Küberturvalisuse ohud valmistavad jaemüügiettevõtetele üha suuremat muret, kuna nad kasutavad Apple'i, Google Pay või muude makseplatvormide kaudu üha enam iseteenindust. Alates 2005. aastast on jaemüüjad näinud üle 10,000 XNUMX andmetega seotud rikkumist, peamiselt maksesüsteemide vigade ja haavatavuste tõttu.
Müügikohasüsteemid (POS) kasutavad sageli välist riistvara, tarkvara ja pilvepõhiseid komponente.
„Jaemüüjad peavad vähemalt tagama, et nende lepingupool neid järgib ja järgib samu turvanõuete järgimise nõudeid, mis ettevõttel endalgi. Küberkurjategijatel on palju võimalusi süsteemi eeliste kasutamiseks, olgu see siis lahendust pakkuva müüja juures või siis, kui tehnoloogiat kohapeal kasutusele võetakse. POS-seadmetes kasutatava tarkvara (või isegi taustapilveteenuste) haavatavuse ärakasutamine võib lubada küberkurjategijal kassaseadmesse pahavara juurutada. See võimaldaks neil veelgi koguda finantsandmeid, korraldada pahavara rünnakuid (nt lunavara) või kasutada seadet teiste sisemiste süsteemidega ühenduse loomiseks,” ütles ESET-i turvaevangelist Tony Anscombe.
Küberrünnakute mõju jaemüüjatele võib hõlmata suuri trahve, karistusi, andmete kadu, rahalisi kaotusi ja mainekahjustusi.
On ka turvaohud, millega kasutajad IoT-seadmeid kasutades silmitsi seisavad jaemüügis. Kasutab üle 84 protsendi organisatsioonidest Interneti-seadmed. Siiski on vähem kui 50% võtnud küberrünnakute vastu kindlaid turvameetmeid. Näiteks kasutab enamik organisatsioone samu paroole pikka aega, mis suurendab jõhkra jõu rünnakuid, võimaldades häkkeritel andmeid varastada ja nendega manipuleerida.
IoT-seadmeid saab kasutada klientide liikumise ja ostuajaloo jälgimiseks ning häkkerid võivad neile andmetele juurdepääsu saada. Lisaks võib makseplatvormide (nt Apple Pay) kasutamisel tekkida oht, et kliente võidakse petta. Need pettused võivad esineda mitmel kujul, näiteks võltsrakendused, mis varastavad isikuandmeid, või veebisaidid, mis meelitavad kliente oma krediitkaardiandmeid sisestama.
„Nende uute maksemehhanismide kasutuselevõtt annab märku uue tehnoloogia kasutuselevõtutsükli algusest. Turvalisuse seisukohast on see siis, kui asjad on tavaliselt kõige haavatavamad. Veelgi enam, ühendatud seadmeid, mis seda ümberkujundamist juhivad, peetakse juba nõrgimaks lüliks teistes palju küpsemates juurutusstsenaariumides. Usun, et jaemüügis, nagu ka teistes tööstusharudes, kasutatakse neid seadmeid võrgus püsiva kohaloleku saavutamiseks, tundlike andmete paljastamiseks, digitaalsete pettuste korraldamiseks ja muuks. Ja isegi kui uued seadmed on ise äärmiselt turvalised – ja see on suur IF –, tuuakse neid ikka veel keskkonda, mis on ääreni täis pärand asjade interneti, mida saab kasutada nende enda kaitsemehhanismidest möödahiilimiseks. Vaadates asju halbade näitlejate vaatenurgast, on meil siin tegemist rünnakupinna massilise laienemisega – see, mis lisab juba varem sihtmärgirikkale keskkonnale palju uusi väärtuslikke „võimalusi“,“ ütles Natali Tshuva. Sternumi tegevjuht ja kaasasutaja. Koodivaba, seadmetes resident IoT turbe-, vaatlus- ja analüüsiettevõte.
Igal IoT-seadmel on sees oma tarkvara tarneahel. Seda seetõttu, et seadet käivitav kood on tegelikult mitme suletud ja avatud lähtekoodiga projekti kombinatsioon. Sellisena on üheks kõige otsesemaks ohuks klientide tundliku või isegi isikliku teabe paljastamine küberpettustega. "See erineb teistest digitaalsetest pettustest, nagu andmepüügist ja muud tüüpi sotsiaalsest manipuleerimisest," ütles Tshuva.
"Siin ei ole sihtmärgil võimalust rünnakut valvsuse abil ära hoida või isegi kahtlustada, et midagi on juhtumas – kindlasti mitte enne, kui on liiga hilja."
"Me ümbritseme end ühendatud seadmetega, kuid need on meie jaoks "mustad kastid" ja me ei tea kunagi – ega oska teada –, mis tegelikult toimub.
Tshuva sõnul töötab enamik IoT seadmeid tänapäeval juba mitme (võib-olla mõnekümne) erineva tarkvarapakkuja koodiga, kellest mõnest pole te kuulnudki. Tavaliselt vastutavad need kolmanda osapoole komponendid krüptimise, ühenduvuse ja muude tundlike funktsioonide eest. Ja isegi operatsioonisüsteem võib olla mitme erineva OS-i segu.
"See paljastab IoT turvalisuse ühe peamise väljakutse, mis taas ulatub rünnakupinna laiendamise ideeni. Sest iga seadmega, mille süsteemi tutvustate, on see, mida te tegelikult lisate, mitme tarkvarapakkuja koodikokkuvõte, millest igaühel on oma haavatavused, mida segusse lisada, " lõpetas Tshuva.
Jaemüüjad peavad astuma mitmeid samme, et kaitsta ennast ja oma kliente küberturvalisuse ohtude eest. Nad peaksid tagama, et nende süsteemid oleksid uusimate turvapaikadega ajakohased, ja neil peaks olema ka põhjalik turvaplaan. Töötajaid tuleks koolitada, kuidas turvaohtusid tuvastada ja neile reageerida, ning kliente tuleks teavitada asjade Interneti-seadmete jaemüügis kasutamise riskidest.
"Kuna jaemüüjad kasutavad asjade Interneti-d oma klientide asukoha jälgimiseks, loovad nad rikkalikke andmekogumeid tarbijate liikumise ja ostuharjumuste kohta. Need kirjed loovad andmejälje, mida tuleb väga hoolikalt valvata, kuna ostuteave koos liikumisega võib paljastada äärmiselt privaatsed harjumused. Oleme näinud hulgaliselt sihipäraseid rünnakuid jaemüüjate vastu ostukohas ja kui seda saab kombineerida teega, mida kliendid läbivad poe, kaubanduskeskuse või isegi läbi linna ja mandrite, on tarbijatel võimalik kahju hüvitada. jaemüügiketid,” ütles Yale’i privaatsuslabori asutaja Sean O’Brien.
Ohtude mõistmiseks peavad organisatsioonid mõistma, et digitaalsete lahenduste kasutuselevõtt jaemüügiettevõtete poolt tähendab tarkvarast sõltuvate lahenduste kasutuselevõttu ja küberkurjategijate rünnakupinna suurendamist.
"Varem mehaaniline kassaaparaat on nüüd "tark" müügikoht, mis töötleb ja kogub klientide makseteavet, muutes need ihaldusväärseks sihtmärgiks. Need süsteemid on sageli ühendatud suurema e-kaubanduse lahendusega, nagu veebipoed/arveldamine/inventar jne, mis võib muuta need kriitilisemate süsteemide sisenemispunktiks. Kuna jaemüügiettevõtted sõltuvad nutikatest lahendustest, on nad vastuvõtlikud lunavara- ja teenusekeelurünnakutele, mis blokeerivad nende tehingute tegemise. Samuti saab PoS-seadmeid, kuna need on väikesed arvutid, kasutada suurtes botnet-rünnakutes, ”ütles Maty Siman, Chemmarxi tehnoloogiadirektor ja asutaja.
E-kaubanduse ettevõtted kasutavad oma protsesside jaoks palju erinevaid hankijaid. Riist- ja tarkvarast operatsioonide ja finantsteenusteni kasutavad kõik müüjad rohkem kolmanda osapoole tarkvara ja komponente, mis omakorda sõltuvad ka kolmanda osapoole komponentidest.
"Kui pahatahtlik tegutseja saab mis tahes komponenti oma teel ära kasutada või "tagaukse" sisse viia, saavad nad sisuliselt juurdepääsu lõplikele lahendustele, mida võib hiljem jaemüügiettevõtetes leida. Kui tänapäeval tugineb kõik tarkvarale, süvendab sõltuvus avatud lähtekoodiga tarkvarast neid probleeme,“ ütles Siman.
Simani sõnul on töötajate koolitamine turvalisuse parimate praktikate osas hädavajalik. „Andmeid tuleb regulaarselt varundada ning jaemüüjad peaksid kasutama tugevaid paroole ja MFA-d. Tehingute jaoks kasutatav võrk peab olema teistest võrkudest isoleeritud ning seadmeid ja nende tarkvara tuleb regulaarselt uuendada ja parandada.
Inimesed on endiselt kõige olulisem oht, ütleb Optivi asjade Interneti/OT-turvalisuse juht Sean Tufts. "Vähem töötajate arv või näost näkku suhtlemine müügikohas ja/või väljaregistreerimisel toob kaasa rohkem füüsilisi vargusi, kuid see annab neile jaemüüjatele ka võimaluse poe eeliseid ära kasutada püüdvatele nutikatele ohus osalejatele rohkem sekkuda. usaldada. Mida rohkem neid masinaid järelevalveta jäetakse, seda rohkem saab ja hakatakse manipuleerima liidestega, nt paigaldatakse skimmerid ja pääseb juurde portidele.
Allikas: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/