Угрозы кибербезопасности вызывают все большую озабоченность у розничных компаний, поскольку они все чаще внедряют кассы самообслуживания через Apple, Google Pay или другие платежные платформы. С 2005 года ритейлеры видели более 10,000 нарушения данных, в основном из-за недостатков и уязвимостей в платежных системах.
Системы торговых точек (POS) часто используют множество внешних аппаратных средств, программного обеспечения и облачных компонентов.
«Как минимум, ритейлеры должны убедиться, что их контрагенты соблюдают их и будут соблюдать те же требования безопасности, что и сама компания. У киберпреступников есть множество возможностей воспользоваться преимуществами системы, будь то у поставщика, предоставляющего решение, или при развертывании технологии на месте. Использование уязвимости в программном обеспечении, используемом на POS-устройствах (или даже во внутренних облачных сервисах), может позволить киберпреступнику развернуть вредоносное ПО на POS-устройстве. Это также позволит им собирать финансовые данные, проводить атаки вредоносных программ, таких как программы-вымогатели, или использовать устройство для подключения к другим внутренним системам», — сказал главный евангелист по безопасности Тони Анскомб из ESET.
Последствия кибератак для розничных продавцов могут включать крупные штрафы, пени, потерю данных, финансовые потери и ущерб репутации.
Есть также угрозы безопасности, с которыми сталкиваются пользователи при использовании устройств IoT в розничной торговле. Более 84 процентов организаций используют IoT-устройства. Однако менее 50% приняли надежные меры защиты от кибератак. Например, большинство организаций используют одни и те же пароли в течение длительного времени, что увеличивает количество атак методом грубой силы, позволяя хакерам красть данные и манипулировать ими.
Устройства IoT могут использоваться для отслеживания перемещений клиентов и истории покупок, и хакеры потенциально могут получить доступ к этим данным. Кроме того, клиенты могут подвергаться риску мошенничества при использовании платежных платформ, таких как Apple Pay. Эти мошенничества могут принимать различные формы, например, поддельные приложения, которые воруют личную информацию, или веб-сайты, которые обманом заставляют клиентов вводить данные своей кредитной карты.
«Внедрение этих новых платежных механизмов сигнализирует о начале цикла внедрения новых технологий. С точки зрения безопасности, именно в этот момент все обычно наиболее уязвимо. Более того, подключенные устройства, обеспечивающие эту трансформацию, уже считаются самым слабым звеном в других гораздо более зрелых сценариях развертывания. Я полагаю, что в розничной торговле, как и в других отраслях, мы увидим, как эти устройства будут использоваться для обеспечения постоянного присутствия в сети, раскрытия конфиденциальных данных, осуществления цифрового мошенничества и многого другого. И даже если новые устройства сами по себе чрезвычайно безопасны — а это большое ЕСЛИ — они все равно внедряются в среду, до краев наполненную устаревшим IoT, который можно использовать для обхода их собственной защиты. Глядя на вещи с точки зрения злоумышленников, мы имеем здесь массивное расширение поверхности атаки, которое добавляет много новых ценных «возможностей» к тому, что уже было богатой мишенями средой», — сказала Натали Тшува, Генеральный директор и соучредитель Sternum, компании, занимающейся безопасностью, наблюдением и аналитикой Интернета вещей без кода и резидентных устройств.
Каждое устройство IoT имеет внутри свою собственную цепочку поставок программного обеспечения. Это связано с тем, что код, который запускает устройство, на самом деле представляет собой комбинацию нескольких проектов с закрытым и открытым исходным кодом. Таким образом, одной из наиболее непосредственных угроз является раскрытие конфиденциальной или даже личной информации клиентов с помощью кибермошенничества. «Это отличается от других цифровых мошенничеств, таких как фишинг и другие виды социальной инженерии», — сказал Тшува.
«Здесь у цели не будет возможности предотвратить нападение за счет бдительности или даже подозревать, что что-то происходит — конечно, пока не станет слишком поздно».
«Мы окружаем себя подключенными устройствами, но для нас они являются «черными ящиками», и мы никогда не знаем — или не знаем способов узнать — что на самом деле происходит внутри».
По словам Тшувы, большинство IoT-устройств сегодня уже работают на коде нескольких (возможно, нескольких десятков) разных поставщиков программного обеспечения, о некоторых из которых вы никогда не слышали. Обычно эти сторонние компоненты отвечают за шифрование, подключение и другие конфиденциальные функции. И даже операционная система может быть смесью нескольких разных ОС, спеченных вместе».
«Это обнажает одну из основных проблем безопасности IoT, которая, опять же, восходит к идее расширения поверхности атаки. Потому что с каждым устройством, которое вы вводите в систему, вы на самом деле добавляете смесь кода от нескольких поставщиков программного обеспечения, каждый из которых имеет свои собственные уязвимости, которые можно добавить в смесь», — заключил Тшува.
Ритейлерам необходимо предпринять ряд шагов, чтобы защитить себя и своих клиентов от угроз кибербезопасности. Они должны убедиться, что в их системах установлены последние исправления безопасности, а также у них должен быть комплексный план обеспечения безопасности. Сотрудники должны быть обучены тому, как выявлять угрозы безопасности и реагировать на них, а клиенты должны быть осведомлены о рисках, связанных с использованием устройств IoT в розничной торговле.
«Поскольку ритейлеры внедряют IoT для наблюдения за местоположением своих клиентов, они создают обширные наборы данных о перемещениях и покупательских привычках потребителей. Эти записи создают след данных, который необходимо очень тщательно охранять, поскольку информация о покупках в сочетании с перемещениями может выявить очень личные привычки. Мы видели множество целенаправленных атак на розничных продавцов в местах совершения покупок, и, если это может быть связано с тем, как покупатели проходят через магазин, торговый центр или даже между городами и континентами, потребители будут иметь серьезные средства для возмещения убытков против розничных сетей», — сказал Шон О'Брайен, основатель Yale Privacy Lab.
Чтобы понять угрозы, организациям необходимо понимать, что внедрение цифровых решений предприятиями розничной торговли означает внедрение программно-зависимых решений и увеличение поверхности атаки для киберпреступников.
«То, что раньше было механическим кассовым аппаратом, теперь является «умной» точкой продаж, которая обрабатывает и собирает информацию о платежах клиентов, что делает их желанной мишенью. Эти системы часто подключаются к более крупным решениям для электронной коммерции, таким как интернет-магазины/выставление счетов/инвентаризация и т. д., что может сделать их точкой входа в более важные системы. Будучи зависимыми от интеллектуальных решений, предприятия розничной торговли также оказываются уязвимыми для программ-вымогателей и атак типа «отказ в обслуживании», которые блокируют их способность совершать транзакции. Кроме того, устройства PoS, будучи небольшими компьютерами, могут использоваться в атаках крупных ботнетов», — сказал Мэти Симан, технический директор и основатель Checkmarx.
Компании электронной коммерции используют множество различных поставщиков для своих процессов. От аппаратного и программного обеспечения до операционных и финансовых услуг все поставщики используют больше стороннего программного обеспечения и компонентов, которые, в свою очередь, также зависят от сторонних компонентов.
«Если злоумышленник может использовать или внедрить «черный ход» в любой компонент по пути, он, по сути, получает доступ к готовым решениям, которые позже можно будет найти в розничных предприятиях. Когда в наши дни все зависит от программного обеспечения, зависимость от программного обеспечения с открытым исходным кодом усугубляет эти проблемы», — сказал Симан.
По словам Симана, обучение сотрудников передовым методам обеспечения безопасности имеет важное значение. «Данные необходимо регулярно создавать резервные копии, а пользователи розничных продавцов должны использовать надежные пароли и многофакторную аутентификацию. Сеть, используемая для транзакций, должна быть изолирована от других сетей, а устройства и их программное обеспечение должны регулярно обновляться и исправляться».
По словам Шона Тафтса (Sean Tufts), руководителя службы безопасности IoT/OT компании Optiv, люди по-прежнему представляют собой наиболее серьезную угрозу. «Меньшее количество сотрудников или личное общение в точках продаж и/или на кассе приводит к большему количеству физических краж, но также делает этих розничных продавцов более уязвимыми для несанкционированного доступа со стороны сообразительных злоумышленников, стремящихся воспользоваться преимуществом магазина. доверять. Чем больше эти машины остаются без присмотра, тем больше интерфейсов можно и будет манипулировать, например, устанавливать скиммеры и получать доступ к портам».
Источник: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/