Na čo by si mali dať pred Vianocami pozor predajcovia?

Obdobie sviatočných nákupov sa naplno začalo. Tvrdá práca predajcov však môže vyjsť nazmar, ak nebudú venovať dostatočnú pozornosť kybernetickej bezpečnosti.

Najrušnejšia časť roka pre zákazníkov je zároveň magnetom pre kybernetických zločincov. A hoci v tejto fáze je už možno neskoro na rozsiahle zmeny bezpečnostných politík, nezaškodí pozrieť sa na najväčšie hrozby a osvedčené postupy, ktorými ich možno minimalizovať.

Prečo predajcovia a prečo práve teraz?

Maloobchodní predajcovia sú už dlho predmetom osobitného záujmu kybernetických zločincov a najrušnejšie nákupné obdobie roka tradične predstavuje ideálnu príležitosť na úder. Ale z akého dôvodu?

• Maloobchodníci majú o svojich zákazníkoch k dispozícii osobné a finančné údaje, ktoré sa dajú veľmi dobre speňažiť. Len si pomyslite na všetky tie podrobnosti o kartách. Nie je žiadnym prekvapením, že všetky narušenia bezpečnosti týkajúce sa údajov spojených s oblasťou maloobchodu, ktoré analyzoval operátor Verizon za posledný rok, boli finančne motivované.
• Sviatočná nákupná sezóna je pre maloobchodníkov z hľadiska tržieb najdôležitejším obdobím roka. To však znamená, že sú viac vystavení kybernetickým hrozbám, ako je ransomvér alebo útoky DDoS, ktorých cieľom je vymáhať peniaze odmietnutím služby. Konkurenti môžu útoky DDoS prípadne spustiť aj preto, aby odopreli svojim rivalom dôležité zákazky a príjmy.
• V tomto rušnom období sa zamestnanci, najmä vyťažené IT tímy, viac než na ochranu pred kybernetickými hrozbami sústreďujú na podporu podniku s cieľom dosiahnuť čo najväčšie zisky. Môžu dokonca upraviť interné filtre proti podvodom, aby mohli byť rozsiahlejšie nákupy schvaľované bez kontroly.
• Maloobchodníci sa pri vytváraní nákupnej skúsenosti prostredníctvom viacerých kanálov čoraz častejšie spoliehajú na digitálne systémy vrátane cloudového firemného softvéru, zariadení IoT v predajniach a mobilných aplikácií pre zákazníkov. Týmto spôsobom (veľakrát nevedomky) rozširujú potenciálne miesta útoku.

Netreba zabúdať, že jeden z najväčších zaznamenaných únikov údajov na svete sa uskutočnil a bol oznámený počas sviatočnej sezóny v roku 2013, keď hackeri ukradli 110 miliónov záznamov o zákazníkoch amerického obchodného reťazca Target.

Aké sú najväčšie hrozby pre predajcov?

Malopredajcovia potrebujú nielenže zabezpečiť viacero možných vektorov útokov, ale musia tiež čeliť čoraz rozmanitejším taktikám, technikám a postupom (TTP) odhodlaných protivníkov. Cieľom útočníkov je ukradnúť údaje o zákazníkoch a zamestnancoch, vymáhať od vás peniaze či narušiť kontinuitu prevádzky prostredníctvom útokov DDoS, spáchať podvod alebo použiť botov na získanie konkurenčnej výhody. Tu sú niektoré z hlavných kybernetických hrozieb pre maloobchod:

• Úniky údajov môžu byť spôsobené ukradnutými/prelomenými/podvodom získanými prihlasovacími údajmi zamestnancov alebo zneužitím zraniteľností, najmä vo webových aplikáciách. Výsledkom sú vysoké finančné škody a poškodená povesť, čo môže narušiť plány rastu a príjmy predajcu.

• K digitálnemu skimmingu (t. j. útokom malvéru Magecart) dochádza vtedy, keď útočníci zneužívajú zraniteľnosti na vloženie skimmovacieho kódu priamo na oficiálne platobné stránky alebo prostredníctvom dodávateľa softvéru/miniaplikácie tretej strany. Takéto útoky je často ťažké odhaliť, čo znamená, že môžu spôsobiť obrovské škody. Podľa operátora Verizon predstavovali v minulom roku 18 % prípadov úniku údajov vo sfére maloobchodu. 
  
• Ransomvér je jednou z hlavných hrozieb pre maloobchodníkov a počas tejto rušnej sezóny môžu protivníci svoje útoky zintenzívniť v nádeji, že viac spoločností bude ochotných zaplatiť za vrátenie a dešifrovanie svojich údajov. Na muške sú najmä malé a stredné podniky, pretože ich bezpečnostné kontroly môžu byť menej účinné.

• Útoky DDoS zostávajú obľúbeným spôsobom vymáhania peňazí od malopredajcov a narúšania chodu ich prevádzky. Minulý rok bol tento sektor obeťou takmer pätiny (17 %) týchto útokov, čo predstavuje 53 % medziročný nárast, pričom ich vrchol bol zaznamenaný na Black Friday.

• Útoky na dodávateľský reťazec sú zamerané na digitálneho dodávateľa, ako je softvérová spoločnosť alebo dokonca open-source repozitár. Cieľom ale tiež môžu byť tradičnejšie podniky z oblasti profesionálnych či upratovacích služieb. V prípade úniku údajov zo spoločnosti Target hackeri ukradli sieťové poverenia od dodávateľa systému údržby vykurovania, vetrania a klimatizácie (HVAC).

• Prevzatie kontroly nad účtami je zvyčajne následkom ukradnutých, podvodom získaných alebo prelomených prihlasovacích údajov. Môže ísť o začiatok rozsiahleho pokusu o získanie prístupu k účtom alebo sa cieľom stanú zákazníci v rámci útokov typu „credential stuffing“ (tzv. sprejovania hesiel) či iných útokov hrubou silou. Bežne na ne používajú škodlivé boty.
  
• Medzi ďalšie útoky škodlivých botov patrí scalping (keď konkurenti skupujú žiadaný tovar na ďalší predaj za vyššiu cenu), podvody s platobnými/darčekovými kartami a price scraping (stratégia na prilákanie kupujúcich stanovením nižších cien ako máte vy). Škodlivé boty tvoria približne 30 % celej dnešnej internetovej prevádzky, pričom dve tretiny webových stránok v Spojenom kráľovstve nedokážu zablokovať ani jednoduché útoky. Odhaduje sa, že počas sviatočnej nákupnej sezóny v roku 2022 došlo k 50 % nárastu aktivity škodlivých botov.

• Rozhrania API sú základom maloobchodnej digitálnej transformácie a sprostredkúvajú prepojenejšie a bezproblémovejšie služby zákazníkom. Zraniteľnosti a nesprávne konfigurácie ale dláždia cestu hackerom pri získavaní údajov o nakupujúcich.

Ako sa môžu predajcovia brániť?

V reakcii na hrozby musia predajcovia vyvážiť zabezpečenie s produktivitou zamestnancov a obchodným rastom. Nejde vždy o jednoduchú záležitosť, najmä vzhľadom na vysoké životné náklady, ktoré vyvíjajú čoraz väčší tlak na snahu o dosiahnutie zisku. Možné to však je. Tu je 10 osvedčených postupov, ktoré je potrebné zvážiť:

• Pravidelné školenia zamestnancov: Mali by byť samozrejmosťou. Uistite sa, že vaši zamestnanci dokážu rozpoznať aj sofistikované phishingové útoky.

• Audit dát: Porozumejte, aké dáta máte, kde sú uložené, kam prúdia a ako sú chránené. V každom prípade je tento krok súčasťou zabezpečenia súladu s GPDR.

• Účinné šifrovanie údajov: Po nadobudnutí a klasifikácii dát použite na najcitlivejšie informácie silné šifrovanie. Tento krok je potrebné vykonávať priebežne.

• Rizikovo orientovaná správa záplat: Význam nasadzovania bezpečnostných záplat nemožno podceňovať. Počet každoročne zverejňovaných nových zraniteľností však môže byť sám osebe ochromujúci. Automatizované systémy orientované na riziká by mali pomôcť zefektívniť celkový proces a priorizovať najdôležitejšie systémy a zraniteľnosti.
  
• Viacvrstvové zabezpečenie: Zvážte antimalvérovú ochranu a ďalšie funkcie na úrovni servera, koncových zariadení, e-mailovej siete a cloudu ako preventívnu bariéru pred kybernetickými hrozbami.

• XDR: V prípade hrozieb, ktorým sa darí obchádzať preventívne kontroly, je dobré mať nasadené silné riešenie na rozšírenú detekciu a reakciu (XDR), ktorá funguje na viacerých úrovniach vrátane podpory vyhľadávania hrozieb a reakcie na incidenty.
  
• Zabezpečenie dodávateľského reťazca: Podrobne preverte všetkých dodávateľov vrátane digitálnych partnerov a výrobcov softvéru, aby ste sa uistili, že ich stav zabezpečenia je v súlade s úrovňou rizika, ktorú ste ochotní podstúpiť.

• Prísne kontroly prístupu: Správcovia hesiel pre silné a jedinečné heslá a viacúrovňové overovanie sú nevyhnutnosťou pre všetky citlivé účty. Spolu s riešením XDR, šifrovaním, segregáciou siete a preventívnymi kontrolami tvoria základ modelu nulovej dôvery.

• Plán kontinuity prevádzky/obnovy po strate dát či zlyhaní systémov: Prekontrolovanie nastavených plánov vám pomôže zistiť, či máte zavedené správne obchodné procesy a technologické nástroje.
  
• Plánovanie reakcií na incidenty: Uistite sa, že vaše plány sú nepriestrelné a pravidelne testované, aby každá zainteresovaná strana vedela, čo má robiť v tom najhoršom prípade, a nestrácala čas reakciou na hrozbu a zamedzovaním jej šírenia.

Pre drvivú väčšinu predajcov, ak nie pre všetkých, bude tiež súlad so štandardom zabezpečenia dát v rámci odvetvia platobných kariet (PCI DSS) základnou požiadavkou podnikania. Vnímajte ju skôr ako príležitosť než záťaž. Vďaka podrobným požiadavkám tohto štandardu si vybudujete vyspelejšie zabezpečenie a minimalizujete vystavenie rizikám. Technológie, ako je silné šifrovanie, môžu takisto pomôcť znížiť náklady a administratívne zaťaženie spojené s dodržiavaním predpisov.