A kiberbiztonsági fenyegetések egyre nagyobb aggodalomra adnak okot a kiskereskedelmi vállalatok számára, mivel egyre gyakrabban alkalmazzák az Apple, a Google Pay vagy más fizetési platformokon keresztül történő önpénztári fizetést. 2005 óta a kiskereskedők látták 10,000 XNUMX adatszivárgás, elsősorban a fizetési rendszerek hibái és sebezhetőségei miatt.
A POS-rendszerek gyakran külső hardvert, szoftvert és felhőalapú összetevőket használnak.
„A kiskereskedőknek legalább arról kell gondoskodniuk, hogy szerződő felük betartsa azokat, és betartsa ugyanazokat a biztonsági megfelelőségi követelményeket, amelyeket maga a vállalat is. Számos lehetőség kínálkozik arra, hogy a kiberbűnözők kihasználják a rendszer előnyeit, akár a megoldást kínáló szállító forrásánál, akár a technológia helyszíni bevezetésekor. A POS-eszközökön használt szoftverek (vagy akár a háttér-felhőszolgáltatások) biztonsági résének kihasználása lehetővé teheti a kiberbűnözők számára, hogy rosszindulatú programokat telepítsenek a POS-eszközre. Ez lehetővé tenné számukra, hogy pénzügyi adatokat gyűjtsenek be, rosszindulatú támadásokat (például zsarolóprogramokat) hajtsanak végre, vagy az eszközt más belső rendszerekhez való csatlakozásra használják” – mondta Tony Anscombe, az ESET vezető biztonsági evangélistája.
A kibertámadásoknak a kiskereskedőket érő hatásai súlyos pénzbírságok, szankciók, adatvesztés, pénzügyi veszteségek és a hírnév károsodása lehet.
Vannak még biztonsági fenyegetések, amelyekkel a felhasználók szembesülnek az IoT-eszközök használata során a kiskereskedelemben. A szervezetek több mint 84 százaléka használja IoT eszközök. Azonban kevesebb mint 50%-uk tett szilárd biztonsági intézkedéseket a kibertámadások ellen. Például a legtöbb szervezet hosszú ideig ugyanazokat a jelszavakat használja, ami megnöveli a brutális támadások számát, lehetővé téve a hackerek számára, hogy adatokat lopjanak és manipuláljanak.
Az IoT-eszközök segítségével nyomon követhető az ügyfelek mozgása és vásárlási előzményei, és a hackerek esetleg hozzáférhetnek ezekhez az adatokhoz. Ezenkívül fennáll a veszélye annak, hogy az ügyfeleket átverik, amikor olyan fizetési platformokat használnak, mint például az Apple Pay. Ezeknek a csalásoknak számos formája lehet, például hamis alkalmazások, amelyek személyes adatokat lopnak el, vagy olyan webhelyek, amelyek megtévesztik az ügyfeleket, hogy megadják hitelkártyaadataikat.
„Ezen új fizetési mechanizmusok bevezetése egy új technológiai átvételi ciklus kezdetét jelzi. Biztonsági szempontból általában ilyenkor a legsérülékenyebbek a dolgok. Sőt, az átalakítást végrehajtó csatlakoztatott eszközök már a leggyengébb láncszemnek számítanak más, sokkal kiforrottabb telepítési forgatókönyvekben. Úgy gondolom, hogy a kiskereskedelemben, csakúgy, mint más iparágakban, látni fogjuk, hogy ezeket az eszközöket kihasználják a folyamatos hálózati jelenlét megszerzésére, az érzékeny adatok felfedésére, a digitális csalások futtatására és még sok másra. És még ha az új eszközök önmagukban is rendkívül biztonságosak – és ez egy nagy HA –, akkor is bekerülnek egy olyan környezetbe, amely csordultig tele van örökölt IoT-vel, amivel megkerülhetik saját védelmüket. Ha a dolgokat a rossz szereplők szemszögéből nézzük, akkor itt a támadási felület hatalmas kibővítése áll előttünk, amely sok új, nagy értékű „lehetőséget” ad a már korábban is célgazdag környezethez” – mondta Natali Tshuva, a A Sternum vezérigazgatója és társalapítója, egy kódmentes, eszközben rezidens IoT biztonsági, megfigyelési és elemző cég.
Minden IoT-eszköznek saját szoftverellátási lánca van. Ennek az az oka, hogy az eszközt futtató kód valójában több zárt és nyílt forráskódú projekt kombinációja. Mint ilyen, az egyik legközvetlenebbül jelentkező fenyegetés az ügyfelek érzékeny vagy akár személyes adatainak kibercsalás útján történő nyilvánosságra hozatala. „Ez különbözik az egyéb digitális csalásoktól, például az adathalászattól és a társadalmi manipuláció egyéb típusaitól” – mondta Tshuva.
„Itt a célpontnak nem lesz lehetősége arra, hogy éberséggel megakadályozza a támadást, vagy akár gyanítsa is, hogy valami történik – egészen biztosan nem, amíg nem késő”.
„Körülvetjük magunkat csatlakoztatott eszközökkel, de ezek számunkra „fekete dobozok”, és soha nem tudjuk – vagy nem tudjuk meg –, hogy valójában mi történik belül.
Tshuva szerint a legtöbb IoT-eszköz ma már több (talán néhány tucat) különböző szoftverszolgáltatótól származó kódon fut, amelyek közül néhányról még soha nem hallottál. Általában ezek a harmadik féltől származó összetevők felelősek a titkosításért, a csatlakozásért és más érzékeny funkciókért. És még az operációs rendszer is több különböző operációs rendszer keveréke lehet.
„Ez feltárja az IoT biztonságának egyik legnagyobb kihívását, amely ismét a támadási felület kiterjesztésének gondolatához nyúlik vissza. Mert minden olyan eszközhöz, amelyet a rendszerbe bevezetünk, valójában több szoftverszolgáltatótól származó kódot adunk hozzá, mindegyiknek megvan a maga sebezhetősége, amelyet bele kell önteni” – zárta Tshuva.
A kiskereskedőknek számos lépést kell tenniük, hogy megvédjék magukat és vásárlóikat a kiberbiztonsági fenyegetésekkel szemben. Biztosítaniuk kell, hogy rendszereik naprakészek legyenek a legújabb biztonsági javításokkal, és átfogó biztonsági tervvel is rendelkezniük kell. Az alkalmazottakat ki kell képezni a biztonsági fenyegetések azonosítására és az azokra való reagálásra, az ügyfeleket pedig fel kell hívni az IoT-eszközök kiskereskedelmi használatának kockázataira.
„Ahogy a kiskereskedők az IoT-t alkalmazzák ügyfeleik helymeghatározásának megfigyelésére, gazdag adatkészleteket készítenek a fogyasztók mozgásáról és vásárlási szokásairól. Ezek a rekordok olyan adatnyomot hoznak létre, amelyet nagyon óvatosan kell őrizni, mivel a mozgással párosuló információvásárlás rendkívül privát szokásokat tárhat fel. Számtalan célzott támadást láthattunk a kiskereskedők ellen a vásárlás helyén, és ha ez párosítható azzal az úttal, amelyet a vásárlók egy üzleten, bevásárlóközponton vagy akár városokon és kontinenseken át bejárnak, a fogyasztóknak komoly kártérítési igényük lesz. kiskereskedelmi láncok” – mondta Sean O'Brien, a Yale Privacy Lab alapítója.
A fenyegetések megértéséhez a szervezeteknek meg kell érteniük, hogy a digitális megoldások kiskereskedelmi vállalkozások általi alkalmazása szoftverfüggő megoldások elfogadását és a kiberbűnözők támadási felületének növelését jelenti.
„Ami korábban mechanikus pénztárgép volt, ma már egy „okos” értékesítési pont, amely feldolgozza és összegyűjti az ügyfelek fizetési adatait, így kívánatos célponttá válik. Ezek a rendszerek gyakran kapcsolódnak nagyobb e-kereskedelmi megoldásokhoz, például online boltokhoz/számlázáshoz/leltárhoz stb., ami belépési pontot jelenthet a kritikusabb rendszerek számára. Mivel az intelligens megoldásoktól függenek, a kiskereskedelmi vállalkozások is érzékenyek a zsarolóvírusokra és a szolgáltatásmegtagadási támadásokra, amelyek megakadályozzák a tranzakciók lebonyolítását. Ezenkívül a PoS-eszközök, mivel kis számítógépek, nagy botnet-támadásokhoz is használhatók” – mondta Maty Siman, a Checkmarx műszaki igazgatója és alapítója.
Az e-kereskedelmi vállalatok számos különböző szállítót használnak folyamataikhoz. A hardvertől és a szoftvertől a műveletekig és a pénzügyi szolgáltatásokig minden szállító több harmadik féltől származó szoftvert és komponenst használ, amelyek viszont szintén harmadik féltől származó összetevőktől függenek.
„Ha egy rosszindulatú szereplő kihasználhatja vagy „hátsó ajtót” tud vezetni bármely komponenshez az út során, akkor lényegében hozzáfér a végleges megoldásokhoz, amelyek később a kiskereskedelmi üzletágban megtalálhatók. Amikor manapság minden szoftveren múlik, a nyílt forráskódú szoftverekre való támaszkodás csak fokozza ezeket a problémákat” – mondta Siman.
Siman szerint elengedhetetlen az alkalmazottak oktatása a legjobb biztonsági gyakorlatokról. „Az adatokról rendszeresen biztonsági másolatot kell készíteni, és a kiskereskedő felhasználóknak erős jelszavakat és MFA-t kell használniuk. A tranzakciókhoz használt hálózatot el kell különíteni a többi hálózattól, az eszközöket és azok szoftvereit pedig rendszeresen frissíteni és javítani kell.”
Sean Tufts, az Optiv IoT/OT biztonsági vezetője szerint még mindig az emberek jelentik a legjelentősebb fenyegetést. „A kevesebb alkalmazott vagy a személyes interakció az értékesítés helyén és/vagy a kijelentkezésnél több fizikai lopáshoz vezet, de a kiskereskedőket is több manipulációra nyitja meg a hozzáértő fenyegetési szereplők által, akik szeretnék kihasználni az üzlet előnyeit. bizalom. Minél többet hagynak felügyelet nélkül ezek a gépek, annál több interfészt lehet és lehet majd manipulálni, például szkimmereket telepíteni és portokat elérni.”
Forrás: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/