Как ритейлерам защитить себя в самое прекрасное время года

Поскольку праздники приближаются, потребители и розничные торговцы не единственные, кто готовится к сезону. Киберпреступники прямо у них на хвосте. Ни для кого не секрет, что крупные потребительские праздники — от Amazon Prime Day до праздничного спринта в конце года — имеют большие цели для злоумышленников. Прогнозы на Черную пятницу в этом году показывают, что онлайн-расходы достигают 13 млрд долларов США .

Это выгодная возможность для плохих актеров.

В этом году ритейлеры уже столкнулись с инфляцией, надвигающейся рецессией и надвигающимся законом о конфиденциальности данных. Они просто не могут позволить себе $ 4.35 миллионов нарушение.

Ограниченная безопасность Хо-хо-хо в этом году?

Ритейлеры должны всегда помнить о своей безопасности. Это означает эффективное обнаружение и реагирование; поиск уязвимостей до в это время года происходят зависания розничных изменений; управление рисками третьих лиц; и убедиться, что сотрудники получают необходимое обучение.

В поисках самого слабого звена перед безумным натиском

Ритейлеры обычно замораживают сдачу за один-два месяца до праздничного ажиотажа во вторую или третью неделю января. Это предотвращает внедрение каких-либо серьезных системных изменений (которые влияют на качество обслуживания клиентов) в самые загруженные и самые важные дни продаж в году.

В течение нескольких недель, предшествующих заморозке жестких изменений, разработчики часто пытаются втиснуть последнее изменение кода или инфраструктуры. Эта спешка перед крайним сроком иногда может включать ошибки, в результате чего неисправленные и непроверенные системы становятся уязвимыми для атак. Киберпреступники слишком хорошо знакомы с этими периодами замораживания жестких изменений и часто планируют свои атаки именно в это время.

Выполнение статических и динамических тестов безопасности приложений (SAST и DAST) в рамках регулярных программ тестирования приложений — лучший способ выявить уязвимости до ежегодного зависания кода. Эти два теста исследуют приложения с разных сторон. SAST фокусируется на недостатках программного обеспечения, таких как внедрение SQL, в то время как DAST находит слабые места, которыми могут воспользоваться злоумышленники.

Розничным продавцам следует сосредоточить тестирование на критически важных приложениях с высоким трафиком, таких как платежные шлюзы, поля ввода и даже основные веб-коды.

Следите за сторонними поставщиками

Ранее в этом году, Автопроизводитель Toyota остановил производство после кибератаки на поставщика пластика и электроники. Приостановленное производство обошлось компании примерно в 13,000 XNUMX автомобилей. Хотя потеря производства может показаться дорогостоящей, это небольшая цена по сравнению с фактическим нарушением.

Это показывает, что стороннее управление рисками (TPRM) остается недостаточно обслуживаемой областью безопасности для многих организаций, и розничные продавцы по-прежнему должны отдавать приоритет TPRM и учиться на примере.

Анкеты TPRM и управления рисками поставщиков помогают оценить состояние безопасности партнерских организаций. Многие опросы корпоративного уровня содержат до 1,000 вопросов, но основными областями, на которые следует обратить внимание, являются: информационная безопасность, безопасность центров обработки данных, безопасность веб-приложений, защита инфраструктуры, а также элементы управления безопасностью и технологии.

Хотя ритейлеры регулярно тестируют собственный код, который включает в себя сторонние интеграции, он не выходит за пределы их собственных сетей. Ритейлеры должны требовать от своих поставщиков проведения полного тестирования на проникновение в код два раза в год и еженощное тестирование, когда их партнеры обновляют или меняют коды.

Проведение тренингов по безопасности, несмотря на вращающуюся дверь талантов

Обучение, несомненно, является самой сложной частью для ритейлеров. Великая отставка вынудил компании пересмотреть свои процессы обучения и адаптации, при этом кибербезопасность стала лишь небольшой их частью. Тем не менее, 82% взломов, проанализированных Verizon «Отчет о расследовании утечки данных» присутствовал человеческий фактор. Это делает обучение сотрудников более важным, чем когда-либо.

У авторитетных ритейлеров, вероятно, есть какая-то программа повышения осведомленности о кибербезопасности. Но они могут (и должны) расширять это. Когда группы кибербезопасности выявляют пробелы в тестировании на проникновение, они могут поделиться этими выводами с сотрудниками и объяснить, как можно манипулировать этими уязвимостями. Такой уровень прозрачности помогает сотрудникам понять свою роль в защите данных предприятия и потребителей.

Парамаунт безопасности паролей

И последнее, но не менее важное, в программе для сотрудников: пароли. Безопасность паролей по-прежнему остается основной проблемой ведущие к ошеломляющему количеству утечек данных, которые происходят сегодня, или играют ключевую роль в этом. Украденные учетные данные — один из самых простых способов для злоумышленников получить доступ к информации. Скомпрометированные учетные данные являются причиной 19% нарушений данных (PDF). Печальная часть 45% потребителей не рассматривайте обмен паролями как серьезную проблему. Розничные продавцы должны усилить приоритет хорошей гигиены паролей, но, что не менее важно, они должны внедрять многофакторную аутентификацию (MFA) везде и в любом месте, где это возможно.

Многие ритейлеры уже начали праздничные распродажи, чтобы опередить инфляцию и кадровые проблемы. Но они не должны забывать о своей безопасности в этой спешке до конца года. Организации должны сделать кибербезопасность не менее важным приоритетом, чем стимулирование продаж, включив SAST и DAST в тестирование своих приложений; мониторинг и управление рисками третьих лиц; и защита учетных данных посредством обучения и надлежащей аутентификации с использованием MFA.