Kyberturvallisuusuhat ovat kasvava huolenaihe vähittäiskauppayrityksille, kun ne ottavat yhä enemmän käyttöön itsekassojen Applen, Google Payn tai muiden maksualustojen kautta. Vuodesta 2005 lähtien jälleenmyyjät ovat nähneet ohi 10,000 tietorikkomusta, johtuen pääasiassa maksujärjestelmien puutteista ja haavoittuvuuksista.
Myyntipistejärjestelmät (POS) käyttävät usein lukuisia ulkoisia laitteistoja, ohjelmistoja ja pilvipohjaisia komponentteja.
”Vähintään kauppiaiden tulee varmistaa, että heidän sopimuspuolensa noudattaa niitä ja noudattaa samoja turvallisuusvaatimusten noudattamista kuin yritys itsekin. Kyberrikollisilla on lukuisia mahdollisuuksia hyödyntää järjestelmää, olipa tämä sitten ratkaisun tarjoavan toimittajan lähteellä tai kun tekniikka otetaan käyttöön paikan päällä. POS-laitteissa käytettävän ohjelmiston (tai jopa taustapilvipalveluiden) haavoittuvuuden hyödyntäminen voi antaa kyberrikollisen asentaa haittaohjelmia POS-laitteeseen. Tämä antaisi heille mahdollisuuden kerätä taloudellisia tietoja, aiheuttaa haittaohjelmien, kuten kiristysohjelmien, hyökkäyksiä tai käyttää laitetta yhteyden muodostamiseen muihin sisäisiin järjestelmiin”, ESETin turvallisuusevankelista Tony Anscombe sanoi.
Kyberhyökkäysten vaikutukset jälleenmyyjiin voivat sisältää raskaita sakkoja, rangaistuksia, tietojen menetyksiä, taloudellisia menetyksiä ja mainevaurioita.
On myös tietoturvauhat, joita käyttäjät kohtaavat IoT-laitteita käyttäessään vähittäiskaupassa. Yli 84 prosenttia organisaatioista käyttää IoT-laitteet. Kuitenkin alle 50 % on ryhtynyt vankoihin turvatoimiin kyberhyökkäyksiä vastaan. Esimerkiksi useimmat organisaatiot käyttävät samoja salasanoja pitkään, mikä lisää raakoja hyökkäyksiä, jolloin hakkerit voivat varastaa ja käsitellä tietoja.
IoT-laitteiden avulla voidaan seurata asiakkaiden liikkeitä ja ostohistoriaa, ja hakkerit voivat mahdollisesti päästä käsiksi näihin tietoihin. Lisäksi asiakkaat voivat joutua huijatuksi käyttäessään maksualustoja, kuten Apple Payta. Nämä huijaukset voivat olla monimuotoisia, kuten väärennettyjä sovelluksia, jotka varastavat henkilökohtaisia tietoja, tai verkkosivustoja, jotka huijaavat asiakkaita antamaan luottokorttitietonsa.
”Näiden uusien maksumekanismien käyttöönotto on merkki uuden teknologian käyttöönottosyklin alkamisesta. Turvallisuuden näkökulmasta tämä on silloin, kun asiat ovat tyypillisesti haavoittuvimpia. Lisäksi yhdistettyjä laitteita, jotka ohjaavat tätä muutosta, pidetään jo heikoimpana lenkkinä muissa paljon kypsemmissä käyttöönottoskenaarioissa. Uskon, että vähittäiskaupassa, kuten muillakin aloilla, näitä laitteita käytetään hyväksi jatkuvan verkon läsnäolon saamiseksi, arkaluonteisten tietojen paljastamiseen, digitaalisten huijausten suorittamiseen ja paljon muuta. Ja vaikka uudet laitteet ovat itsessään äärimmäisen turvallisia – ja tämä on iso IF – niitä tuodaan edelleen ympäristöön, joka on ääriään myöten täynnä vanhaa IoT:tä, jolla voidaan kiertää omaa puolustustaan. Huonojen toimijoiden näkökulmasta katsottuna meillä on hyökkäyspinnan massiivinen laajentaminen – sellainen, joka lisää monia uusia arvokkaita ”mahdollisuuksia” entiseen kohderikkaaseen ympäristöön”, sanoi Natali Tshuva. Sternumin, koodittoman, laitteissa asuvan IoT-tietoturva-, havainto- ja analytiikkayrityksen, toimitusjohtaja ja perustaja.
Jokaisen IoT-laitteen sisällä on oma ohjelmistojen toimitusketju. Tämä johtuu siitä, että laitetta käyttävä koodi on itse asiassa useiden suljetun ja avoimen lähdekoodin projektien yhdistelmä. Sellaisenaan yksi välittömimmistä uhista on asiakkaiden arkaluontoisten tai jopa henkilökohtaisten tietojen paljastaminen verkkopetoksilla. "Tämä eroaa muista digitaalisista huijauksista, kuten tietojenkalastelusta ja muista sosiaalisen manipuloinnin tyypeistä", sanoi Tshuva.
"Tässä kohteella ei ole mahdollisuutta estää hyökkäystä valppaana tai edes epäillä, että jotain on tapahtumassa – ei tietenkään ennen kuin on liian myöhäistä."
"Ympäröimme itsemme yhdistetyillä laitteilla, mutta ne ovat meille "mustia laatikoita", emmekä koskaan tiedä – tai meillä on tapoja tietää – mitä sisällä todella tapahtuu.
Tshuvan mukaan useimmat IoT-laitteet nykyään toimivat jo useiden (ehkä muutaman kymmenen) eri ohjelmistotoimittajan koodilla, joista joistakin et ole koskaan kuullutkaan. Yleensä nämä kolmannen osapuolen komponentit vastaavat salauksesta, liitettävyydestä ja muista arkaluonteisista toiminnoista. Ja jopa käyttöjärjestelmä voisi olla sekoitus useista eri käyttöjärjestelmistä yhdessä.
"Tämä paljastaa yhden IoT-turvallisuuden suurimmista haasteista, joka taas juontaa juurensa ajatukseen hyökkäyspinnan laajentamisesta. Koska jokaiseen järjestelmään esittelemääsi laitteeseen lisäät koodin useilta ohjelmistotoimittajilta, joista jokaisella on omat haavoittuvuutensa sekoitukseen”, Tshuva päätti.
Jälleenmyyjien on toteutettava useita toimenpiteitä suojatakseen itseään ja asiakkaitaan kyberturvallisuusuhkilta. Heidän tulee varmistaa, että heidän järjestelmänsä ovat ajan tasalla uusimpien tietoturvakorjausten kanssa, ja heillä tulee olla myös kattava tietoturvasuunnitelma. Työntekijöitä tulee kouluttaa tunnistamaan tietoturvauhkia ja reagoimaan niihin, ja asiakkaat tulisi saada tietoisiksi IoT-laitteiden vähittäiskaupassa käytön riskeistä.
”Kun vähittäiskauppiaat ottavat IoT:n käyttöön asiakkaidensa sijainnin valvontaan, he rakentavat monipuolisia tietojoukkoja kuluttajien liikkeistä ja ostotottumuksista. Nämä tietueet luovat tietopolun, jota tulee vartioida erittäin huolellisesti, sillä ostotiedon ja liikkeiden kanssa voi paljastaa erittäin yksityisiä tapoja. Olemme nähneet lukemattomia kohdistettuja hyökkäyksiä jälleenmyyjiä kohtaan ostohetkellä, ja jos tämä voidaan yhdistää polkuun, jonka asiakkaat kulkevat myymälän, ostoskeskuksen tai jopa kaupunkien ja maanosien halki, kuluttajat voivat vaatia vahvasti vahingonkorvauksia. vähittäiskauppaketjut", sanoi Yale Privacy Labin perustaja Sean O'Brien.
Uhkien ymmärtämiseksi organisaatioiden on ymmärrettävä, että digitaalisten ratkaisujen ottaminen käyttöön vähittäiskaupan yrityksissä tarkoittaa ohjelmistoriippuvaisten ratkaisujen käyttöönottoa ja kyberrikollisten hyökkäyspinnan lisäämistä.
"Aiemmin mekaaninen kassakone on nyt "älykäs" myyntipiste, joka käsittelee ja kerää asiakkaiden maksutietoja, mikä tekee heistä halutun kohteen. Nämä järjestelmät yhdistetään usein laajempiin verkkokaupparatkaisuihin, kuten verkkokauppoihin/laskutus-/varastoratkaisuihin jne., mikä saattaa tehdä niistä pääsypisteen kriittisempiin järjestelmiin. Älykkäistä ratkaisuista riippuvaisena vähittäiskaupan yritykset ovat myös alttiita kiristysohjelmille ja palvelunestohyökkäyksille, jotka estävät niiden kykyä suorittaa tapahtumia. Myös PoS-laitteita, koska ne ovat pieniä tietokoneita, voidaan käyttää suuriin botnet-hyökkäyksiin", sanoi Maty Siman, teknologiajohtaja ja Checkmarxin perustaja.
Verkkokauppayritykset käyttävät monia eri toimittajia prosesseihinsa. Laitteista ja ohjelmistoista operaatioihin ja rahoituspalveluihin, kaikki toimittajat käyttävät enemmän kolmannen osapuolen ohjelmistoja ja komponentteja, jotka puolestaan ovat riippuvaisia myös kolmannen osapuolen komponenteista.
"Jos pahantahtoinen toimija voi hyödyntää tai tuoda "takaoven" mihin tahansa komponenttiin matkan varrella, hän pääsääntöisesti saa pääsyn valmiisiin ratkaisuihin, joita voidaan myöhemmin löytää vähittäiskaupassa. Kun nykyään kaikki perustuu ohjelmistoihin, riippuvuus avoimen lähdekoodin ohjelmistoista pahentaa näitä ongelmia", Siman sanoi.
Simanin mukaan työntekijöiden koulutus turvallisuuden parhaista käytännöistä on välttämätöntä. "Tiedot on varmuuskopioitava säännöllisesti, ja jälleenmyyjien käyttäjien tulee käyttää vahvoja salasanoja ja MFA:ta. Tapahtumiin käytettävä verkko on eristettävä muista verkoista ja laitteet ja niiden ohjelmistot on päivitettävä ja korjattava säännöllisesti.
Ihmiset ovat edelleen merkittävin uhka, sanoo Sean Tufts, Optivin IoT/OT-tietoturvajohtaja. "Työntekijöiden vähentäminen tai kasvokkain tapahtuva vuorovaikutus myyntipisteessä ja/tai kassalla johtaa enemmän fyysisiin varkauksiin, mutta se myös avaa nämä jälleenmyyjät enemmän taitaville uhkatoimijoille, jotka haluavat hyödyntää myymälän etuja. luottamus. Mitä enemmän näitä koneita jätetään valvomatta, sitä enemmän rajapintoja voidaan ja tullaan manipuloimaan, esim. skimmerejä asennetaan ja portteihin pääsee käsiksi.
Lähde: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/