Ang mga banta sa cyber security ay tumataas na alalahanin para sa mga retail na kumpanya habang patuloy silang gumagamit ng mga self-checkout sa pamamagitan ng Apple, Google Pay o iba pang mga platform ng pagbabayad. Mula noong 2005, nakita ng mga retailer 10,000 mga paglabag sa data, pangunahin dahil sa mga bahid at kahinaan sa mga sistema ng pagbabayad.
Ang mga point of sale (POS) system ay kadalasang gumagamit ng napakaraming external na hardware, software, at cloud-based na mga bahagi.
“Sa pinakamababa, dapat tiyakin ng mga retailer na ang kanilang kinontratang partido ay sumusunod sa kanila at susundin ang parehong mga kinakailangan sa pagsunod sa seguridad na mayroon ang kumpanya mismo. Maraming pagkakataon para sa isang cybercriminal na samantalahin ang system, ito man ay sa pinagmulan ng vendor na nagbibigay ng solusyon o kapag ang teknolohiya ay na-deploy onsite. Ang pagsasamantala sa isang kahinaan sa software na ginagamit sa mga POS device (o kahit sa mga back-end na serbisyo sa cloud) ay maaaring magbigay-daan sa isang cybercriminal na mag-deploy ng malware sa POS device. Ito ay higit na magbibigay-daan sa kanila na makakuha ng data sa pananalapi, magdulot ng pag-atake ng malware gaya ng ransomware o gamitin ang device upang kumonekta sa iba pang mga panloob na system," sabi ni Chief Security Evangelist, Tony Anscombe mula sa ESET.
Maaaring kabilang sa mga epekto ng cyber-attacks sa mga retailer ang mabigat na multa, parusa, pagkawala ng data, pagkalugi sa pananalapi, at pinsala sa reputasyon.
Mayroon ding mga mga banta sa seguridad na kinakaharap ng mga user kapag gumagamit ng mga IoT device sa tingian. Higit sa 84 porsiyento ng mga organisasyon ang gumagamit Mga aparatong IoT. Gayunpaman, wala pang 50% ang nagsagawa ng mga solidong hakbang sa seguridad laban sa mga cyber-attacks. Halimbawa, karamihan sa mga organisasyon ay gumagamit ng parehong mga password sa loob ng mahabang panahon, na nagpapataas ng mga malupit na pag-atake, na nagbibigay-daan sa mga hacker na magnakaw at magmanipula ng data.
Maaaring gamitin ang mga IoT device para subaybayan ang mga galaw ng mga customer at mga kasaysayan ng pagbili, at posibleng magkaroon ng access ang mga hacker sa data na ito. Bilang karagdagan, ang mga customer ay maaaring nasa panganib na ma-scam kapag gumagamit ng mga platform ng pagbabayad gaya ng Apple Pay. Maaaring magkaroon ng maraming anyo ang mga scam na ito, gaya ng mga pekeng app na nagnanakaw ng personal na impormasyon o mga website na nanlinlang sa mga customer na ilagay ang mga detalye ng kanilang credit card.
“Ang pagpapakilala ng mga bagong mekanismo ng pagbabayad na ito ay hudyat ng simula ng isang bagong yugto ng paggamit ng teknolohiya. Mula sa punto ng seguridad, ito ay kapag ang mga bagay ay karaniwang ang pinaka-mahina. Higit pa rito, ang mga nakakonektang device na nagtutulak sa pagbabagong ito ay itinuturing na ang pinakamahina na link sa iba pang mas mature na mga senaryo sa pag-deploy. Naniniwala ako na sa retail, tulad ng sa ibang mga industriya, makikita natin ang mga device na ito na pinagsamantalahan upang makakuha ng patuloy na presensya sa network, maglantad ng sensitibong data, magpatakbo ng mga digital scam, at higit pa. At kahit na ang mga bagong device ay lubos na secure ang kanilang mga sarili - at ito ay isang malaking IF - sila ay ipinakilala pa rin sa isang kapaligiran na puno ng legacy na IoT, na maaaring magamit upang iwasan ang kanilang sariling mga depensa. Kung titingnan ang mga bagay mula sa pananaw ng masasamang aktor, ang mayroon tayo rito ay isang malawakang pagpapalawak ng ibabaw ng pag-atake – isa na nagdaragdag ng maraming bagong "mga pagkakataon" na may mataas na halaga sa dati nang mayaman na kapaligiran," sabi ni Natali Tshuva, ang CEO at cofounder ng Sternum, isang code-free, device-resident IoT security, observation, at analytics company.
Ang bawat IoT device ay may sariling software supply chain sa loob. Ito ay dahil ang code na nagpapatakbo ng device ay talagang kumbinasyon ng ilang sarado at open source na proyekto. Dahil dito, isa sa mga pinaka-kaagad na kasalukuyang banta ay ang pagkakalantad ng sensitibo o kahit na personal na impormasyon ng mga kliyente na may cyber fraud. "Ito ay naiiba sa iba pang mga digital scam, tulad ng phishing at iba pang uri ng social engineering" sabi ni Tshuva.
"Dito ang target ay hindi magkakaroon ng opsyon na pigilan ang pag-atake sa pamamagitan ng pagbabantay o kahit na hinala na may nangyayari - tiyak na hindi hanggang huli na".
“Pinapalibutan natin ang ating sarili ng mga nakakonektang device, ngunit 'mga black box' ang mga ito sa atin at hindi natin talaga alam – o may mga paraan para malaman – kung ano talaga ang nangyayari sa loob”.
Ayon kay Tshuva, karamihan sa mga IoT device ngayon ay tumatakbo na sa code mula sa ilang (marahil ilang dosenang) iba't ibang software provider, na ang ilan ay hindi mo pa naririnig. Kadalasan, ang mga bahaging ito ng 3rd-party ay ang namamahala sa pag-encrypt, pagkakakonekta, at iba pang sensitibong function. At kahit na ang operating system ay maaaring isang halo ng maraming iba't ibang mga OS na pinagsama-sama."
"Inilalantad nito ang isa sa mga pangunahing hamon ng seguridad ng IoT na, muli, ay bumalik sa ideya ng pagpapalawak sa ibabaw ng pag-atake. Dahil sa bawat device na ipinakilala mo sa system, ang aktwal mong idinaragdag ay isang code concoction mula sa ilang software provider, bawat isa ay may sariling mga kahinaan na ibuhos sa mix," pagtatapos ni Tshuva.
Kailangang gumawa ng ilang hakbang ang mga retailer upang maprotektahan ang kanilang sarili at ang kanilang mga customer mula sa mga banta sa cyber security. Dapat nilang tiyakin na ang kanilang mga system ay napapanahon sa pinakabagong mga patch ng seguridad, at dapat din silang magkaroon ng komprehensibong plano sa seguridad na nakalagay. Dapat sanayin ang mga empleyado sa kung paano tumukoy at tumugon sa mga banta sa seguridad, at dapat malaman ng mga customer ang mga panganib ng paggamit ng mga IoT device sa retail.
“Habang ginagamit ng mga retailer ang IoT para sa pagsubaybay sa lokasyon ng kanilang mga customer, bumubuo sila ng mga rich dataset tungkol sa mga galaw at gawi sa pagbili ng mga consumer. Ang mga rekord na ito ay lumikha ng isang data trail na dapat na bantayan nang mabuti dahil ang pagbili ng impormasyon na kasama ng mga paggalaw ay maaaring magbunyag ng mga sobrang pribadong gawi. Nakakita kami ng napakaraming naka-target na pag-atake sa mga retailer sa punto ng pagbili at, kung maisasama ito sa landas na tatahakin ng mga customer sa isang tindahan, isang mall, o kahit na sa mga lungsod at kontinente, ang mga mamimili ay magkakaroon ng malakas na kahilingan para sa mga pinsala laban sa retail chain,” sabi ni Sean O'Brien, tagapagtatag ng Yale Privacy Lab.
Upang maunawaan ang mga banta, kailangang maunawaan ng mga organisasyon na ang paggamit ng mga digital na solusyon ng mga retail na negosyo ay nangangahulugan ng paggamit ng mga solusyong umaasa sa software at pagpapataas ng atake para sa mga cybercriminal.
"Ang dating mechanical cash register ay isa na ngayong "matalinong" punto ng pagbebenta na nagpoproseso at nangongolekta ng impormasyon sa pagbabayad ng customer, na ginagawa silang isang kanais-nais na target. Ang mga system na ito ay madalas na konektado sa isang mas malaking solusyon sa e-commerce tulad ng mga online na tindahan/pagsingil/imbentaryo, atbp., na maaaring gawin silang isang entry point sa mas kritikal na mga system. Dahil umaasa sa mga matalinong solusyon, nakikita rin ng mga retail na negosyo ang kanilang sarili na madaling kapitan ng ransomware at denial-of-service na pag-atake na humaharang sa kanilang kakayahang gumawa ng mga transaksyon. Gayundin, ang mga PoS device, bilang maliliit na computer, ay maaaring gamitin sa malalaking pag-atake ng botnet, "sabi ni Maty Siman, CTO at tagapagtatag ng Checkmarx.
Gumagamit ang mga kumpanya ng e-commerce ng maraming iba't ibang mga vendor para sa kanilang mga proseso. Mula sa hardware at software hanggang sa mga pagpapatakbo at serbisyong pinansyal, lahat ng vendor ay gumagamit ng mas maraming third-party na software at mga bahagi na, sa turn, ay umaasa rin sa mga bahagi ng third-party.
"Kung ang isang malisyosong aktor ay maaaring magsamantala o magpakilala ng isang "backdoor" sa anumang bahagi sa kahabaan ng paraan, talagang nakakakuha sila ng access sa mga pinal na solusyon na makikita sa ibang pagkakataon sa mga retail na negosyo. Kapag ang lahat ay umaasa sa software sa mga araw na ito, ang pag-asa sa open-source na software ay nagpapatindi sa mga isyung ito," sabi ni Siman.
Ayon kay Siman, ang edukasyon ng mga empleyado sa mga pinakamahusay na kasanayan sa seguridad ay mahalaga. “Kailangang regular na i-back up ang data, at dapat gumamit ang mga user ng retailer ng malalakas na password at MFA. Ang network na ginagamit para sa mga transaksyon ay kailangang ihiwalay sa ibang mga network, at ang mga device at ang kanilang software ay kailangang regular na i-update at i-patch."
Ang mga tao pa rin ang pinakakilalang banta, sabi ni Sean Tufts, pinuno ng seguridad ng IoT/OT sa Optiv. “Ang pagkakaroon ng mas kaunting mga empleyado o harapang pakikipag-ugnayan sa point-of-sale at/o check out ay humahantong sa mas maraming pisikal na pagnanakaw, ngunit nagbubukas din ito sa mga retailer na ito sa higit pang pakikialam ng mga matalinong aktor ng pagbabanta na naghahanap upang samantalahin ang mga tindahan ng tindahan. magtiwala. Ang mas maraming mga machine na ito ay hindi nag-aalaga, mas maraming mga interface ang maaari at manipulahin, hal. mga skimmer na naka-install at mga port na na-access.
Pinagmulan: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/