Maloprodaja v nevarnosti: Glavne grožnje, s katerimi se soočajo trgovci na drobno v tem prazničnem času

Poslovna varnost

Čeprav je morda prepozno za uvedbo obsežnih sprememb vaših varnostnih politik, ne škodi, če si znova ogledate, kje so največje grožnje in katere najboljše prakse jih lahko nevtralizirajo

Phil Muncaster

November 28 2023  •  , 6 min. prebrati

Sezona prazničnih nakupov se je resno začela. Medtem ko so trgovci na drobno osredotočeni na boj za približno 1.5 bilijona dolarjev prodaje letos (in to samo za ZDA), bo njihovo trdo delo morda padlo v nič, ker se kibernetski varnosti ne namenja dovolj pozornosti. 

Zakaj? Ker so to najboljši in najslabši časi za maloprodajne ekipe IT. Najbolj obremenjen čas v letu za stranke je tudi a magnet za kibernetske kriminalce. In čeprav je na tej stopnji morda prepozno za uvedbo obsežnih sprememb varnostnih politik, ne škodi, če si znova ogledate, kje so največje grožnje in katere najboljše prakse jih lahko pomagajo nevtralizirati.

Zakaj maloprodaja, zakaj zdaj?

Trgovci na drobno so že dolgo posebej obravnavani s strani kibernetskih kriminalcev. In najbolj prometno nakupovalno obdobje v letu že dolgo predstavlja zlato priložnost za stavko. Ampak zakaj?

• Trgovci na drobno hranijo osebne in finančne podatke o svojih strankah z visoko vrednostjo. Samo pomislite na vse te podatke o kartici. Ni presenetljivo, da vse (100 %) kršitve maloprodajnih podatkov, ki jih je analiziral Verizon v preteklem letu jih je vodil finančni motiv.
• Sezona prazničnih nakupov je najpomembnejši čas v letu za trgovce na drobno z vidika prihodkov. Toda to pomeni, da so bolj izpostavljeni kibernetskim grožnjam, kot je izsiljevalska programska oprema ali porazdeljena zavrnitev storitve (DDoS), namenjena izsiljevanju denarja z zavrnitvijo storitve. Druga možnost je, da lahko konkurenti sprožijo napade DDoS, da svojim tekmecem onemogočijo ključno po meri in prihodke.
• Ker je čas v letu najbolj obremenjen, pomeni, da so zaposleni, še posebej raztegnjene ekipe IT, bolj osredotočeni na podporo podjetju, da ustvari čim več prihodkov, kot pa da pazijo na kibernetske grožnje. Morda celo prilagodijo notranje filtre za goljufije, da bi omogočili odobritev večjih nakupov brez nadzora.
• Trgovci na drobno se vedno bolj zanašajo na digitalne sisteme za izgradnjo večkanalnih komercialnih izkušenj, vključno s poslovno programsko opremo v oblaku, napravami IoT v trgovinah in mobilnimi aplikacijami, namenjenimi strankam. S tem (pogosto nevede) širijo potencialno površino napada.

Ne pozabimo, da je eden od največje zabeležene kršitve podatkov na svetu potekala in je bila napovedana v prazničnem času 2013, ko hekerji so ameriškemu trgovcu na drobno Target ukradli 110 milijonov evidenc strank.

Katere so največje kibernetske grožnje trgovcem na drobno v tem prazničnem času?

Ne samo, da morajo trgovci na drobno braniti večjo napadna površina, se morajo boriti tudi z vse večjo raznolikostjo taktik, tehnik in postopkov (TTP) določene skupine nasprotnikov. Cilji napadalcev so bodisi krajo podatkov o strankah in zaposlenih, izsiljevati/motiti vaše poslovanje prek DDoS, izvajati goljufije ali uporabljati bote za pridobitev konkurenčne prednosti. Tukaj je nekaj glavnih maloprodajnih kibernetskih groženj:

• Kršitve podatkov lahko izvirajo iz ukradenih/zlomljenih/lažnih poverilnic zaposlenih ali izkoriščanja ranljivosti, zlasti v spletnih aplikacijah. Posledica je velika finančna škoda in škoda za ugled, ki lahko iztiri načrte za rast in prihodke.
• Digitalno posnemanje (tj. napadi Magecart) se zgodi, ko akterji groženj izkoristijo ranljivosti za vstavljanje posnemalne kode neposredno na vaše plačilne strani ali prek ponudnika programske opreme/pripomočka tretje osebe. Takšne napade je pogosto težko opaziti, kar pomeni, da lahko povzročijo nepopisno škodo ugledu. Te so lani predstavljale 18 % kršitev maloprodajnih podatkov Verizon.  
• izsiljevalska je ena največjih groženj za trgovce na drobno in v tej naporni sezoni lahko akterji groženj okrepijo svoje napade v upanju, da bo več podjetij pripravljenih plačati, da dobijo nazaj in dešifrirajo svoje podatke. Zlasti mala in srednja podjetja so na udaru, saj je njihov varnostni nadzor morda manj učinkovit.
• DDoS ostaja priljubljen način za izsiljevanje in/ali motenje trgovcev na drobno. Lansko leto, sektor je bil na koncu skoraj petine (17 %) teh napadov – 53-odstotno medletno (medletno) povečanje, z vrhovi, opaženimi med črnim petkom.
• Napadi na dobavno verigo mogoče je usmerjen na digitalnega dobavitelja kot je podjetje za programsko opremo ali celo odprtokodno skladišče. Lahko pa so namenjeni bolj tradicionalnim podjetjem v profesionalnih ali celo čistilnih storitvah. Kršitev cilja je bilo omogočeno, ko hekerji so dobavitelju HVAC ukradli omrežne poverilnice.
• Prevzemi računov (ATO) jih običajno omogoči ukradene, z lažnim predstavljanjem ali vlomljene poverilnice. To je lahko začetek velikega poskusa kršitve podatkov ali pa je lahko usmerjeno proti strankam, pri dodajanju poverilnic ali drugih kampanjah na silo. Tu se običajno uporabljajo zlonamerni roboti.
• Drugi slabi napadi botov vključujejo skalpiranje (kjer tekmeci kupujejo blago po povpraševanju za nadaljnjo prodajo po višji ceni), goljufije s plačilnimi/darilnimi karticami in strganje cen (omogočajo konkurentom, da nelojalno nižajo vaše cene). Zlonamerni roboti vključujejo Okrog 30% vsega internetnega prometa danes, z dvema tretjinama spletnih mest v Združenem kraljestvu ni mogoče blokirati tudi preprosti napadi. tam je bilo ocenjeno 50-odstotno povečanje v slabem prometu botov v praznični sezoni 2022.
• API-ji (Application Programming Interface) so v središču maloprodajne digitalne transformacije, ki omogoča bolj povezano in brezhibno uporabniško izkušnjo. Toda ranljivosti in napačne konfiguracije lahko zagotovijo tudi preprosta pot za hekerje do podatkov strank.

Kako se lahko trgovci ubranijo pred kibernetskimi tveganji

V odgovor morajo trgovci na drobno uravnotežiti varnost s produktivnostjo zaposlenih in rastjo poslovanja. To ni vedno lahek izračun, zlasti zaradi visokih življenjskih stroškov, ki povzročajo vedno večji pritisk na iskanje dobička. Ampak se da narediti. Tukaj je 10 najboljših praks, ki jih morate upoštevati:

• Redno izobraževanje osebja: To bi moralo biti samoumevno. Zagotovite si zaposleni lahko opazijo celo sofisticirane napade lažnega predstavljanja in imeli boste pripravljeno priročno zadnjo obrambno črto.
• Revizija podatkov: Razumeti, kaj imate, kje je shranjeno, kam teče in kako je zaščiteno. To je treba storiti v vsakem primeru kot del skladnosti z GDPR.
• Močno šifriranje podatkov: Ko odkrijete in razvrstite svoje podatke, uporabite močno šifriranje za najbolj občutljive podatke. To je treba izvajati nenehno.
• Upravljanje popravkov na podlagi tveganja: Pomena popravkov programske opreme ni mogoče podcenjevati. Toda že samo število novih ranljivosti, objavljenih vsako leto, je lahko ogromno. Avtomatizirani sistemi, ki temeljijo na tveganjih, bi morali pomagati racionalizirati proces in dati prednost najpomembnejšim sistemom in ranljivostim.
• Večplastna zaščitna varnost: Razmislite o zaščiti pred zlonamerno programsko opremo in drugih zmožnostih na strežniku, končni točki, e-poštnem omrežju in ravni oblaka kot preventivni oviri pred kibernetskimi grožnjami.
• XDR: Za grožnje, ki se uspejo izogniti preventivnemu nadzoru, zagotovite močno razširjeno zaznavanje in odziv (XDR), ki deluje na več ravneh, vključno s podporo za iskanje groženj in odziv na incidente.
  
• Varnost dobavne verige: Preglejte vse dobavitelje, vključno z digitalnimi partnerji in prodajalci programske opreme, da zagotovite, da je njihova varnostna drža v skladu z vašo nagnjenostjo k tveganju.
• Močne kontrole dostopa: Upravitelji gesel za močna, edinstvena gesla in večfaktorsko preverjanje pristnosti so obvezni za vse občutljive račune. Skupaj z XDR, šifriranjem, ločevanjem omrežja in preventivnimi kontrolami tvorijo osnovo a Varnostni pristop Zero Trust.
• Načrtovanje obnove po katastrofi/kontinuitete poslovanja: Pregled načrtov bo pomagal zagotoviti, da so na voljo pravi poslovni procesi in tehnološko orodje.
• Načrtovanje odziva na incidente: Zagotovite, da so vaši načrti neprepustni in redno testirani, tako da vsak deležnik ve, kaj storiti v najslabšem možnem scenariju, in ne izgubljate časa z odzivom na grožnjo in njeno obvladovanjem.

Za veliko večino, če ne za vse trgovce na drobno, bo skladnost s PCI DSS prav tako bistvena zahteva za poslovanje. Razmislite o tem kot o priložnosti in ne o bremenu. Njegove podrobne zahteve vam bodo pomagale zgraditi bolj zrelo varnostno držo in zmanjšati izpostavljenost tveganju. Tehnologije, kot je močno šifriranje, lahko prav tako pomagajo zmanjšati stroške in upravno breme skladnosti. Vesele praznike.