Saat liburan semakin dekat, konsumen dan pengecer bukan satu-satunya yang bersiap untuk musim ini. Penjahat dunia maya tepat di belakang mereka. Bukan rahasia lagi bahwa liburan konsumen utama โ dari Amazon Prime Day hingga sprint liburan akhir tahun โ membawa target besar bagi pelaku ancaman. Proyeksi untuk Black Friday tahun ini menunjukkan belanja online mencapai $ 13 miliar.
Itu peluang yang menguntungkan bagi aktor jahat.
Tahun ini, pengecer sudah menghadapi inflasi, resesi yang akan datang, dan undang-undang privasi data yang membayangi. Mereka tidak mampu membeli a $ 4.35 juta pelanggaran.
Keamanan Terbatas Ho-Ho-Ho Tahun Ini?
Pengecer harus selalu menjaga postur keamanan mereka. Itu berarti menerapkan deteksi dan respons yang efektif; menemukan kerentanan sebelum terjadi pembekuan perubahan ritel yang menandai sepanjang tahun ini; mengelola risiko pihak ketiga; dan memastikan karyawan mendapatkan pelatihan yang mereka butuhkan.
Menemukan Tautan Terlemah Sebelum Kegilaan Gila
Merupakan hal yang umum bagi pengecer untuk menerapkan hard change freezes satu hingga dua bulan sebelum musim liburan hingga minggu kedua atau ketiga bulan Januari. Hal ini mencegah penerapan perubahan sistem besar (yang memengaruhi pengalaman konsumen) selama hari penjualan tersibuk dan terpenting dalam setahun.
Dalam minggu-minggu menjelang hard change freeze, pengembang sering mencoba memeras satu perubahan kode atau infrastruktur terakhir. Terburu-buru sebelum tenggat waktu ini kadang-kadang bisa termasuk kesalahan, meninggalkan sistem yang belum ditambal dan belum teruji rentan terhadap serangan. Penjahat dunia maya terlalu akrab dengan musim pembekuan yang sulit ini, dan sering mengatur waktu serangan mereka selama jendela ini.
Menjalankan pengujian keamanan aplikasi statis dan dinamis (SAST dan DAST) sebagai bagian dari program pengujian aplikasi reguler adalah cara terbaik untuk mengidentifikasi kerentanan sebelum kode tahunan dibekukan. Kedua tes ini memeriksa aplikasi dari sisi yang berbeda. SAST berfokus pada kelemahan perangkat lunak seperti injeksi SQL, sementara DAST menemukan kelemahan yang dapat dieksploitasi oleh aktor jahat.
Pengecer harus memfokuskan pengujian pada aplikasi kritis dan lalu lintas tinggi seperti gateway pembayaran, kolom input, dan bahkan kode Web inti.
Mengawasi Vendor Pihak Ketiga
Awal tahun ini, produsen mobil Toyota menghentikan produksinya setelah pemasok plastik dan elektronik terkena serangan siber. Produksi yang ditangguhkan menelan biaya sekitar 13,000 mobil. Sementara hilangnya produksi mungkin tampak mahal, itu adalah harga kecil yang harus dibayar dibandingkan dengan pelanggaran yang sebenarnya.
Ini menunjukkan itu manajemen risiko pihak ketiga (TPRM) tetap menjadi area keamanan yang kurang terlayani bagi banyak organisasi dan pengecer harus tetap memprioritaskan TPRM dan belajar dari studi kasus.
Kuesioner manajemen risiko TPRM dan vendor membantu menilai postur keamanan organisasi mitra. Banyak survei tingkat perusahaan memiliki hingga 1,000 pertanyaan, tetapi area utama yang harus diperhatikan adalah: keamanan informasi, keamanan pusat data, keamanan aplikasi Web, perlindungan infrastruktur, serta kontrol dan teknologi keamanan.
Sementara pengecer secara teratur menjalankan tes pada kode mereka sendiri, yang mencakup integrasi pihak ketiga, itu tidak melampaui batas jaringan mereka sendiri. Pengecer harus mengharuskan vendor mereka untuk menjalankan pengujian penetrasi kode penuh setiap dua tahun dan pengujian setiap malam saat mitra mereka memperbarui atau mengubah kode.
Mempertahankan Pelatihan Keamanan Meskipun Pintu Putar Bakat
Pelatihan tidak diragukan lagi merupakan bagian tersulit bagi pengecer. Itu Pengunduran Diri yang Hebat telah memaksa perusahaan untuk mengevaluasi kembali proses pelatihan dan orientasi mereka, dengan keamanan siber sebagai komponen kecilnya. Namun, 82% pelanggaran dianalisis oleh โLaporan Investigasi Pelanggaran Dataโ melibatkan unsur manusia. Hal ini membuat pelatihan karyawan lebih penting dari sebelumnya.
Pengecer yang sudah mapan kemungkinan besar memiliki semacam program kesadaran keamanan siber. Tetapi mereka dapat (dan harus) mengembangkannya. Saat tim keamanan siber mengidentifikasi celah dari pengujian penetrasi, mereka dapat membagikan temuan tersebut kepada karyawan dan menjelaskan bagaimana kerentanan tersebut dapat dimanipulasi. Tingkat transparansi ini membantu karyawan memahami peran mereka dalam melindungi data perusahaan dan konsumen.
Keamanan Kata Sandi Terpenting
Dan yang terakhir, namun tidak kalah pentingnya, dalam program karyawan: kata sandi. Keamanan kata sandi masih menjadi masalah inti mengarah ke atau memainkan faktor kunci dalam sejumlah besar pelanggaran data yang terjadi saat ini. Kredensial yang dicuri adalah salah satu cara termudah bagi pelaku ancaman untuk mendapatkan akses ke informasi. Kredensial yang disusupi adalah penyebabnya 19% dari pelanggaran data (PDF). Bagian yang menyedihkan adalah 45% konsumen jangan melihat berbagi kata sandi sebagai masalah serius. Pengecer harus memperkuat prioritas kebersihan kata sandi yang baik, tetapi sama pentingnya, mereka harus menerapkan autentikasi multifaktor (MFA) di mana pun dan di mana pun memungkinkan.
Banyak pengecer telah memulai penjualan liburan untuk mengantisipasi inflasi dan masalah kepegawaian. Tetapi mereka tidak boleh melupakan postur keamanan mereka dalam kesibukan hingga akhir tahun ini. Organisasi harus menjadikan keamanan siber sebagai prioritas sama pentingnya dengan mendorong penjualan dengan menggabungkan SAST dan DAST dalam pengujian aplikasi mereka; memantau dan mengelola risiko pihak ketiga; dan mengamankan kredensial melalui pelatihan dan autentikasi yang tepat menggunakan MFA.
