Оскільки свята наближаються, споживачі та роздрібні торговці не єдині, хто готується до сезону. Кіберзлочинці просто на хвості. Ні для кого не секрет, що великі споживчі свята — від Amazon Prime Day до святкового спринту наприкінці року — несуть великі цілі для загроз. Прогнози на цьогорічну Чорну п’ятницю показують, що витрати в Інтернеті досягнуть 13 млрд доларів .
Це вигідна можливість для поганих акторів.
Цього року роздрібні торговці вже зіткнулися з інфляцією, неминучою рецесією та назріваючим законодавством про конфіденційність даних. Вони просто не можуть дозволити собі a $ 4.35 мільйонів порушення.
Обмежена безпека Хо-хо-хо цього року?
Роздрібні торговці повинні дбати про безпеку. Це означає впровадження ефективного виявлення та реагування; пошук вразливостей перед тим у цю пору року відбуваються заморозки роздрібних змін; управління ризиками третіх сторін; і переконайтеся, що працівники проходять необхідне навчання.
Пошук найслабшої ланки перед божевільним поривом
Роздрібні продавці зазвичай жорстко заморожують зміни за один-два місяці до святкової ажіотажі до другого чи третього тижня січня. Це запобігає впровадженню будь-яких серйозних системних змін (що впливають на взаємодію споживачів) під час найактивніших і найважливіших днів розпродажів у році.
За кілька тижнів до жорсткого заморожування змін розробники часто намагаються втиснути останню зміну коду чи інфраструктури. Поспіх перед кінцевим терміном іноді може включати помилки, залишаючи невиправлені та неперевірені системи вразливими до атак. Кіберзлочинці добре знайомі з цими сезонами заморожування жорстких змін і часто приурочують свої атаки до цього періоду.
Виконання статичних і динамічних тестів безпеки додатків (SAST і DAST) у рамках регулярних програм тестування додатків є найкращим способом виявлення вразливостей до щорічного зависання коду. Ці два тести розглядають програми з різних сторін. SAST зосереджується на недоліках програмного забезпечення, таких як впровадження SQL, тоді як DAST знаходить слабкі місця, якими можуть скористатися зловмисники.
Роздрібні продавці повинні зосередитися на тестуванні критичних програм із високим трафіком, таких як платіжні шлюзи, поля введення та навіть основні веб-коди.
Слідкуйте за сторонніми постачальниками
Раніше цього року Автовиробник Toyota зупинив своє виробництво після того, як постачальник пластику та електроніки зазнав кібератаки. Призупинене виробництво коштувало компанії приблизно 13,000 XNUMX автомобілів. Хоча втрата продуктивності може здатися дорогим, це невелика ціна порівняно з фактичним порушенням.
Це показує, що стороннє управління ризиками (TPRM) залишається недостатньо обслуговуваною сферою безпеки для багатьох організацій, і роздрібні торговці все ще повинні віддавати пріоритет TPRM і вчитися на прикладі.
TPRM і опитувальники щодо управління ризиками постачальників допомагають оцінити стан безпеки партнерських організацій. Багато опитувань на рівні підприємства містять до 1,000 запитань, але основні сфери, на які слід звернути увагу, це: інформаційна безпека, безпека центру обробки даних, безпека веб-додатків, захист інфраструктури, засоби контролю безпеки та технології.
Хоча роздрібні торговці регулярно тестують свій власний код, який включає інтеграцію сторонніх розробників, він не виходить за межі їхніх власних мереж. Роздрібні торговці повинні вимагати від своїх постачальників проведення повного тестування на проникнення коду кожні два роки та щовечора тестування, коли їхні партнери оновлюють або змінюють коди.
Підтримка тренінгів безпеки, незважаючи на поворотні двері таланту
Навчання, безсумнівно, є найскладнішою частиною для роздрібних торговців. The Велика відставка змусив компанії переоцінити свої процеси навчання та адаптації, причому кібербезпека була невеликою складовою цього. Однак 82% порушень, проаналізованих VerizonЗвіт про розслідування витоку даних» включав людський елемент. Це робить навчання співробітників більш важливим, ніж будь-коли.
Відомі роздрібні продавці, ймовірно, мають якусь програму підвищення обізнаності щодо кібербезпеки. Але вони можуть (і повинні) розширити це. Коли команди з кібербезпеки виявляють прогалини під час тестування на проникнення, вони можуть поділитися цими висновками зі співробітниками та пояснити, як можна маніпулювати цими вразливими місцями. Цей рівень прозорості допомагає працівникам зрозуміти свою роль у захисті даних підприємства та споживачів.
Password Security Paramount
І останнє, але не менш важливе, у програмі для співробітників: паролі. Безпека паролів залишається основною проблемою призводять або відіграють ключовий фактор у приголомшливій кількості витоків даних, які відбуваються сьогодні. Викрадені облікові дані є одним із найпростіших способів для зловмисників отримати доступ до інформації. Причиною є скомпрометовані облікові дані 19% порушення даних (PDF). Сумна частина 45% споживачів не розглядайте спільний доступ до пароля як серйозну проблему. Роздрібні продавці повинні посилити пріоритет надійної гігієни паролів, але не менш важливо, вони повинні впроваджувати багатофакторну автентифікацію (MFA) скрізь і всюди, де це можливо.
Багато роздрібних торговців уже розпочали святкові розпродажі, щоб випередити інфляцію та проблеми з персоналом. Але вони не повинні забувати про свою безпеку в поспіху до кінця року. Організації повинні зробити кібербезпеку таким же пріоритетом, як стимулювання продажів, включивши SAST і DAST у тестування додатків; моніторинг та управління ризиками третіх сторін; а також захист облікових даних шляхом навчання та належної автентифікації за допомогою MFA.
