Роздрібна торгівля під загрозою: основні загрози, з якими зіткнулися роздрібні торговці цього святкового сезону

Безпека бізнесу

Хоча вже занадто пізно вносити повні зміни в політику безпеки, не завадить по-новому поглянути на те, де знаходяться найбільші загрози та які найкращі практики можуть допомогти їх нейтралізувати

Філ Манкастер

Листопад 28 2023  •  , 6 хв. читати

Сезон святкових покупок розпочався по-справжньому. Тоді як роздрібні торговці зосереджені на боротьбі за обсяг продажів оцінюється в 1.5 трильйона доларів цього року (і це лише для США), їх наполеглива робота може зійти нанівець, оскільки недостатньо уваги приділяється кібербезпеці. 

чому Тому що зараз найкращі та найгірші часи для ІТ-команд роздрібної торгівлі. Найактивніша пора року для клієнтів також є a магніт для кіберзлочинців. І хоча на даному етапі може бути надто пізно вводити повні зміни в політику безпеки, не завадить по-новому поглянути на те, де знаходяться найбільші загрози, і які найкращі практики можуть допомогти їх нейтралізувати.

Чому роздріб, чому зараз?

Кіберзлочинці вже давно отримують особливе ставлення до роздрібних торговців. А найжвавіший шопінг-період року вже давно представляє чудову нагоду для страйку. Але чому?

• Роздрібні торговці зберігають особисту та фінансову інформацію про своїх клієнтів, яку можна монетизувати. Просто подумайте про всі ці дані картки. Не дивно, що всі (100%) витоку роздрібних даних проаналізовано Verizon за останній рік керувалися фінансовими мотивами.
• Сезон святкових покупок є найважливішим періодом року для роздрібних торговців з точки зору прибутку. Але це означає, що вони більше вразливі до кіберзагроз, таких як програми-вимагачі або розподілена відмова в обслуговуванні (DDoS), призначені для вимагання грошей шляхом відмови в обслуговуванні. Крім того, конкуренти можуть запускати DDoS-атаки, щоб позбавити своїх суперників життєво важливих звичаїв і прибутку.
• Найбільш завантажена пора року означає, що співробітники, особливо напружені ІТ-команди, більше зосереджені на підтримці бізнесу, щоб отримати якомога більший дохід, ніж на пошуку кіберзагроз. Вони можуть навіть налаштувати внутрішні фільтри шахрайства, щоб дозволити схвалювати великі покупки без перевірки.
• Роздрібні торговці все більше покладаються на цифрові системи для створення багатоканальної торгівлі, включаючи хмарне бізнес-програмне забезпечення, пристрої Інтернету речей у магазині та мобільні додатки для клієнтів. Роблячи це, вони (часто мимоволі) розширюють потенційну поверхню атаки.

Не забуваймо, що один із найбільші у світі зареєстровані витоки даних відбувся та був оголошений під час святкового сезону 2013 року, коли хакери викрали 110 мільйонів записів про клієнтів у американського роздрібного магазину Target.

Які найбільші кіберзагрози для роздрібних торговців цього святкового сезону?

Мало того, що роздрібні торговці повинні захищати більше поверхню атаки, вони також повинні боротися з дедалі більшою різноманітністю тактик, технік і процедур (TTP) від певного набору супротивників. Цілі нападників – або викрадати дані клієнтів і співробітників, вимагати/зривати ваш бізнес через DDoS, здійснювати шахрайство або використовувати ботів, щоб отримати конкурентну перевагу. Ось деякі з основних роздрібних кіберзагроз:

• Порушення даних може виникнути через вкрадені/зламані/фішингові облікові дані співробітника або використання вразливості, особливо у веб-додатках. Результатом є значні фінансові та репутаційні збитки, які можуть зірвати плани зростання та доходи.
• Цифровий скімінг (тобто атаки Magecart) виникає, коли зловмисники використовують уразливості, щоб вставити шкірний код безпосередньо на ваші платіжні сторінки або за допомогою стороннього постачальника програмного забезпечення/віджета. Такі атаки часто важко помітити, тобто вони можуть завдати невимовної шкоди репутації. Згідно з даними, минулого року на них припадало 18% порушень даних роздрібної торгівлі Verizon.  
• вимагачів є однією з головних загроз для роздрібних торговців, і протягом цього напруженого сезону учасники загроз можуть активізувати свої атаки в надії, що більше компаній будуть готові платити за повернення та розшифрування своїх даних. Особливо малого та середнього бізнесу знаходяться під прицілом, оскільки їхній контроль безпеки може бути менш ефективним.
• DDoS залишається популярним способом вимагання та/або зриву роздрібних торговців. Минулого року, сектор був на хвилі майже п’ятої частини (17%) цих атак – зростання на 53% порівняно з минулим роком, з піком, поміченим під час Чорної п’ятниці.
• Атаки ланцюга поставок може бути орієнтована на цифрового постачальника наприклад компанія, що займається програмним забезпеченням, або навіть сховище з відкритим кодом. Або вони можуть бути спрямовані на більш традиційний бізнес у сфері професійних чи навіть клінінгових послуг. Порушення цілі стало можливим, коли хакери вкрали мережеві облікові дані постачальника систем опалення, вентиляції та кондиціонування.
• Захоплення облікових записів (ATO) зазвичай увімкнено вкрадені, підроблені або зламані облікові дані. Це може бути початком великої спроби витоку даних або воно може бути спрямоване на клієнтів, у розповсюдженні облікових даних чи інших кампаніях грубої сили. Як правило, тут використовуються шкідливі боти.
• Інші погані атаки ботів включають скальпування (коли суперники скуповують товари, які користуються попитом, для перепродажу за вищою ціною), шахрайство з платіжними/подарунковими картками та скидання цін (що дозволяє конкурентам знижувати ваші ціни). Шкідливі боти включають близько 30% усього інтернет-трафіку сьогодні, з двома третинами веб-сайтів Великобританії неможливо заблокувати навіть прості напади. там було збільшення на 50%. у поганому трафіку ботів у святковий сезон 2022 року.
• Інтерфейси (Application Programming Interface) є основою цифрової трансформації роздрібної торгівлі, що забезпечує більш зв’язаний і бездоганний досвід роботи клієнтів. Але вразливості та неправильні конфігурації також можуть забезпечити простий шлях для хакерів до даних клієнтів.

Як роздрібні торговці можуть захистити себе від кіберризиків

У відповідь на це роздрібні торговці повинні збалансувати безпеку з продуктивністю співробітників і зростанням бізнесу. Це не завжди легкий розрахунок, особливо з огляду на високу вартість життя, яка чинить дедалі більший тиск на пошуки прибутку. Але це можна зробити. Ось 10 найкращих практик, які варто взяти до уваги:

• Регулярне навчання персоналу: Це само собою зрозуміло. Забезпечте свій співробітники можуть помітити навіть складні фішингові атаки і ви матимете зручну останню лінію захисту.
• Аудит даних: Зрозумійте, що у вас є, де це зберігається, куди тече та як це захищено. Це має бути зроблено в будь-якому випадку в рамках відповідності GDPR.
• Надійне шифрування даних: Виявивши та класифікувавши свої дані, застосуйте надійне шифрування до найбільш конфіденційної інформації. Це слід робити на постійній основі.
• Керування виправленнями на основі ризиків: Важливість виправлення програмного забезпечення не можна недооцінити. Але сама кількість нових уразливостей, які публікуються щороку, може бути надзвичайною. Автоматизовані системи, засновані на оцінці ризиків, повинні допомогти оптимізувати процес і визначити пріоритетність найважливіших систем і вразливостей.
• Багаторівневий захист: Розгляньте засоби захисту від шкідливих програм та інші можливості на сервері, кінцевій точці, мережі електронної пошти та хмарному рівні як профілактичний бар’єр для кіберзагроз.
• XDR: Для загроз, яким вдається обійти профілактичні засоби контролю, переконайтеся, що є надійне розширене виявлення та реагування (XDR), що працює на кількох рівнях, зокрема для підтримки полювання на загрози та реагування на інциденти.
  
• Безпека ланцюга поставок: Перевірте всіх постачальників, у тому числі цифрових партнерів і постачальників програмного забезпечення, щоб переконатися, що їх рівень безпеки відповідає вашій схильності до ризику.
• Сильний контроль доступу: Менеджери паролів для надійних, унікальних паролів і багатофакторної автентифікації є обов’язковими для всіх конфіденційних облікових записів. Разом із XDR, шифруванням, сегрегацією мережі та запобіжним контролем вони складають основу a Підхід до безпеки Zero Trust.
• Аварійне відновлення/планування безперервності бізнесу: Перегляд планів допоможе переконатися, що потрібні бізнес-процеси та технологічні інструменти.
• Планування реагування на інциденти: Переконайтеся, що ваші плани надійні та регулярно перевіряються, щоб кожна зацікавлена ​​сторона знала, що робити в найгіршому випадку, і не витрачався час на реагування на загрозу та її стримування.

Для переважної більшості, якщо не для всіх роздрібних продавців, відповідність PCI DSS також буде важливою вимогою для бізнесу. Вважайте це можливістю, а не тягарем. Його детальні вимоги допоможуть вам створити більш зрілу систему безпеки та мінімізувати ризики. Такі технології, як надійне шифрування, також можуть допомогти зменшити вартість і адміністративний тягар відповідності. Щасливих свят.