Vánoční nákupní sezóna začala naplno. Zatímco se maloobchodníci soustředí na boj o tržby, které se letos odhadují na 1,5 bilionu dolarů (a to jen v USA), jejich tvrdá práce může přijít vniveč, pokud nebudou věnovat dostatečnou pozornost kybernetické bezpečnosti.
Pro IT týmy v maloobchodě nastávají nejlepší i nejhorší časy. Nejrušnější období roku pro zákazníky je zároveň magnetem pro kyberzločince. A i když je v této fázi možná příliš pozdě na zavádění plošných změn v bezpečnostních zásadách, neuškodí se znovu podívat na to, kde jsou největší hrozby a které osvědčené postupy je mohou pomoci zmírnit.
Proč maloobchod a proč právě teď?
Retail je již dlouho předmětem zvláštního zájmu kyberzločinců. A nejrušnější nákupní období v roce dlouhodobě představuje jedinečnou příležitost k útoku. Ale proč?
- Maloobchodníci uchovávají osobní a finanční údaje svých zákazníků, které se dají velmi dobře zpeněžit. Jen si vzpomeňte na všechny ty údaje o kartách. Není překvapením, že motivem všech úniků dat v maloobchodě, které analyzovala společnost Verizon v uplynulém roce, byla vidina finančního zisku.
- Vánoční nákupní sezóna je pro maloobchodníky z hlediska příjmů nejdůležitějším obdobím v roce. To však znamená, že jsou více vystaveni kybernetickým hrozbám, jako je ransomware nebo DDoS, jejichž cílem je vylákat peníze odepřením služby. Případně může k DDoS útokům přistoupit i konkurence, aby své soupeře připravila o důležité zákazníky a příjmy.
- Nejrušnější období roku znamená, že zaměstnanci, zejména vytížené IT týmy, se více soustředí na podporu podnikání, aby dosáhli co největších příjmů, než aby dávali pozor na kybernetické hrozby. Mohou dokonce upravovat interní nastavení proti podvodům, aby umožnili schválení větších nákupů bez další kontroly.
- Maloobchodníci se při využití všech svých prodejních kanálů stále více spoléhají na digitální systémy, včetně cloudového softwaru, IoT zařízení v prodejnách a zákaznické mobilní aplikace. Tím (často nevědomky) rozšiřují potenciální prostor pro útoky.
Miniprůvodce k zabezpečení cloudu
Široce používané cloudové aplikace jsou chráněné a pravidelně aktualizované, ale to neznamená, že jsou imunní vůči všem hrozbám.
Jak zvýšit jejich zabezpečení?
Jaké jsou největší kybernetické hrozby pro maloobchodníky v letošní sváteční sezóně?
Maloobchodníci musí bránit nejen stále větší prostor pro útoky, ale čelí také stále většímu množství taktik, technik a postupů (TTPs) kybernetických útočníků. Cílem útočníků je buď krádež údajů o zákaznících a zaměstnancích, vyděračství/narušení podnikání prostřednictvím DDoS útoků, fraud nebo využití botů k získání konkurenční výhody.
Mezi hlavní kybernetické hrozby pro retail patří:
- Narušení bezpečnosti dat, ke kterému může dojít v důsledku odcizení/prolomení/vylákání přihlašovacích údajů zaměstnanců nebo zneužití zranitelností, zejména ve webových aplikacích. Výsledkem jsou velké finanční škody a poškození pověsti, které mohou zmařit plány růstu společnosti a příjmů.
- Digitální skimming (tj. Magecart útoky), kdy útočníci zneužijí zranitelnosti k vložení skimovacího kódu přímo na vaše platební stránky nebo prostřednictvím dodavatele softwaru/widgetu třetí strany. Takové útoky je často obtížné odhalit a mohou proto napáchat nevýslovné škody na pověsti vaší firmy. Podle Verizonu tvořily v loňském roce 18 % případů narušení bezpečnosti údajů maloobchodníků.
- Ransomware je jednou z hlavních hrozeb pro maloobchodníky a v této rušné sezóně mohou kyberzločinci své útoky zintenzivnit v naději, že více podniků bude ochotno zaplatit, aby získaly zpět svá data a dešifrovaly je. V hledáčku jsou zejména malé a střední podniky, protože jejich bezpečnostní kontroly jsou často méně efektivní.
- DDoS zůstává oblíbeným způsobem vydírání a/nebo narušování činnosti maloobchodníků. V loňském roce mířila na retail téměř pětina (17 %) těchto útoků, což představuje meziroční nárůst o 53 %. Útoky dosahovaly svých maxim běhěm Black Friday.
- Útoky prostřednictvím dodavatelského řetězce mohou být zaměřeny na digitální dodavatele, jako je softwarová společnost nebo dokonce úložiště otevřených zdrojů. Cílit mohou ale i na tradičnější podniky v oblasti odborných nebo dokonce úklidových služeb. Např. při narušení bezpečnosti společnosti Target v roce 2013 hackeři odcizili pověření pro přístup do sítě dodavateli vzduchotechniky.
- Převzetí kontroly nad účtem (ATO – Account Takeover) je obvykle umožněno ukradenými, podvrženými nebo prolomenými pověřeními. Může jít o začátek rozsáhlého pokusu o narušení dat, nebo může být napadení zaměřeno na zákazníky, a to při útocích typu credential stuffing nebo dalších útoků hrubé síly. Typicky se zde používají škodliví boti.
- Další útoky škodlivých botů jako scalping, kdy konkurence skupuje poptávané zboží za účelem dalšího prodeje za vyšší cenu, podvody s platebními/dárkovými kartami a price scraping (umožňující konkurenci získávat pomocí botů údaje o vašich cenách a přizpůsobovat na základě toho vlastní ceny). Škodliví boti dnes tvoří přibližně 30 % veškerého internetového provozu.
- Rozhraní API (Application Programming Interface) jsou jádrem digitální transformace maloobchodu a umožňují propojenější a bezproblémovou zákaznickou zkušenost. Zranitelnosti a chybné konfigurace však mohou hackerům poskytnout snadnou cestu k údajům o zákaznících.
Jak se mohou maloobchodníci bránit kybernetickým rizikům
Maloobchodníci musí vyvážit bezpečnost s produktivitou zaměstnanců a obchodním růstem. To není vždy snadné, zejména s ohledem na vysoké náklady, které vyvíjejí stále větší tlak na zvyšování zisku, ale lze to zvládnout. Pomoci vám může následujících 10 osvědčených postupů:
- Pravidelné školení zaměstnanců: To by mělo být samozřejmostí. Zajistěte, aby vaši zaměstnanci dokázali rozpoznat i sofistikované phishingové útoky, a budete mít k dispozici další spolehlivou obrannou linii proti útokům.
- Audit dat: Uvědomte si, jaká data máte k dispozici, kde jsou uložena, kam proudí a jak jsou chráněna. Nezapomeňte na soulad s nařízením GDPR.
- Silné šifrování: Jakmile vymezíte a klasifikujete svá data, použijte na nejcitlivější údaje silné šifrování. To by se mělo provádět průběžně.
- Správa záplat na základě rizik: Nepodceňujte význam záplatování softwaru. Počet nových zranitelností zveřejňovaných každý rok může být ohromující, ale automatizované systémy založené na riziku by měly pomoci tento proces zefektivnit a stanovit priority nejdůležitějších systémů a zranitelností.
- Vícevrstvé ochranné zabezpečení: Zvažte ochranu proti malwaru a další funkce na úrovni serveru, koncových bodů, e-mailové sítě a cloudu jako preventivní opatření proti kybernetickým hrozbám.
- XDR: Kvůli hrozbám, kterým se podaří obejít preventivní kontroly, používejte ještě rozšířenou detekci a reakci (XDR), včetně podpory vyhledávání hrozeb a reakce na incidenty.
- Zabezpečení dodavatelského řetězce: Proveďte audit všech dodavatelů, včetně digitálních partnerů a dodavatelů softwaru, abyste zajistili, že jejich bezpečnostní pozice odpovídá vašemu rizikovému apetitu.
- Silné kontroly přístupu: Správci hesel pro silná a jedinečná hesla a vícefázová autentizace jsou nutností pro všechny firemní účty. Spolu s XDR, šifrováním, síťovou segregací a preventivními kontrolami tvoří základ přístupu nulové důvěry (Zero Trust).
- Plánování obnovy po havárii/plánování kontinuity provozu: Zrevidování plánů pomůže zajistit, abyste měly zavedeny správné obchodní procesy a technologické nástroje.
- Plánování reakce na incidenty: Zajistěte, aby vaše plány byly neprůstřelné a pravidelně testované, aby každá zúčastněná strana věděla, co má dělat v případě nejhoršího scénáře a neztrácela čas při reakci na hrozbu a jejím zvládnutí.
Pro naprostou většinu, ne-li pro všechny maloobchodníky, je také základním požadavkem pro podnikání důležitý soulad s PCI DSS. Považujte to spíše za příležitost než za zátěž. Podrobné požadavky standardu vám pomohou vybudovat vyspělejší bezpečnostní pozici a minimalizovat vystavení rizikům. Technologie, jako je silné šifrování, mohou také pomoci snížit náklady a administrativní zátěž spojenou s dodržováním předpisů.