Nu de feestdagen voor de deur staan, zijn consumenten en retailers niet de enigen die zich voorbereiden op het seizoen. Cybercriminelen zitten hen op de hielen. Het is geen geheim dat grote consumentenvakanties – van Amazon Prime Day tot de eindejaarssprint – grote doelwitten met zich meebrengen voor bedreigingsactoren. Projecties voor de Black Friday van dit jaar laten zien dat de online bestedingen een bereik bereiken $ 13 miljard.
Dat is een lucratieve kans voor slechte acteurs.
Dit jaar worden retailers al geconfronteerd met inflatie, een naderende recessie en een dreigende wetgeving inzake gegevensprivacy. Ze kunnen het simpelweg niet betalen $ 4.35 miljoen schending.
Beperkte beveiliging Ho-Ho-Ho dit jaar?
Retailers moeten hun veiligheidspositie hoog in het vaandel houden. Dat betekent het implementeren van effectieve detectie en respons; het vinden van kwetsbaarheden vaardigheden in deze tijd van het jaar vinden er bevriezingen van veranderingen in de detailhandel plaats; het beheersen van risico's voor derden; en ervoor te zorgen dat werknemers de training krijgen die ze nodig hebben.
Het vinden van de zwakste schakel vóór de Mad Rush
Het is gebruikelijk dat retailers een tot twee maanden vóór de vakantiedrukte in de tweede of derde week van januari een harde veranderingsstop doorvoeren. Dit voorkomt dat grote systeemwijzigingen (die van invloed zijn op de consumentenervaring) worden doorgevoerd tijdens de drukste en belangrijkste verkoopdagen van het jaar.
In de weken voorafgaand aan de harde veranderingsstop proberen ontwikkelaars vaak nog een laatste wijziging in de code of infrastructuur door te voeren. Deze haast vóór de deadline kan soms fouten met zich meebrengen, waardoor niet-gepatchte en niet-geteste systemen kwetsbaar blijven voor aanvallen. Cybercriminelen zijn maar al te bekend met deze periodes van harde veranderingen, en timen hun aanvallen vaak tijdens deze periode.
Het uitvoeren van statische en dynamische applicatiebeveiligingstests (SAST en DAST) als onderdeel van reguliere app-testprogramma's is de beste manier om kwetsbaarheden te identificeren voordat de jaarlijkse code vastloopt. Deze twee tests onderzoeken aanvragen van verschillende kanten. SAST richt zich op softwarefouten zoals SQL-injectie, terwijl DAST zwakke punten vindt die slechte actoren kunnen misbruiken.
Detailhandelaren moeten zich bij het testen concentreren op kritische applicaties die veel verkeer gebruiken, zoals betalingsgateways, invoervelden en zelfs kernwebcodes.
Externe leveranciers in de gaten houden
Eerder dit jaar, autofabrikant Toyota stopte de productie nadat een plastic- en elektronicaleverancier werd getroffen door een cyberaanval. De opgeschorte productie kostte het bedrijf ongeveer 13,000 auto's. Hoewel het productieverlies kostbaar lijkt, is het een kleine prijs die moet worden betaald in vergelijking met een daadwerkelijke inbreuk.
Dit laat zien dat risicobeheer door derden (TPRM) blijft voor veel organisaties een onderbelicht gebied op het gebied van beveiliging, en retailers moeten nog steeds prioriteit geven aan TPRM en leren van de casestudy.
Vragenlijsten voor TPRM en leveranciersrisicobeheer helpen bij het beoordelen van de beveiligingspositie van partnerorganisaties. Veel onderzoeken op bedrijfsniveau bevatten maximaal duizend vragen, maar de belangrijkste gebieden die moeten worden behandeld zijn: informatiebeveiliging, datacenterbeveiliging, webapplicatiebeveiliging, infrastructuurbescherming en beveiligingscontroles en -technologie.
Hoewel detailhandelaren regelmatig tests uitvoeren op hun eigen code, inclusief integraties van derden, reikt deze niet verder dan de grenzen van hun eigen netwerken. Detailhandelaren zouden dat moeten doen van hun leveranciers eisen dat zij volledige code-penetratietests uitvoeren op halfjaarlijkse basis en nachtelijke tests wanneer hun partners codes bijwerken of wijzigen.
Beveiligingstrainingen behouden ondanks de draaideur van talent
Opleiding is ongetwijfeld het moeilijkste onderdeel voor retailers. De Geweldig ontslag heeft bedrijven gedwongen hun trainings- en onboardingprocessen opnieuw te evalueren, waarbij cyberbeveiliging daar een klein onderdeel van is. Echter, 82% van de inbreuken geanalyseerd door Verizon’s “Onderzoeksrapport datalekken” er zat een menselijk element in. Dit maakt het opleiden van medewerkers belangrijker dan ooit.
Gevestigde detailhandelaren hebben waarschijnlijk een soort bewustmakingsprogramma voor cyberbeveiliging geïmplementeerd. Maar ze kunnen (en moeten) daar verder op ingaan. Wanneer cyberbeveiligingsteams hiaten in de penetratietests identificeren, kunnen ze die bevindingen delen met werknemers en uitleggen hoe deze kwetsbaarheden kunnen worden gemanipuleerd. Dit niveau van transparantie helpt werknemers hun rol te begrijpen bij het beschermen van de gegevens van de onderneming en consumenten.
Wachtwoordbeveiliging van het allergrootste belang
En last but not least in het medewerkersprogramma: wachtwoorden. Wachtwoordbeveiliging is nog steeds een kernprobleem die leiden tot of een sleutelfactor spelen in het duizelingwekkende aantal datalekken dat zich vandaag de dag voordoet. Gestolen inloggegevens zijn een van de gemakkelijkste manieren voor bedreigingsactoren om toegang te krijgen tot informatie. Gecompromitteerde inloggegevens zijn de oorzaak van 19% datalekken (PDF-bestand). Het trieste deel is 45% van de consumenten beschouw het delen van wachtwoorden niet als een serieus probleem. Retailers moeten de prioriteit van goede wachtwoordhygiëne versterken, maar net zo belangrijk moeten ze overal en altijd multifactor-authenticatie (MFA) implementeren waar dat mogelijk is.
Veel detailhandelaren zijn al begonnen met de vakantieverkoop om de inflatie en personeelsproblemen het hoofd te bieden. Maar ze mogen hun veiligheidspositie niet vergeten in deze haast naar het einde van het jaar. Organisaties moeten van cyberbeveiliging een prioriteit maken die net zo belangrijk is als het stimuleren van de verkoop, door SAST en DAST op te nemen in het testen van hun apps; het monitoren en beheren van risico's voor derden; en het beveiligen van inloggegevens door middel van training en juiste authenticatie met behulp van MFA.
