Cyber sigurnosne prijetnje sve su veća briga za maloprodajne tvrtke jer sve više prihvaćaju samoplaćanje putem Applea, Google Paya ili drugih platformi za plaćanje. Od 2005. trgovci su vidjeli preko 10,000 povreda podataka, uglavnom zbog nedostataka i ranjivosti u sustavima plaćanja.
Sustavi prodajnih mjesta (POS) često koriste mnoštvo vanjskog hardvera, softvera i komponenti temeljenih na oblaku.
“Minimalno, trgovci na malo moraju osigurati da se njihova ugovorna strana pridržava tih zahtjeva i da će se pridržavati istih sigurnosnih zahtjeva usklađenosti koje ima i sama tvrtka. Postoje brojne mogućnosti za kibernetičke kriminalce da iskoriste prednosti sustava, bilo da je to na izvoru dobavljača koji pruža rješenje ili kada je tehnologija postavljena na licu mjesta. Iskorištavanje ranjivosti u softveru koji se koristi na POS uređajima (ili čak u pozadinskim uslugama u oblaku) može omogućiti kibernetičkom kriminalcu da postavi zlonamjerni softver na POS uređaj. To bi im dodatno omogućilo prikupljanje financijskih podataka, napad zlonamjernim softverom kao što je ransomware ili korištenje uređaja za povezivanje s drugim internim sustavima,” rekao je glavni sigurnosni evangelist, Tony Anscombe iz ESET-a.
Učinci kibernetičkih napada na trgovce mogu uključivati velike novčane kazne, kazne, gubitak podataka, financijske gubitke i štetu reputaciji.
Tu su i sigurnosnih prijetnji s kojima se korisnici susreću prilikom korištenja IoT uređaja u maloprodaji. Više od 84 posto organizacija koristi IoT uređaji. Međutim, manje od 50% poduzelo je čvrste sigurnosne mjere protiv kibernetičkih napada. Na primjer, većina organizacija koristi iste lozinke dulje vrijeme, što povećava brutalne napade, omogućujući hakerima krađu i manipuliranje podacima.
IoT uređaji mogu se koristiti za praćenje kretanja kupaca i povijesti kupnje, a hakeri bi potencijalno mogli dobiti pristup tim podacima. Osim toga, korisnici bi mogli biti u opasnosti da budu prevareni kada koriste platforme za plaćanje kao što je Apple Pay. Ove prijevare mogu imati različite oblike, kao što su lažne aplikacije koje kradu osobne podatke ili web-mjesta koja prevarom navode kupce da unesu podatke o kreditnoj kartici.
“Uvođenje ovih novih mehanizama plaćanja signalizira početak novog ciklusa usvajanja tehnologije. Sa sigurnosne točke gledišta, tada su stvari obično najranjivije. Štoviše, povezani uređaji koji pokreću ovu transformaciju već se smatraju najslabijom karikom u drugim mnogo zrelijim scenarijima implementacije. Vjerujem da ćemo u maloprodaji, baš kao iu drugim industrijama, vidjeti kako se ovi uređaji iskorištavaju za postizanje stalne mrežne prisutnosti, izlaganje osjetljivih podataka, izvođenje digitalnih prijevara i više. Čak i ako su novi uređaji sami iznimno sigurni – a to je veliki AKO – i dalje se uvode u okruženje puno naslijeđenog IoT-a, koji se može koristiti za zaobilaženje vlastite obrane. Gledajući stvari iz perspektive loših aktera, ono što ovdje imamo je golema ekspanzija površine napada – ona koja dodaje mnogo novih visokovrijednih “prilika” u ono što je već bilo okruženje bogato ciljevima,” rekla je Natali Tshuva, Glavni izvršni direktor i suosnivač Sternuma, tvrtke za sigurnost, promatranje i analitiku IoT-a bez koda i uređaja.
Svaki IoT uređaj unutar sebe ima vlastiti lanac opskrbe softverom. To je zato što je kôd koji pokreće uređaj zapravo kombinacija nekoliko projekata zatvorenog i otvorenog koda. Kao takva, jedna od najneposrednijih prijetnji je izlaganje osjetljivih ili čak osobnih podataka klijenata putem cyber prijevare. "Ovo se razlikuje od drugih digitalnih prijevara, poput krađe identiteta i drugih vrsta društvenog inženjeringa", rekao je Tshuva.
“Ovdje meta neće imati mogućnost spriječiti napad budnošću ili čak sumnjati da se nešto događa – svakako ne dok ne bude prekasno”.
“Okružujemo se povezanim uređajima, ali oni su za nas 'crne kutije' i nikada zapravo ne znamo – niti imamo načina da saznamo – što se zapravo događa unutra”.
Prema Tshuvi, većina IoT uređaja danas već radi na kodu nekoliko (možda nekoliko desetaka) različitih pružatelja softvera, od kojih za neke nikada niste čuli. Obično su te komponente trećih strana zadužene za enkripciju, povezivanje i druge osjetljive funkcije. Čak bi i operativni sustav mogao biti mješavina nekoliko različitih OS-a ispečenih zajedno”.
“Ovo otkriva jedan od glavnih izazova sigurnosti IoT-a koji se opet vraća na ideju širenja površine napada. Jer sa svakim uređajem koji uvedete u sustav, ono što zapravo dodajete je izmišljotina koda od nekoliko pružatelja softvera, svaki sa svojim vlastitim ranjivostima koje treba dodati u mješavinu,” zaključio je Tshuva.
Trgovci na malo moraju poduzeti brojne korake kako bi zaštitili sebe i svoje kupce od prijetnji kibernetičkoj sigurnosti. Trebali bi osigurati da su njihovi sustavi ažurirani s najnovijim sigurnosnim zakrpama, a također bi trebali imati sveobuhvatan sigurnosni plan. Zaposlenici bi trebali biti obučeni kako prepoznati i odgovoriti na sigurnosne prijetnje, a kupci bi trebali biti svjesni rizika korištenja IoT uređaja u maloprodaji.
“Dok trgovci usvajaju IoT za nadzor lokacije svojih kupaca, oni grade bogate skupove podataka o kretanjima i kupovnim navikama potrošača. Ti zapisi stvaraju trag podataka koji se mora vrlo pažljivo čuvati jer informacije o kupnji zajedno s kretanjem mogu otkriti iznimno privatne navike. Vidjeli smo mnoštvo ciljanih napada na trgovce na malo na mjestu kupnje i, ako se to može spojiti s putem kojim kupci prolaze kroz trgovinu, trgovački centar ili čak preko gradova i kontinenata, potrošači će imati pravo pravo na odštetu od trgovačkih lanaca”, rekao je Sean O'Brien, osnivač Yale Privacy Laba.
Kako bi razumjele prijetnje, organizacije moraju razumjeti da usvajanje digitalnih rješenja od strane maloprodajnih poduzeća znači usvajanje rješenja koja ovise o softveru i povećanje površine napada za kibernetičke kriminalce.
“Ono što je nekad bila mehanička blagajna sada je “pametno” prodajno mjesto koje obrađuje i prikuplja podatke o plaćanju kupaca, što ih čini poželjnom metom. Ti su sustavi često povezani s većim rješenjem za e-trgovinu kao što su internetske trgovine/naplata/inventar itd., što ih može učiniti ulaznom točkom za kritičnije sustave. Budući da ovise o pametnim rješenjima, maloprodajna poduzeća također su podložna ransomware napadima i napadima uskraćivanja usluge koji im blokiraju mogućnost obavljanja transakcija. Također, PoS uređaji, budući da su mala računala, mogu se koristiti u velikim botnet napadima,” rekao je Maty Siman, tehnički direktor i osnivač Checkmarxa.
Tvrtke za e-trgovinu koriste mnogo različitih dobavljača za svoje procese. Od hardvera i softvera do operacija i financijskih usluga, svi dobavljači koriste više softvera i komponenti trećih strana koji zauzvrat također ovise o komponentama trećih strana.
“Ako zlonamjerni akter usput može iskoristiti ili uvesti “stražnja vrata” u bilo koju komponentu, on zapravo dobiva pristup dovršenim rješenjima koja se kasnije mogu pronaći u maloprodajnim tvrtkama. Kada se ovih dana sve oslanja na softver, oslanjanje na softver otvorenog koda pojačava te probleme,” rekao je Siman.
Prema Simanovim riječima, edukacija zaposlenika o najboljim sigurnosnim praksama je ključna. “Podatke je potrebno redovito sigurnosno kopirati, a maloprodajni korisnici trebaju koristiti snažne lozinke i MFA. Mreža koja se koristi za transakcije mora biti izolirana od drugih mreža, a uređaji i njihov softver moraju se redovito ažurirati i zakrpati.”
Ljudi su još uvijek najistaknutija prijetnja, kaže Sean Tufts, voditelj IoT/OT sigurnosti u Optivu. „Manje zaposlenika ili interakcija licem u lice na prodajnom mjestu i/ili blagajni dovodi do veće fizičke krađe, ali također otvara ove trgovce mogućnostima više petljanja od strane pametnih aktera prijetnji koji žele iskoristiti prednosti trgovine povjerenje. Što se više ovih strojeva ostavlja bez nadzora, to se više sučelja može i hoće biti manipulirano, npr. instalirani skimeri i pristupanje priključcima.”
Izvor: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/