קמעונאות בסיכון: האיומים העיקריים העומדים בפני קמעונאים בעונת החגים

אבטחה עסקית

אמנם זה עשוי להיות מאוחר מדי להציג שינויים סיטונאיים במדיניות האבטחה שלך, אבל לא יזיק לבחון מחדש היכן נמצאים האיומים הגדולים ביותר ואילו שיטות עבודה מומלצות יכולות לעזור לנטרל אותם

פיל מונקסטר

נובמבר 28 2023  •  , 6 דקות לקרוא

עונת הקניות לחגים החלה ברצינות. בעוד קמעונאים מתמקדים בג'וקי עבור מכירות מוערכות של 1.5 טריליון דולר השנה (וזה רק עבור ארה"ב), העבודה הקשה שלהם עלולה לעלות בתוהו. אין תשומת לב מספקת לאבטחת סייבר. 

למה? כי זה הזמנים הטובים ביותר והזמנים הגרועים ביותר עבור צוותי IT קמעונאיים. התקופה העמוסה ביותר בשנה עבור הלקוחות היא גם א מגנט לפושעי רשת. ולמרות שזה עלול להיות מאוחר מדי בשלב זה להציג שינויים סיטונאיים במדיניות האבטחה שלך, לא יזיק לבדוק מחדש היכן נמצאים האיומים הגדולים ביותר, ואילו שיטות עבודה מומלצות יכולות לעזור לנטרל אותם.

למה קמעונאות, למה עכשיו?

קמעונאים נבחרו זה מכבר לטיפול מיוחד על ידי פושעי סייבר. ותקופת הקניות העמוסה ביותר בשנה מייצגת כבר מזמן הזדמנות פז להכות. אבל למה?

• קמעונאים מחזיקים מידע אישי ופיננסי שניתן להפיק רווחים גבוהים על הלקוחות שלהם. רק תחשוב על כל פרטי הכרטיס האלה. זה לא מפתיע שכל (100%) הפרות הנתונים הקמעונאיים שניתחו על ידי ורייזון בשנה האחרונה היו מונעים ממניע פיננסי.
• עונת הקניות בחגים היא התקופה החשובה ביותר בשנה עבור קמעונאים מנקודת מבט של הכנסות. אבל זה אומר שהם חשופים יותר לאיומי סייבר כמו תוכנת כופר או מניעת שירות מבוזרת (DDoS) שנועדה לסחוט כסף על ידי מניעת שירות. לחלופין, מתחרים עשויים להשיק התקפות DDoS כדי למנוע מיריביהם התאמה והכנסה חיונית.
• התקופה העמוסה ביותר בשנה פירושה שעובדים, במיוחד צוותי IT מתוחים, מתמקדים יותר בתמיכה בעסק להרוויח כמה שיותר הכנסות מאשר לחפש איומי סייבר. הם עשויים אפילו להתאים מסנני הונאה פנימיים כדי לאפשר אישור רכישות גדולות יותר ללא בדיקה.
• קמעונאים מסתמכים יותר ויותר על מערכות דיגיטליות כדי לבנות חוויות מסחר בכל ערוצים, כולל תוכנות עסקיות מבוססות ענן, מכשירי IoT בחנות ויישומים ניידים מול לקוחות. בכך, הם מרחיבים (לעיתים קרובות מבלי משים) את משטח ההתקפה הפוטנציאלי.

בואו לא נשכח את זה אחד מה הפרות הנתונים הגדולות בעולם שתועדו אי פעם התקיים והוכרז במהלך עונת החגים ב-2013, אז האקרים גנבו 110 מיליון רישומי לקוחות מהקמעונאית האמריקאית Target.

מהם איומי הסייבר הגדולים ביותר לקמעונאים בעונת החגים הזו?

לא רק קמעונאים צריכים להגן על גדול יותר משטח התקפה, עליהם להתמודד גם עם מגוון גדול יותר ויותר של טקטיקות, טכניקות ונהלים (TTPs) מקבוצה נחושה של יריבים. מטרות התוקפים הן או לגנוב נתוני לקוחות ועובדים, לסחוט/להפריע לעסק שלך באמצעות DDoS, לבצע הונאה או להשתמש בבוטים כדי להשיג יתרון תחרותי. להלן כמה מאיומי הסייבר הקמעונאיים העיקריים:

• הפרות נתונים עלול לנבוע מאישורי עובדים שנגנבו/פצועים/דיוגים או ניצול פגיעות, במיוחד ביישומי אינטרנט. התוצאה היא נזק פיננסי ומוניטין גדול שעלול להרוס את תוכניות הצמיחה וההכנסות.
• רפרוף דיגיטלי (כלומר, התקפות Magecart) מתרחשת כאשר גורמי איומים מנצלים נקודות תורפה כדי להכניס קוד רחיפה ישירות בדפי התשלום שלך או באמצעות ספק תוכנה/יישומון של צד שלישי. לעתים קרובות קשה לזהות התקפות כאלה, כלומר הן עלולות לגרום לנזק בלתי מבוטל למוניטין. אלה היוו 18% מהפרצות לנתונים קמעונאיים בשנה שעברה, לפי ורייזון.  
• כופר הוא אחד האיומים המובילים עבור קמעונאים, ובמהלך העונה העמוסה הזו, שחקני איומים עשויים להגביר את התקפותיהם בתקווה שיותר עסקים יהיו מוכנים לשלם כדי לקבל את הנתונים שלהם בחזרה ולפענח אותם. עסקים קטנים ובינוניים בפרט נמצאים על הכוונת, שכן בקרות האבטחה שלהם עשויות להיות פחות אפקטיביות.
• DDoS נותרה דרך פופולרית לסחוט ו/או לשבש קמעונאים. שנה שעברה, המגזר היה בקצה הקולט מתוך כמעט חמישית (17%) מהתקפות אלו - עלייה של 53% משנה לשנה (YoY), עם שיאים שזוהו במהלך יום שישי השחור.
• התקפות שרשרת אספקה עשוי להיות ממוקד לספק דיגיטלי כגון חברת תוכנה או אפילו מאגר קוד פתוח. או שהם עשויים להיות מכוונים לעסקים מסורתיים יותר בשירותי ניקיון מקצועיים או אפילו. פריצת היעד התאפשר כאשר האקרים גנבו אישורי רשת מספק HVAC.
• השתלטות על חשבון (ATOs) מופעלים בדרך כלל על ידי אישורים נגנבים, התחזות או סדוקים. זה יכול להיות התחלה של ניסיון פריצת מידע גדול, או שזה יכול להיות מכוון ללקוחות, במילוי אישורים או בקמפיינים אחרים של כוח אכזרי. בדרך כלל, נעשה שימוש בבוטים זדוניים כאן.
• התקפות בוטים רעות אחרות כוללים קשקשת (שם יריבים קונים מוצרים מבוקשים למכירה חוזרת במחיר גבוה יותר), הונאה בתשלום/כרטיסי מתנה וגרידת מחירים (המאפשרת למתחרים להפחית את המחירים שלך). בוטים זדוניים מורכבים סביב 30% מכל תעבורת האינטרנט כיום, עם שני שלישים מאתרי האינטרנט בבריטניה לא מסוגל לחסום אפילו התקפות פשוטות. שם הייתה עלייה משוערת של 50%. בתנועת בוטים גרועה בעונת החגים של 2022.
• ממשקי API (ממשק תכנות יישומים) הם בלב הטרנספורמציה הדיגיטלית הקמעונאית, המאפשרים חוויות לקוח מחוברות וחלקות יותר. אבל פגיעויות ותצורות שגויות יכולות גם לספק מסלול קל עבור האקרים לנתוני לקוחות.

כיצד קמעונאים יכולים להגן על עצמם מפני סיכוני סייבר

בתגובה, קמעונאים צריכים לאזן בין אבטחה לבין פרודוקטיביות עובדים וצמיחה עסקית. זה לא תמיד חישוב קל, במיוחד כאשר יוקר המחיה מפעיל לחץ הולך וגובר על חיפוש רווחים. אבל אפשר לעשות את זה. להלן 10 שיטות עבודה מומלצות שכדאי לקחת בחשבון:

• הכשרה שוטפת של הצוות: זה צריך להיות מובן מאליו. ודא שלך עובדים יכולים לזהות אפילו התקפות דיוג מתוחכמות ותהיה לך קו הגנה אחרון שימושי במקום.
• ביקורת נתונים: הבינו מה יש לכם, היכן הוא מאוחסן, היכן הוא זורם וכיצד הוא מוגן. זה צריך להיעשות בכל מקרה כחלק מתאימות GDPR.
• הצפנת נתונים חזקה: לאחר שגילית וסיווגת את הנתונים שלך, החל הצפנה חזקה על המידע הרגיש ביותר. זה צריך להיעשות על בסיס רציף.
• ניהול תיקון מבוסס סיכונים: אי אפשר להמעיט בחשיבות של תיקון תוכנה. אבל המספר העצום של נקודות תורפה חדשות שמתפרסמות מדי שנה יכול להיות מכריע. מערכות אוטומטיות מבוססות סיכונים אמורות לעזור לייעל את התהליך ולקבוע עדיפות למערכות ולחולשות החשובות ביותר.
• אבטחת הגנה רב-שכבתית: שקול אנטי-תוכנות זדוניות ויכולות אחרות בשרת, נקודת קצה, רשת דואר אלקטרוני ושכבת ענן, כמחסום מונע לאיומי סייבר.
• XDR: לאיומים שמצליחים לעקוף בקרות מניעה, ודא שיש זיהוי ותגובה מורחב חזק (XDR) הפועל על פני מספר רבדים, כולל לתמיכה בציד איומים ובתגובה לאירועים.
  
• אבטחת שרשרת אספקה: בדוק את כל הספקים, כולל שותפים דיגיטליים וספקי תוכנה, כדי לוודא שמצב האבטחה שלהם תואם את תיאבון הסיכון שלך.
• בקרות גישה חזקות: מנהלי סיסמאות עבור סיסמאות חזקות וייחודיות ואימות רב-גורמי הם חובה עבור כל החשבונות הרגישים. יחד עם XDR, הצפנה, הפרדת רשת ובקרות מונעות הם מהווים את הבסיס של א גישת אבטחת אפס אמון.
• התאוששות מאסון/תכנון המשכיות עסקית: סקירת תוכניות תסייע להבטיח שהתהליכים העסקיים והכלים הטכנולוגיים הנכונים נמצאים במקום.
• תכנון תגובה לאירועים: ודא שהתוכניות שלך אטומות למים ונבדקות באופן קבוע, כך שכל בעל עניין ידע מה לעשות בתרחיש הגרוע ביותר ולא יתבזבז זמן בתגובה לאיום והכלתה.

עבור הרוב המכריע, אם לא כולם, הקמעונאים, תאימות PCI DSS תהיה גם דרישה חיונית לעסקים. ראה בכך הזדמנות ולא נטל. הדרישות המפורטות שלו יעזרו לך לבנות תנוחת אבטחה בוגרת יותר ולמזער את החשיפה לסיכון. טכנולוגיות כמו הצפנה חזקה יכולות גם לעזור להפחית את העלות ואת הנטל הניהולי של תאימות. חג שמח.