दौरान की गई थी हैकर्स ने अमेरिकी रिटेलर टारगेट से 110 मिलियन ग्राहक रिकॉर्ड चुरा लिए.

इस छुट्टियों के मौसम में खुदरा विक्रेताओं के लिए सबसे बड़े साइबर खतरे क्या हैं?

खुदरा विक्रेताओं को न केवल बड़े पैमाने का बचाव करना होता है हमले की सतह, उन्हें विरोधियों के एक निर्धारित समूह से तेजी से बढ़ती विभिन्न प्रकार की रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) का भी मुकाबला करना होगा। हमलावरों का लक्ष्य या तो है ग्राहक और कर्मचारी डेटा चुराएं, DDoS के माध्यम से आपके व्यवसाय को जबरन वसूली/बाधित करना, धोखाधड़ी करना, या प्रतिस्पर्धात्मक लाभ प्राप्त करने के लिए बॉट का उपयोग करना। यहां कुछ मुख्य खुदरा साइबर खतरे हैं:

• डेटा उल्लंघनों चोरी/क्रैक/फ़िश्ड कर्मचारी क्रेडेंशियल्स या भेद्यता शोषण से उत्पन्न हो सकता है, खासकर वेब अनुप्रयोगों में। परिणाम बड़ी वित्तीय और प्रतिष्ठा की क्षति है जो विकास योजनाओं और राजस्व को पटरी से उतार सकती है।
• डिजिटल स्किमिंग (यानी, मैजकार्ट हमले) तब होता है जब धमकी देने वाले कलाकार सीधे आपके भुगतान पृष्ठों पर या किसी तृतीय-पक्ष सॉफ़्टवेयर आपूर्तिकर्ता/विजेट के माध्यम से स्किमिंग कोड डालने के लिए कमजोरियों का फायदा उठाते हैं। ऐसे हमलों को पहचानना अक्सर मुश्किल होता है, जिसका अर्थ है कि वे प्रतिष्ठा को अप्रत्याशित नुकसान पहुंचा सकते हैं। के अनुसार, पिछले वर्ष खुदरा डेटा उल्लंघनों में इनका योगदान 18% था Verizon.  
• Ransomware खुदरा विक्रेताओं के लिए शीर्ष खतरों में से एक है, और इस व्यस्त मौसम के दौरान खतरे वाले कलाकार इस उम्मीद में अपने हमले बढ़ा सकते हैं कि अधिक व्यवसाय अपने डेटा को वापस पाने और डिक्रिप्ट करने के लिए भुगतान करने के लिए तैयार हैं। विशेष रूप से एसएमबी क्रॉसहेयर में हैं, क्योंकि उनके सुरक्षा नियंत्रण कम प्रभावी हो सकते हैं।
• DDoS खुदरा विक्रेताओं से उगाही करने और/या उन्हें बाधित करने का एक लोकप्रिय तरीका बना हुआ है। पिछले साल, सेक्टर को लाभ मिल रहा था इन हमलों का लगभग पांचवां हिस्सा (17%) - साल-दर-साल (YoY) 53% की वृद्धि, ब्लैक फ्राइडे के दौरान चरम पर देखी गई।
• आपूर्ति श्रृंखला हमले हो सकता है एक डिजिटल आपूर्तिकर्ता पर लक्षित जैसे कि एक सॉफ्टवेयर कंपनी या यहां तक ​​कि एक ओपन सोर्स रिपॉजिटरी। या उनका लक्ष्य पेशेवर या यहां तक ​​कि सफाई सेवाओं में अधिक पारंपरिक व्यवसाय हो सकते हैं। लक्ष्य का उल्लंघन यह तब संभव हुआ जब हैकरों ने एक एचवीएसी आपूर्तिकर्ता से नेटवर्क क्रेडेंशियल चुरा लिए।
• खाता अधिग्रहण (एटीओ) आमतौर पर द्वारा सक्षम किया जाता है चुराए गए, फ़िश किए गए या टूटे हुए क्रेडेंशियल. यह एक बड़े डेटा उल्लंघन प्रयास की शुरुआत हो सकती है, या इसका उद्देश्य क्रेडेंशियल स्टफिंग या अन्य क्रूर अभियानों में ग्राहकों को लक्षित करना हो सकता है। आमतौर पर यहां दुर्भावनापूर्ण बॉट्स का उपयोग किया जाता है।
• अन्य ख़राब बॉट हमले इसमें स्केलिंग (जहां प्रतिद्वंद्वी अधिक कीमत पर पुनर्विक्रय के लिए मांग वाले सामान खरीदते हैं), भुगतान/उपहार कार्ड धोखाधड़ी, और मूल्य स्क्रैपिंग (प्रतिस्पर्धियों को आपकी कीमतें कम करने में सक्षम बनाना) शामिल हैं। दुर्भावनापूर्ण बॉट शामिल हैं 30% के आसपास आज सभी इंटरनेट ट्रैफ़िक में से दो-तिहाई यूके की वेबसाइटें हैं ब्लॉक करने में असमर्थ यहां तक ​​कि साधारण हमले भी. वहाँ अनुमानित 50% वृद्धि थी 2022 के छुट्टियों के मौसम में खराब बॉट ट्रैफ़िक में।
• एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस) खुदरा डिजिटल परिवर्तन के केंद्र में हैं, जो अधिक कनेक्टेड और निर्बाध ग्राहक अनुभव को सक्षम बनाता है। लेकिन कमजोरियाँ और गलत कॉन्फ़िगरेशन भी एक प्रदान कर सकते हैं हैकर्स के लिए ग्राहक डेटा तक आसान रास्ता.

खुदरा विक्रेता साइबर जोखिमों से अपना बचाव कैसे कर सकते हैं

जवाब में, खुदरा विक्रेताओं को कर्मचारी उत्पादकता और व्यवसाय वृद्धि के साथ सुरक्षा को संतुलित करने की आवश्यकता है। यह हमेशा एक आसान गणना नहीं होती है, विशेष रूप से जीवन यापन की उच्च लागत के कारण लाभ चाहने वालों पर पहले से कहीं अधिक दबाव पड़ता है। लेकिन यह किया जा सकता है। यहां विचार करने योग्य 10 सर्वोत्तम प्रथाएं दी गई हैं:

• नियमित स्टाफ प्रशिक्षण: यह बिना कहे चला जाना चाहिए. अपना सुनिश्चित करें कर्मचारी परिष्कृत फ़िशिंग हमलों का भी पता लगा सकते हैं और आपके पास रक्षा की एक उपयोगी अंतिम पंक्ति होगी।
• डेटा ऑडिट: समझें कि आपके पास क्या है, यह कहां संग्रहीत है, यह कहां प्रवाहित होता है और इसकी सुरक्षा कैसे की जाती है। यह किसी भी स्थिति में जीडीपीआर अनुपालन के हिस्से के रूप में किया जाना चाहिए।
• मजबूत डेटा एन्क्रिप्शन: एक बार जब आप अपना डेटा खोज और वर्गीकृत कर लें, तो सबसे संवेदनशील जानकारी पर मजबूत एन्क्रिप्शन लागू करें। यह कार्य निरंतर किया जाना चाहिए।
• जोखिम-आधारित पैच प्रबंधन: सॉफ़्टवेयर पैचिंग के महत्व को कम करके नहीं आंका जा सकता। लेकिन हर साल प्रकाशित होने वाली नई कमजोरियों की भारी संख्या भारी पड़ सकती है। स्वचालित जोखिम-आधारित प्रणालियों को प्रक्रिया को सुव्यवस्थित करने और सबसे महत्वपूर्ण प्रणालियों और कमजोरियों को प्राथमिकता देने में मदद करनी चाहिए।
• बहुस्तरीय सुरक्षात्मक सुरक्षा: साइबर खतरों की रोकथाम के लिए सर्वर, एंडपॉइंट, ईमेल नेटवर्क और क्लाउड लेयर पर एंटी-मैलवेयर और अन्य क्षमताओं पर विचार करें।
• एक्सडीआर: उन खतरों के लिए जो निवारक नियंत्रणों को दरकिनार करने में कामयाब होते हैं, सुनिश्चित करें कि कई परतों में मजबूत विस्तारित पहचान और प्रतिक्रिया (एक्सडीआर) काम कर रही है, जिसमें खतरे की तलाश और घटना की प्रतिक्रिया का समर्थन करना भी शामिल है।
  
• आपूर्ति श्रृंखला सुरक्षा: डिजिटल साझेदारों और सॉफ्टवेयर विक्रेताओं सहित सभी आपूर्तिकर्ताओं का ऑडिट करें, ताकि यह सुनिश्चित किया जा सके कि उनकी सुरक्षा स्थिति आपकी जोखिम उठाने की क्षमता के अनुरूप है।
• मजबूत पहुंच नियंत्रण: मजबूत, अद्वितीय पासवर्ड और बहु-कारक प्रमाणीकरण के लिए पासवर्ड प्रबंधक सभी संवेदनशील खातों के लिए आवश्यक हैं। एक्सडीआर, एन्क्रिप्शन, नेटवर्क अलगाव और निवारक नियंत्रण के साथ वे इसका आधार बनाते हैं शून्य विश्वास सुरक्षा दृष्टिकोण.
• आपदा पुनर्प्राप्ति/व्यवसाय निरंतरता योजना: योजनाओं की समीक्षा करने से यह सुनिश्चित करने में मदद मिलेगी कि सही व्यावसायिक प्रक्रियाएं और प्रौद्योगिकी उपकरण मौजूद हैं।
• घटना प्रतिक्रिया योजना: सुनिश्चित करें कि आपकी योजनाएँ निर्विवाद हैं और नियमित रूप से परीक्षण की जाती हैं, ताकि प्रत्येक हितधारक को पता हो कि सबसे खराब स्थिति में क्या करना है और खतरे का जवाब देने और उसे नियंत्रित करने में कोई समय बर्बाद नहीं होता है।

अधिकांश खुदरा विक्रेताओं के लिए, यदि सभी नहीं तो, पीसीआई डीएसएस अनुपालन भी व्यवसाय के लिए एक अनिवार्य आवश्यकता होगी। इसे बोझ के बजाय एक अवसर समझें। इसकी विस्तृत आवश्यकताएं आपको अधिक परिपक्व सुरक्षा स्थिति बनाने और जोखिम जोखिम को कम करने में मदद करेंगी। मजबूत एन्क्रिप्शन जैसी तकनीकें अनुपालन की लागत और प्रशासनिक बोझ को कम करने में भी मदद कर सकती हैं। छुट्टियों की शुभकामनाएं।