ผู้ค้าปลีกจะได้รับการคุ้มครองอย่างไรในช่วงเวลาที่ยอดเยี่ยมที่สุดของปี

ในขณะที่วันหยุดกำลังคืบคลานเข้ามา ผู้บริโภคและผู้ค้าปลีกไม่ใช่กลุ่มเดียวที่เตรียมพร้อมสำหรับฤดูกาลนี้ อาชญากรไซเบอร์คอยติดตามอย่างใกล้ชิด ไม่เป็นความลับเลยที่ช่วงวันหยุดสำคัญๆ ของผู้บริโภค ตั้งแต่วัน Amazon Prime Day ไปจนถึงช่วงวันหยุดสิ้นปี ล้วนมีเป้าหมายใหญ่สำหรับผู้แสดงภัยคุกคาม การคาดการณ์สำหรับวันแบล็คฟรายเดย์ในปีนี้แสดงให้เห็นว่าการใช้จ่ายออนไลน์พุ่งสูงขึ้น $ 13 พันล้าน.

นั่นเป็นโอกาสที่ร่ำรวยสำหรับนักแสดงที่ไม่ดี

ในปีนี้ ผู้ค้าปลีกกำลังเผชิญกับภาวะเงินเฟ้อ ภาวะเศรษฐกิจถดถอยที่กำลังจะเกิดขึ้น และกฎหมายความเป็นส่วนตัวของข้อมูลที่กำลังจะเกิดขึ้น พวกเขาไม่สามารถจ่ายได้ $ 4.35 ล้าน ละเมิด.

การรักษาความปลอดภัยที่จำกัด Ho-Ho-Ho ในปีนี้?

ผู้ค้าปลีกต้องคำนึงถึงมาตรการรักษาความปลอดภัยเป็นอันดับแรก นั่นหมายถึงการนำการตรวจจับและการตอบสนองมาใช้อย่างมีประสิทธิผล ค้นหาช่องโหว่ ก่อน การหยุดการเปลี่ยนแปลงการค้าปลีกเกิดขึ้นในช่วงเวลานี้ของปี การจัดการความเสี่ยงของบุคคลที่สาม และทำให้แน่ใจว่าพนักงานได้รับการฝึกอบรมที่ต้องการ

ค้นหาจุดอ่อนที่สุดก่อนเกิด Mad Rush

เป็นเรื่องปกติที่ผู้ค้าปลีกจะดำเนินการเปลี่ยนแปลงอย่างหนักเป็นเวลาหนึ่งถึงสองเดือนก่อนช่วงวันหยุดเร่งด่วนไปจนถึงสัปดาห์ที่สองหรือสามของเดือนมกราคม วิธีนี้จะป้องกันไม่ให้เกิดการเปลี่ยนแปลงระบบที่สำคัญใดๆ (ซึ่งส่งผลต่อประสบการณ์ของผู้บริโภค) ในช่วงวันขายที่คึกคักที่สุดและสำคัญที่สุดของปี

ในช่วงหลายสัปดาห์ที่นำไปสู่การเปลี่ยนแปลงครั้งใหญ่ นักพัฒนามักจะพยายามบีบการเปลี่ยนแปลงโค้ดหรือโครงสร้างพื้นฐานครั้งสุดท้าย การเร่งรีบก่อนถึงกำหนดเวลานี้บางครั้งอาจมีข้อผิดพลาด ส่งผลให้ระบบที่ไม่ได้รับการติดตั้งและยังไม่ผ่านการทดสอบเสี่ยงต่อการถูกโจมตี อาชญากรไซเบอร์ต่างคุ้นเคยกับฤดูกาลที่มีการเปลี่ยนแปลงอย่างหนักเหล่านี้ และมักจะวางแผนการโจมตีในช่วงกรอบเวลานี้

การเรียกใช้การทดสอบความปลอดภัยของแอปพลิเคชันแบบคงที่และไดนามิก (SAST และ DAST) โดยเป็นส่วนหนึ่งของโปรแกรมการทดสอบแอปทั่วไปเป็นวิธีที่ดีที่สุดในการระบุช่องโหว่ก่อนที่โค้ดประจำปีจะค้าง การทดสอบทั้งสองนี้จะตรวจสอบการใช้งานจากด้านต่างๆ SAST มุ่งเน้นไปที่ข้อบกพร่องของซอฟต์แวร์ เช่น การแทรก SQL ในขณะที่ DAST ค้นหาจุดอ่อนที่ผู้ไม่ประสงค์ดีสามารถหาประโยชน์ได้

ผู้ค้าปลีกควรเน้นการทดสอบแอปพลิเคชันที่สำคัญและมีการเข้าชมสูง เช่น เกตเวย์การชำระเงิน ช่องป้อนข้อมูล และแม้แต่รหัสเว็บหลัก

จับตาดูผู้ขายบุคคลที่สาม

เมื่อต้นปีนี้ ผู้ผลิตรถยนต์ Toyota หยุดการผลิต หลังจากซัพพลายเออร์พลาสติกและอิเล็กทรอนิกส์ถูกโจมตีทางไซเบอร์ การผลิตที่ถูกระงับทำให้บริษัทมีค่าใช้จ่ายประมาณ 13,000 คัน แม้ว่าการสูญเสียการผลิตอาจดูมีค่าใช้จ่ายสูง แต่ก็ถือเป็นราคาเพียงเล็กน้อยที่ต้องจ่ายเมื่อเทียบกับการละเมิดที่เกิดขึ้นจริง

สิ่งนี้แสดงให้เห็นว่า การบริหารความเสี่ยงบุคคลที่สาม (TPRM) ยังคงเป็นพื้นที่ที่ไม่ได้รับการดูแลด้านความปลอดภัยสำหรับองค์กรหลายแห่ง และผู้ค้าปลีกยังคงต้องจัดลำดับความสำคัญของ TPRM และเรียนรู้จากกรณีศึกษา

แบบสอบถามการบริหารความเสี่ยงของ TPRM และผู้จำหน่ายช่วยประเมินสถานะการรักษาความปลอดภัยขององค์กรพันธมิตร แบบสำรวจระดับองค์กรจำนวนมากมีคำถามมากถึง 1,000 ข้อ แต่ประเด็นหลักที่ควรได้รับการแก้ไข ได้แก่ ความปลอดภัยของข้อมูล ความปลอดภัยของศูนย์ข้อมูล ความปลอดภัยของแอปพลิเคชันบนเว็บ การป้องกันโครงสร้างพื้นฐาน และการควบคุมความปลอดภัยและเทคโนโลยี

แม้ว่าผู้ค้าปลีกจะทำการทดสอบโค้ดของตนเองเป็นประจำ ซึ่งรวมถึงการบูรณาการของบุคคลที่สาม แต่ก็ไม่ได้ขยายเกินขอบเขตของเครือข่ายของตนเอง ผู้ค้าปลีกควร ต้องการให้ผู้จำหน่ายทำการทดสอบการเจาะโค้ดแบบเต็ม เป็นรายปีและทดสอบทุกคืนเมื่อพันธมิตรอัปเดตหรือเปลี่ยนรหัส

รักษาการฝึกอบรมด้านความปลอดภัยแม้จะมีประตูหมุนเวียนของผู้มีความสามารถ

การฝึกอบรมถือเป็นส่วนที่ยากที่สุดสำหรับผู้ค้าปลีกอย่างไม่ต้องสงสัย ที่ การลาออกครั้งใหญ่ ได้บังคับให้บริษัทต่างๆ ประเมินการฝึกอบรมและกระบวนการเตรียมความพร้อมใหม่อีกครั้ง โดยมีความปลอดภัยทางไซเบอร์เป็นองค์ประกอบเล็กๆ น้อยๆ อย่างไรก็ตาม 82% ของการละเมิดได้รับการวิเคราะห์โดย "รายงานการสืบสวนการละเมิดข้อมูล” เกี่ยวข้องกับองค์ประกอบของมนุษย์ ทำให้การฝึกอบรมพนักงานมีความสำคัญมากขึ้นกว่าเดิม

ผู้ค้าปลีกที่จัดตั้งขึ้นน่าจะมีโครงการตระหนักถึงความปลอดภัยทางไซเบอร์อยู่บ้าง แต่พวกเขาสามารถ (และควร) ขยายขอบเขตออกไปได้ เมื่อทีมรักษาความปลอดภัยทางไซเบอร์ระบุช่องว่างจากการทดสอบการเจาะระบบ พวกเขาสามารถแบ่งปันสิ่งที่ค้นพบเหล่านั้นกับพนักงาน และอธิบายว่าช่องโหว่เหล่านั้นสามารถจัดการได้อย่างไร ความโปร่งใสระดับนี้ช่วยให้พนักงานเข้าใจบทบาทของตนในการปกป้องข้อมูลขององค์กรและผู้บริโภค

ความปลอดภัยของรหัสผ่านยิ่งสูง

และสุดท้ายแต่ไม่ท้ายสุดในโปรแกรมพนักงาน: รหัสผ่าน ความปลอดภัยของรหัสผ่านยังคงเป็นปัญหาหลัก นำไปสู่หรือเป็นปัจจัยสำคัญในการละเมิดข้อมูลจำนวนมหาศาลที่เกิดขึ้นในปัจจุบัน ข้อมูลประจำตัวที่ถูกขโมยเป็นหนึ่งในวิธีที่ง่ายที่สุดสำหรับผู้คุกคามในการเข้าถึงข้อมูล ข้อมูลประจำตัวที่ถูกบุกรุกเป็นสาเหตุของ 19% ของการละเมิดข้อมูล (ไฟล์ PDF). ส่วนที่น่าเศร้าก็คือ 45% ของผู้บริโภค อย่ามองว่าการแบ่งปันรหัสผ่านเป็นปัญหาร้ายแรง ผู้ค้าปลีกควรเน้นย้ำถึงลำดับความสำคัญของสุขอนามัยรหัสผ่านที่ดี แต่ที่สำคัญไม่แพ้กัน พวกเขาควรใช้การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ทุกที่และทุกแห่งที่เป็นไปได้

ผู้ค้าปลีกหลายรายเริ่มลดราคาในช่วงวันหยุดเพื่อรับมือกับปัญหาเงินเฟ้อและปัญหาเรื่องพนักงาน แต่พวกเขาก็ต้องไม่ลืมมาตรการรักษาความปลอดภัยในช่วงที่เร่งรีบจนถึงสิ้นปีนี้ องค์กรต่างๆ จะต้องให้ความสำคัญกับความปลอดภัยทางไซเบอร์เป็นสำคัญพอๆ กับการผลักดันยอดขายโดยการรวม SAST และ DAST ไว้ในการทดสอบแอป การติดตามและจัดการความเสี่ยงของบุคคลที่สาม และการรักษาความปลอดภัยข้อมูลประจำตัวผ่านการฝึกอบรมและการรับรองความถูกต้องที่เหมาะสมโดยใช้ MFA