A kiskereskedelem veszélyben: a legnagyobb veszélyek a kiskereskedőkre az ünnepi szezonban

Üzleti biztonság

Bár lehet, hogy már túl késő nagykereskedelmi változtatásokat bevezetni a biztonsági irányelvekben, nem árt, ha újra áttekinti, hol vannak a legnagyobb fenyegetések, és mely bevált gyakorlatok segíthetnek semlegesíteni őket.

Phil Muncaster

28 november 2023  •  , 6 perc olvas

Komolyan elkezdődött az ünnepi vásárlási szezon. Míg a kiskereskedők a zsokéra összpontosítanak becslések szerint 1.5 billió dolláros eladások idén (és ez csak az Egyesült Államokra vonatkozik), kemény munkájuk hiábavalóvá válhat, ha nem fordítanak kellő figyelmet a kiberbiztonságra. 

Miért? Mert ez a legjobb és a legrosszabb időszak a kiskereskedelmi IT-csapatok számára. Az év legforgalmasabb időszaka az ügyfelek számára is a mágnes a kiberbűnözők számára. És bár ebben a szakaszban már túl késő lehet nagykereskedelmi változtatásokat bevezetni a biztonsági szabályzatokba, nem árt új pillantást vetni arra, hogy hol vannak a legnagyobb fenyegetések, és mely bevált módszerek segíthetnek semlegesíteni őket.

Miért kiskereskedelem, miért most?

A kiskereskedőket régóta kiemelték a kiberbűnözők különleges bánásmódja miatt. Az év legforgalmasabb vásárlási időszaka pedig már régóta a sztrájk lehetőségét jelentette. De miért?

• A kiskereskedők nagymértékben bevételszerzésre alkalmas személyes és pénzügyi információkat tárolnak ügyfeleikről. Gondoljon csak a kártyaadatokra. Nem meglepő, hogy az összes (100%) által elemzett kiskereskedelmi adatsértést Verizon az elmúlt évben pénzügyi okok vezérelték.
• Az ünnepi vásárlási szezon az év legfontosabb időszaka a kiskereskedők számára bevételi szempontból. Ez azonban azt jelenti, hogy jobban ki vannak téve az olyan kiberfenyegetéseknek, mint a zsarolóvírus vagy az elosztott szolgáltatásmegtagadás (DDoS), amelyek célja a szolgáltatás megtagadása révén pénzzsarolás. Alternatív megoldásként a versenytársak DDoS támadásokat indíthatnak, hogy megtagadják riválisaiktól a létfontosságú szokásokat és bevételeket.
• Az év legforgalmasabb időszaka azt jelenti, hogy az alkalmazottak, különösen a feszített informatikai csapatok, jobban összpontosítanak arra, hogy a lehető legtöbb bevételt támogassák, mintsem a kiberfenyegetésekre figyeljenek. Még a belső csalási szűrőket is módosíthatják, hogy lehetővé tegyék a nagyobb vásárlások ellenőrzés nélküli jóváhagyását.
• A kereskedők egyre inkább a digitális rendszerekre hagyatkoznak az omni-csatornás kereskedelmi tapasztalatok kiépítése során, beleértve a felhőalapú üzleti szoftvereket, az üzletben lévő IoT-eszközöket és az ügyfelek számára elérhető mobilalkalmazásokat. Ezzel (gyakran akaratlanul is) kiterjesztik a potenciális támadási felületet.

Ne felejtsük el, hogy az egyik a világ valaha volt legnagyobb rögzített adatszivárgása zajlott, és az ünnepi szezonban jelentették be 2013-ban, amikor hackerek 110 millió ügyfélrekordot loptak el a Target amerikai kiskereskedőtől.

Melyek a legnagyobb kiberfenyegetések a kiskereskedők számára ebben az ünnepi szezonban?

Nem csak a kiskereskedőknek kell megvédeniük egy nagyobbat támadási felület, meg kell küzdeniük a taktikák, technikák és eljárások (TTP-k) egyre szélesebb választékával is az elszánt ellenfelek csoportjától. A támadók célja vagy az ellopni az ügyfelek és az alkalmazottak adatait, kicsikarhatja/megzavarhatja vállalkozását a DDoS segítségével, csalást követhet el, vagy robotokat használva versenyelőnyhöz juthat. Íme néhány fő kiskereskedelmi kiberfenyegetés:

• Adat megsértése származhat ellopott/feltört/adathalászott alkalmazotti hitelesítő adatokból vagy a sebezhetőség kihasználásából, különösen a webalkalmazásokban. Az eredmény jelentős anyagi és hírnév-károsodás, amely kisiklathatja a növekedési terveket és a bevételeket.
• Digitális áttekintés (azaz Magecart támadások) akkor fordul elő, amikor a fenyegetés szereplői kihasználják a sebezhetőségeket, és közvetlenül a fizetési oldalakra vagy egy harmadik féltől származó szoftverszállítón/widgeten keresztül illesztenek be átfutó kódot. Az ilyen támadásokat gyakran nehéz észrevenni, ami azt jelenti, hogy mérhetetlenül károsíthatják a hírnevet. Ezek tették ki a tavalyi kiskereskedelmi adatszivárgások 18%-át Verizon.  
• zsarolóprogramok az egyik legnagyobb fenyegetés a kiskereskedők számára, és ebben a forgalmas szezonban a fenyegetések szereplői felléphetnek abban a reményben, hogy egyre több vállalkozás hajlandó fizetni adatai visszaszerzéséért és visszafejtéséért. Különösen a KKV-k vannak a célkeresztben, mivel biztonsági ellenőrzéseik kevésbé hatékonyak lehetnek.
• DDoS továbbra is népszerű módja a kiskereskedők kicsikarásának és/vagy megzavarásának. Tavaly, a szektor a fogadó oldalon volt ezeknek a támadásoknak csaknem egyötöde (17%) – ez 53%-os emelkedés éves összevetésben (YoY), a csúcsokat a Black Friday idején észlelték.
• Ellátási lánc támadások lehet digitális szolgáltatót céloz meg mint például egy szoftvercég vagy akár egy nyílt forráskódú adattár. Vagy célozhatnak a hagyományosabb vállalkozásokat a professzionális vagy akár takarítási szolgáltatások terén. A cél megsértése mikor tette lehetővé hackerek ellopták a hálózati hitelesítési adatokat egy HVAC-szolgáltatótól.
• Fiókátvételek (ATO-k) jellemzően engedélyezve vannak lopott, adathalászott vagy feltört hitelesítő adatok. Ez lehet egy jelentős adatszivárgási kísérlet kezdete, vagy az ügyfeleket célozhatja meg, hitelesítő adatok kitöltésével vagy más brute force kampányokkal. Általában rosszindulatú robotokat használnak itt.
• Egyéb rossz bot támadások ide tartozik a skalpolás (amikor a riválisok magasabb áron vásárolják fel a keresett árukat viszonteladás céljából), a fizetési/ajándékkártyás csalás és az árlekaparás (amely lehetővé teszi a versenytársak számára, hogy alákínálják az Ön árait). A rosszindulatú botok közé tartoznak körül 30% a mai internetes forgalomból, az Egyesült Királyság webhelyeinek kétharmadával nem tudja blokkolni akár egyszerű támadások is. Ott becslések szerint 50%-os növekedés volt rossz bot forgalomban a 2022-es ünnepi szezonban.
• API-k (Application Programming Interface) a kiskereskedelmi digitális átalakulás középpontjában állnak, lehetővé téve az összekapcsoltabb és zökkenőmentesebb vásárlói élményt. De a sebezhetőségek és hibás konfigurációk is biztosíthatnak egy a hackerek könnyen eljuthatnak az ügyféladatokhoz.

Hogyan védekezhetnek a kiskereskedők a kiberkockázatok ellen

Válaszul a kiskereskedőknek egyensúlyba kell hozniuk a biztonságot az alkalmazottak termelékenységével és az üzleti növekedéssel. Ez nem mindig egyszerű számítás, különösen a magas megélhetési költségek miatt, amelyek egyre nagyobb nyomást gyakorolnak a profitszerzésre. De meg lehet csinálni. Íme 10 bevált gyakorlat, amelyet figyelembe kell venni:

• A személyzet rendszeres képzése: Ennek magától értetődőnek kell lennie. Győződjön meg róla az alkalmazottak még a kifinomult adathalász támadásokat is észrevehetik és a helyén lesz egy praktikus utolsó védelmi vonal.
• Adataudit: Értse meg, mi van, hol tárolja, hová folyik, és hogyan védi. Ezt minden esetben a GDPR-megfelelés részeként kell megtenni.
• Erős adattitkosítás: Miután felfedezte és besorolta az adatait, alkalmazzon erős titkosítást a legérzékenyebb információknál. Ezt folyamatosan kell tenni.
• Kockázatalapú javításkezelés: A szoftverfoltozás fontosságát nem lehet alábecsülni. De az évente közzétett új sebezhetőségek óriási száma elsöprő lehet. Az automatizált kockázatalapú rendszereknek hozzá kell járulniuk a folyamat egyszerűsítéséhez, valamint a legfontosabb rendszerek és sérülékenységek rangsorolásához.
• Többrétegű védelmi biztonság: Vegyük fontolóra a rosszindulatú programok elleni védekezést és a szerverek, végpontok, e-mail hálózatok és felhőrétegek egyéb képességeit a kiberfenyegetések megelőző akadályaként.
• XDR: A megelőző ellenőrzéseket megkerülő fenyegetések esetében gondoskodjon az erős kiterjesztett észlelési és válaszadási (XDR) többrétegű működésről, beleértve a fenyegetésvadászatot és az incidensre adott válaszokat is.
  
• Az ellátási lánc biztonsága: Ellenőrizzen minden beszállítót, beleértve a digitális partnereket és a szoftverszállítókat is, hogy megbizonyosodjon arról, hogy biztonsági helyzetük összhangban van az Ön kockázatvállalási hajlandóságával.
• Erős hozzáférés-szabályozás: Az erős, egyedi jelszavakhoz és a többtényezős hitelesítéshez szükséges jelszókezelők minden érzékeny fiókhoz elengedhetetlenek. Az XDR, a titkosítás, a hálózati elkülönítés és a megelőző ellenőrzések mellett ezek képezik az alapját a Zero Trust biztonsági megközelítés.
• Katasztrófa utáni helyreállítás/üzletfolytonosság tervezése: A tervek áttekintése segít biztosítani a megfelelő üzleti folyamatok és technológiai eszközök meglétét.
• Az incidens elhárításának tervezése: Gondoskodjon arról, hogy tervei vízhatlanok legyenek, és rendszeresen teszteljék, hogy minden érdekelt fél tudja, mit kell tennie a legrosszabb forgatókönyv esetén, és nem vesztegetik az időt a fenyegetésre való reagálásra és a fenyegetés megfékezésére.

A kiskereskedők túlnyomó többsége, ha nem minden, számára a PCI DSS-megfelelőség szintén alapvető követelmény lesz az üzleti életben. Tekintsd ezt inkább lehetőségnek, mint tehernek. Részletes követelményei segítenek kiforrottabb biztonsági testhelyzet kialakításában, és minimalizálják a kockázatot. Az olyan technológiák, mint az erős titkosítás, szintén segíthetnek csökkenteni a megfelelés költségeit és adminisztratív terheit. Kellemes Ünnepeket.