כשהחגים מתגנבים מעבר לפינה, הצרכנים והקמעונאים הם לא היחידים שמתכוננים לעונה. פושעי סייבר ממש על הזנב. זה לא סוד שחגים צרכניים גדולים - מהפריים דיי של אמזון ועד ספרינט החגים של סוף השנה - נושאים מטרות גדולות עבור גורמי איומים. תחזיות ליום שישי השחור של השנה מציגות את היקף ההוצאות המקוונות 13 $ מיליארד.
זו הזדמנות משתלמת לשחקנים גרועים.
השנה, קמעונאים כבר מתמודדים עם אינפלציה, מיתון מתקרב וחקיקת פרטיות נתונים מתקרבת. הם פשוט לא יכולים להרשות לעצמם א $ 4.35 מיליון הפרה.
אבטחה מוגבלת הו-הו-הו השנה?
קמעונאים חייבים לשמור על עמדת האבטחה שלהם בראש מעייניהם. כלומר יישום זיהוי ותגובה יעילים; מציאת נקודות תורפה לפני מתרחשות הקפאת השינויים הקמעונאיים שמציינים את התקופה הזו של השנה; ניהול סיכונים של צד שלישי; ולוודא שהעובדים יקבלו את ההכשרה הדרושה להם.
מציאת החוליה החלשה ביותר לפני העומס המטורף
מקובל לקמעונאים ליישם הקפאת שינויים קשים חודש עד חודשיים לפני עומס החגים עד השבוע השני או השלישי של ינואר. זה מונע יישום של שינויים גדולים במערכת (המשפיעים על חווית הצרכן) במהלך ימי המכירות העמוסים והחשובים ביותר בשנה.
בשבועות שקדמו להקפאת השינויים הקשה, מפתחים מנסים לעתים קרובות לסחוט שינוי אחרון של קוד או תשתית. העומס הזה לפני המועד האחרון יכול לפעמים לכלול שגיאות, ולהשאיר מערכות לא מתוקנות ולא בדוקות חשופות להתקפות. פושעי סייבר מכירים יותר מדי את עונות הקפאת השינויים הקשות הללו, ולעתים קרובות מתזמןים את ההתקפות שלהם במהלך החלון הזה.
הפעלת מבחני אבטחת יישומים סטטיים ודינמיים (SAST ו-DAST) כחלק מתוכניות בדיקות אפליקציות רגילות הן הדרכים הטובות ביותר לזהות נקודות תורפה לפני הקפאת קוד שנתי. שני המבחנים הללו בוחנים בקשות מצדדים שונים. SAST מתמקדת בפגמי תוכנה כמו הזרקת SQL, בעוד ש-DAST מוצא חולשות ששחקנים רעים יכולים לנצל.
קמעונאים צריכים להתמקד בבדיקות ביישומים קריטיים ובעלי תעבורה גבוהה כגון שערים לתשלום, שדות קלט ואפילו קודי אינטרנט ליבה.
לפקוח עין על ספקי צד שלישי
מוקדם יותר השנה, יצרנית הרכב טויוטה הפסיקה את הייצור שלה לאחר שספק פלסטיק ואלקטרוניקה נפגע במתקפת סייבר. הייצור שהופסק עלה לחברה בערך 13,000 מכוניות. אמנם אובדן הייצור עשוי להיראות יקר, אבל זה מחיר קטן לשלם בהשוואה להפרה בפועל.
זה מראה ש ניהול סיכונים של צד שלישי (TPRM) נותר תחום אבטחה לא מוצלח עבור ארגונים רבים וקמעונאים עדיין חייבים לתת עדיפות ל-TPRM וללמוד ממחקר המקרה.
שאלוני TPRM וניהול סיכונים של ספקים עוזרים להעריך את מצב האבטחה של ארגונים שותפים. סקרים רבים ברמת הארגון מכילים עד 1,000 שאלות, אך התחומים העיקריים בהם יש להתייחס הם: אבטחת מידע, אבטחת מרכזי נתונים, אבטחת יישומי אינטרנט, הגנת תשתית ובקרות אבטחה וטכנולוגיה.
בעוד קמעונאים מריצים בקביעות בדיקות על הקוד שלהם, הכולל אינטגרציות של צד שלישי, זה לא חורג מגבולות הרשתות שלהם. קמעונאים צריכים דורשים מהספקים שלהם להריץ בדיקות חדירת קוד מלאות על בסיס דו-שנתי ובדיקות לילה כאשר השותפים שלהם מעדכנים או משנים קודים.
שמירה על הדרכות אבטחה למרות הדלת המסתובבת של הטאלנט
הכשרה היא ללא ספק החלק הקשה ביותר עבור קמעונאים. ה התפטרות גדולה אילץ חברות להעריך מחדש את תהליכי ההכשרה וההצטרפות שלהן, כאשר אבטחת סייבר היא מרכיב קטן ממנה. עם זאת, 82% מהפרות נותחו על ידי Verizon של "דוח חקירות פרצות מידע" מעורב אלמנט אנושי. זה הופך את הדרכת העובדים לחשובה מאי פעם.
סביר להניח שלקמעונאים מבוססים יש איזושהי תוכנית למודעות לאבטחת סייבר. אבל הם יכולים (וצריכים) להרחיב על כך. כאשר צוותי אבטחת סייבר מזהים פערים מבדיקות חדירה, הם יכולים לחלוק את הממצאים הללו עם העובדים ולהסביר כיצד ניתן לתמרן את הפגיעויות הללו. רמה זו של שקיפות עוזרת לעובדים להבין את תפקידם בהגנה על הארגון והנתונים של הצרכנים.
אבטחת סיסמא פרימאונט
ואחרון, אבל בהחלט לא פחות, בתוכנית העובדים: סיסמאות. אבטחת סיסמאות היא עדיין בעיית ליבה מוביל או משחק גורם מפתח בכמות מדהימה של פרצות מידע המתרחשות היום. אישורים גנובים הם אחת הדרכים הקלות ביותר עבור גורמי איומים לקבל גישה למידע. אישורים שנפגעו הם הסיבה 19% מהפרות הנתונים (PDF). החלק העצוב הוא 45% מהצרכנים אל תראה שיתוף סיסמאות כבעיה רצינית. קמעונאים צריכים לחזק את העדיפות של היגיינת סיסמאות טובה, אבל לא פחות חשוב, הם צריכים ליישם אימות רב-גורמי (MFA) בכל מקום ובכל מקום אפשרי.
קמעונאים רבים כבר החלו במכירות לחגים כדי להקדים את האינפלציה ואת דאגות כוח האדם. אבל אסור להם לשכוח את העמדה הביטחונית שלהם בבלאגן הזה עד סוף השנה. ארגונים חייבים להעמיד בראש סדר העדיפויות את אבטחת הסייבר כמו קידום מכירות על ידי שילוב SAST ו-DAST בבדיקות האפליקציה שלהם; ניטור וניהול סיכונים של צד שלישי; והבטחת אישורים באמצעות הדרכה ואימות מתאים באמצעות MFA.
