Kibernetinio saugumo grėsmės mažmeninės prekybos įmonėms kelia vis didesnį susirūpinimą, nes jos vis dažniau pasirenka atsiskaitymus per Apple, Google Pay ar kitas mokėjimo platformas. Nuo 2005 m. mažmenininkai matė daugiau 10,000 XNUMX duomenų pažeidimų, daugiausia dėl mokėjimo sistemų trūkumų ir pažeidžiamumų.
Pardavimo vietos (POS) sistemose dažnai naudojama daugybė išorinės aparatinės įrangos, programinės įrangos ir debesies pagrindu veikiančių komponentų.
„Mažiausiai prekybininkai turi užtikrinti, kad jų sutarties šalis jų laikytųsi ir laikytųsi tų pačių saugumo atitikties reikalavimų, kuriuos kelia pati įmonė. Yra daug galimybių kibernetiniams nusikaltėliams pasinaudoti sistema, nesvarbu, ar tai būtų sprendimą teikiančio pardavėjo šaltinis, ar tada, kai technologija įdiegiama vietoje. Išnaudojus POS įrenginiuose naudojamos programinės įrangos (ar net galinių debesies paslaugų) pažeidžiamumą, kibernetinis nusikaltėlis gali įdiegti kenkėjiškas programas POS įrenginyje. Tai dar labiau leistų jiems rinkti finansinius duomenis, sukelti kenkėjiškų programų, pvz., išpirkos reikalaujančių programų, ataką arba naudoti įrenginį prisijungti prie kitų vidinių sistemų“, – sakė vyriausiasis saugumo evangelistas Tony Anscombe iš ESET.
Kibernetinių atakų poveikis mažmenininkams gali apimti dideles baudas, nuobaudas, duomenų praradimą, finansinius nuostolius ir žalą reputacijai.
Taip pat yra saugumo grėsmės, su kuriomis susiduria vartotojai, naudodamiesi IoT įrenginiais mažmeninėje prekyboje. Daugiau nei 84 procentai organizacijų naudojasi Daiktų interneto įrenginiai. Tačiau mažiau nei 50 % ėmėsi tvirtų saugumo priemonių prieš kibernetines atakas. Pavyzdžiui, dauguma organizacijų ilgą laiką naudoja tuos pačius slaptažodžius, o tai padidina žiaurios jėgos išpuolius, leidžiančius įsilaužėliams pavogti ir manipuliuoti duomenimis.
IoT įrenginiai gali būti naudojami klientų judėjimui ir pirkimo istorijoms sekti, o įsilaužėliai gali gauti prieigą prie šių duomenų. Be to, klientai gali rizikuoti būti apgauti, kai naudojasi mokėjimo platformomis, tokiomis kaip „Apple Pay“. Šios aferos gali būti įvairių formų, pvz., netikros programėlės, kurios vagia asmeninę informaciją, arba svetainės, kuriose klientai apgaudinėjami įvesti savo kredito kortelės duomenis.
„Šių naujų mokėjimo mechanizmų įdiegimas rodo naujos technologijos diegimo ciklo pradžią. Saugumo požiūriu tai yra tada, kai dalykai paprastai yra labiausiai pažeidžiami. Be to, prijungti įrenginiai, skatinantys šią transformaciją, jau laikomi silpniausia grandimi kituose daug brandesniuose diegimo scenarijuose. Manau, kad mažmeninėje prekyboje, kaip ir kitose pramonės šakose, matysime, kad šie įrenginiai bus naudojami nuolatiniam tinklo buvimui, neskelbtiniems duomenims atskleisti, skaitmeniniams sukčiavimui ir kt. Ir net jei naujieji įrenginiai patys yra itin saugūs (ir tai yra didelis IF), jie vis tiek įvedami į aplinką, kurioje pilna senojo daiktų interneto, kurį galima naudoti norint apeiti savo pačių apsaugą. Žvelgiant į dalykus iš blogų veikėjų perspektyvos, mes turime didžiulį puolimo paviršiaus išplėtimą, kuris suteikia daug naujų vertingų „galimybių“ prie aplinkos, kurioje jau buvo daug taikinių“, – sakė Natali Tshuva. „Sternum“ – be kodų, įrenginiuose gyvenančios daiktų interneto saugos, stebėjimo ir analizės įmonės – generalinis direktorius ir vienas iš įkūrėjų.
Kiekvienas daiktų interneto įrenginys turi savo programinės įrangos tiekimo grandinę. Taip yra todėl, kad įrenginį valdantis kodas iš tikrųjų yra kelių uždarojo ir atvirojo kodo projektų derinys. Todėl viena iš iš karto kylančių grėsmių yra slaptos ar net asmeninės klientų informacijos atskleidimas kibernetinio sukčiavimo metu. „Tai skiriasi nuo kitų skaitmeninių aferų, tokių kaip sukčiavimas ir kitos socialinės inžinerijos rūšys“, – sakė Tshuva.
„Čia taikinys neturės galimybės užkirsti kelią atakai per budrumą ar net įtarti, kad kažkas vyksta – tikrai ne tol, kol bus per vėlu“.
„Apsupame save prijungtais įrenginiais, tačiau jie mums yra „juodosios dėžės“ ir mes niekada iš tikrųjų nežinome – ar neturime būdų sužinoti – kas iš tikrųjų vyksta viduje“.
Anot Tshuvos, dauguma daiktų interneto įrenginių šiandien jau veikia naudojant kelių (galbūt kelių dešimčių) skirtingų programinės įrangos tiekėjų, apie kai kuriuos iš jų niekada negirdėjote, kodu. Paprastai šie trečiųjų šalių komponentai yra atsakingi už šifravimą, ryšį ir kitas jautrias funkcijas. Ir net operacinė sistema gali būti kelių skirtingų OS derinys.
„Tai atskleidžia vieną iš pagrindinių IoT saugumo iššūkių, kurie vėlgi susiję su idėja išplėsti atakos paviršių. Nes su kiekvienu įrenginiu, kurį pristatote sistemai, iš tikrųjų pridedate kodo iš kelių programinės įrangos tiekėjų, kurių kiekvienas turi savo pažeidžiamumą, kurį galima įtraukti į mišinį“, – apibendrino Tshuva.
Mažmenininkai turi imtis tam tikrų veiksmų, kad apsaugotų save ir savo klientus nuo kibernetinio saugumo grėsmių. Jie turėtų užtikrinti, kad jų sistemos būtų atnaujintos su naujausiomis saugos pataisomis, taip pat turėtų turėti išsamų saugos planą. Darbuotojai turėtų būti apmokyti, kaip atpažinti saugumo grėsmes ir į jas reaguoti, o klientai turėtų būti informuoti apie daiktų interneto įrenginių naudojimo mažmeninėje prekyboje riziką.
„Kadangi mažmenininkai naudoja daiktų internetą savo klientų buvimo vietos stebėjimui, jie kuria išsamius duomenų rinkinius apie vartotojų judėjimą ir pirkimo įpročius. Šie įrašai sukuria duomenų seką, kurią reikia labai atidžiai saugoti, nes pirkimo informacija kartu su judesiais gali atskleisti itin privačius įpročius. Matėme daugybę tikslinių išpuolių prieš mažmenininkus pirkimo vietoje ir, jei tai gali būti derinama su keliu, kuriuo klientai eina per parduotuvę, prekybos centrą ar net per miestus ir žemynus, vartotojai turės rimtų reikalavimo atlyginti žalą. mažmeninės prekybos tinklų“, – sakė Yale Privacy Lab įkūrėjas Seanas O'Brienas.
Kad suprastų grėsmes, organizacijos turi suprasti, kad skaitmeninių sprendimų priėmimas mažmeninės prekybos įmonėse reiškia nuo programinės įrangos priklausomų sprendimų priėmimą ir kibernetinių nusikaltėlių atakų padidinimą.
„Anksčiau buvęs mechaninis kasos aparatas dabar yra „išmanioji“ pardavimo vieta, kurioje apdorojama ir renkama klientų mokėjimo informacija, todėl jie yra geidžiamas tikslas. Šios sistemos dažnai yra prijungtos prie didesnio el. prekybos sprendimo, pvz., internetinių parduotuvių / atsiskaitymo / atsargų ir pan., todėl jos gali tapti įėjimo tašku į svarbesnes sistemas. Būdamos priklausomos nuo išmaniųjų sprendimų, mažmeninės prekybos įmonės taip pat yra jautrios išpirkos reikalaujančioms programoms ir paslaugų atsisakymo atakoms, kurios blokuoja jų galimybes atlikti sandorius. Be to, PoS įrenginiai, būdami maži kompiuteriai, gali būti naudojami didelėms botnet atakoms“, – sakė Maty Siman, CTO ir „Checkmarx“ įkūrėja.
Elektroninės prekybos įmonės savo procesams naudoja daugybę skirtingų tiekėjų. Nuo techninės ir programinės įrangos iki operacijų ir finansinių paslaugų, visi pardavėjai naudoja daugiau trečiųjų šalių programinės įrangos ir komponentų, kurie savo ruožtu taip pat priklauso nuo trečiųjų šalių komponentų.
„Jei piktybinis veikėjas gali išnaudoti arba įvesti „užpakalines duris“ bet kuriam komponentui, jis iš esmės gauna prieigą prie galutinių sprendimų, kuriuos vėliau galima rasti mažmeninės prekybos įmonėse. Kai šiais laikais viskas priklauso nuo programinės įrangos, priklausomybė nuo atvirojo kodo programinės įrangos šias problemas sustiprina“, – sakė Simanas.
Pasak Simano, darbuotojų švietimas apie geriausią saugumo praktiką yra būtinas. „Reikia reguliariai kurti atsargines duomenų kopijas, o mažmenininkų vartotojai turėtų naudoti stiprius slaptažodžius ir MFA. Tinklas, naudojamas operacijoms, turi būti izoliuotas nuo kitų tinklų, o įrenginiai ir jų programinė įranga turi būti reguliariai atnaujinami ir pataisomi.
Žmonės vis dar yra didžiausia grėsmė, sako Seanas Tuftsas, „Optiv“ daiktų interneto / OT saugumo vadovas. „Mažiau darbuotojų arba bendravimas akis į akį pardavimo ir (arba) išsiregistravimo vietoje padidina fizines vagystes, bet taip pat leidžia šiems mažmenininkams daugiau manipuliuoti išmaniems grėsmių subjektams, norintiems pasinaudoti parduotuvės teikiamomis galimybėmis. pasitikėti. Kuo daugiau šių mašinų paliekama be priežiūros, tuo daugiau sąsajų galima ir bus manipuliuojama, pvz., įdiegiami skimmeriai ir pasiekiami prievadai.
Šaltinis: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/