Święta zbliżają się wielkimi krokami, a konsumenci i sprzedawcy detaliczni nie są jedynymi, którzy przygotowują się do sezonu. Cyberprzestępcy depczą im na ogonie. Nie jest tajemnicą, że najważniejsze święta konsumenckie – od Amazon Prime Day po sprint świąteczny na koniec roku – niosą ze sobą ważne cele dla cyberprzestępców. Prognozy na tegoroczny Czarny Piątek pokazują osiągnięcie wydatków w Internecie $ 13 mld.
To lukratywna szansa dla złych aktorów.
W tym roku sprzedawcy detaliczni już borykają się z inflacją, zbliżającą się recesją i zbliżającymi się przepisami dotyczącymi ochrony danych. Po prostu nie stać ich na np $ 4.35 mln wyłom.
Ograniczone bezpieczeństwo Ho-Ho-Ho w tym roku?
Sprzedawcy detaliczni muszą mieć na uwadze przede wszystkim swoje bezpieczeństwo. Oznacza to wdrożenie skutecznego wykrywania i reagowania; znajdowanie luk zanim następuje zamrożenie zmian w handlu detalicznym charakterystyczne dla tej pory roku; zarządzanie ryzykiem stron trzecich; i upewnianie się, że pracownicy przejdą potrzebne szkolenia.
Znalezienie najsłabszego ogniwa przed szalonym pośpiechem
Sprzedawcy detaliczni często wprowadzają twarde zmiany w postaci zamrożenia na jeden do dwóch miesięcy przed gorączką świąteczną trwającą w drugim lub trzecim tygodniu stycznia. Zapobiega to wprowadzaniu większych zmian systemowych (które wpływają na doświadczenia konsumentów) podczas najbardziej pracowitych i najważniejszych dni sprzedażowych w roku.
W tygodniach poprzedzających zamrożenie twardych zmian programiści często próbują wcisnąć ostatnią zmianę w kodzie lub infrastrukturze. Ten pośpiech przed ostatecznym terminem może czasami wiązać się z błędami, przez co niezałatane i nieprzetestowane systemy są podatne na ataki. Cyberprzestępcy doskonale znają te pory roku, w których zachodzą twarde zmiany, i często planują swoje ataki właśnie w tym okresie.
Uruchamianie statycznych i dynamicznych testów bezpieczeństwa aplikacji (SAST i DAST) w ramach regularnych programów testowania aplikacji to najlepszy sposób na identyfikację luk w zabezpieczeniach przed corocznym zawieszaniem się kodu. Te dwa testy sprawdzają aplikacje z różnych stron. SAST koncentruje się na wadach oprogramowania, takich jak wstrzykiwanie SQL, podczas gdy DAST znajduje słabe punkty, które mogą wykorzystać nieuczciwi aktorzy.
Sprzedawcy detaliczni powinni skoncentrować się na testowaniu aplikacji krytycznych i generujących duży ruch, takich jak bramki płatnicze, pola wejściowe, a nawet podstawowe kody internetowe.
Miej oko na zewnętrznych dostawców
Wcześniej w tym roku, producent samochodów Toyota wstrzymał produkcję po tym, jak dostawca tworzyw sztucznych i elektroniki został zaatakowany cyberatakiem. Wstrzymanie produkcji kosztowało firmę około 13,000 XNUMX samochodów. Chociaż utrata produkcji może wydawać się kosztowna, jest to niewielka cena w porównaniu z rzeczywistym naruszeniem.
To pokazuje że zarządzanie ryzykiem stron trzecich (TPRM) pozostaje dla wielu organizacji niedocenianym obszarem bezpieczeństwa, a sprzedawcy detaliczni muszą nadal traktować TPRM priorytetowo i wyciągać wnioski ze studium przypadku.
Kwestionariusze dotyczące TPRM i zarządzania ryzykiem dostawców pomagają ocenić stan bezpieczeństwa organizacji partnerskich. Wiele ankiet na poziomie przedsiębiorstwa zawiera do 1,000 pytań, ale główne obszary, którymi należy się zająć, to: bezpieczeństwo informacji, bezpieczeństwo centrów danych, bezpieczeństwo aplikacji internetowych, ochrona infrastruktury oraz mechanizmy kontroli bezpieczeństwa i technologia.
Chociaż sprzedawcy detaliczni regularnie przeprowadzają testy własnego kodu, który obejmuje integracje stron trzecich, nie wykracza to poza granice ich własnych sieci. Sprzedawcy powinni wymagają od swoich dostawców przeprowadzenia pełnych testów penetracyjnych kodu raz na dwa lata i podczas nocnych testów, gdy ich partnerzy aktualizują lub zmieniają kody.
Utrzymywanie szkoleń w zakresie bezpieczeństwa pomimo „drzwi obrotowych” talentów
Szkolenia są niewątpliwie najtrudniejszą częścią dla sprzedawców detalicznych. The Wielka rezygnacja zmusiło firmy do ponownej oceny procesów szkoleniowych i onboardingowych, których cyberbezpieczeństwo stanowi niewielki element. Jednakże 82% naruszeń przeanalizowanych przez „Raport z dochodzenia w sprawie naruszeń danych” zawierał element ludzki. To sprawia, że szkolenie pracowników jest ważniejsze niż kiedykolwiek.
Uznani sprzedawcy detaliczni prawdopodobnie mają wdrożony jakiś program podnoszenia świadomości w zakresie cyberbezpieczeństwa. Mogą jednak (i powinni) rozwinąć ten temat. Kiedy zespoły ds. cyberbezpieczeństwa zidentyfikują luki w testach penetracyjnych, mogą udostępnić te ustalenia pracownikom i wyjaśnić, w jaki sposób można manipulować tymi lukami. Ten poziom przejrzystości pomaga pracownikom zrozumieć swoją rolę w ochronie danych przedsiębiorstwa i konsumentów.
Bezpieczeństwo haseł najważniejsze
I na koniec, co nie mniej ważne, w programie pracowniczym: hasła. Bezpieczeństwo haseł jest nadal głównym problemem co prowadzi lub odgrywa kluczową rolę w oszałamiającej liczbie naruszeń bezpieczeństwa danych, które mają obecnie miejsce. Skradzione dane uwierzytelniające to jeden z najłatwiejszych sposobów uzyskania dostępu do informacji przez podmioty zagrażające. Przyczyną są złamane dane uwierzytelniające 19% naruszeń danych (PDF). Smutna część jest taka 45% konsumentów nie traktuj udostępniania haseł jako poważnego problemu. Sprzedawcy detaliczni powinni podkreślać priorytet dobrej higieny haseł, ale co równie ważne, powinni wdrażać uwierzytelnianie wieloskładnikowe (MFA) wszędzie i wszędzie, gdzie jest to możliwe.
Wielu sprzedawców detalicznych rozpoczęło już wyprzedaże świąteczne, aby wyprzedzić inflację i problemy kadrowe. Jednak w pośpiechu do końca roku nie mogą zapominać o swoim stanie bezpieczeństwa. Organizacje muszą uczynić cyberbezpieczeństwo priorytetem równie ważnym jak zwiększanie sprzedaży, włączając SAST i DAST do testowania aplikacji; monitorowanie i zarządzanie ryzykami stron trzecich; oraz zabezpieczanie poświadczeń poprzez szkolenia i odpowiednie uwierzytelnianie przy użyciu usługi MFA.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
