Οι απειλές για την ασφάλεια στον κυβερνοχώρο αποτελούν αυξανόμενη ανησυχία για τις εταιρείες λιανικής, καθώς υιοθετούν ολοένα και περισσότερο αυτοδιαγραφές μέσω της Apple, του Google Pay ή άλλων πλατφορμών πληρωμών. Από το 2005, οι λιανοπωλητές έχουν ξαναδεί 10,000 παραβιάσεις δεδομένων, κυρίως λόγω ελαττωμάτων και τρωτών σημείων στα συστήματα πληρωμών.
Τα συστήματα σημείων πώλησης (POS) χρησιμοποιούν συχνά μια πληθώρα εξωτερικών στοιχείων υλικού, λογισμικού και στοιχείων που βασίζονται σε σύννεφο.
«Τουλάχιστον, οι έμποροι λιανικής πρέπει να διασφαλίζουν ότι το συμβαλλόμενο μέρος συμμορφώνεται με αυτές και θα τηρεί τις ίδιες απαιτήσεις συμμόρφωσης με την ασφάλεια που έχει η ίδια η εταιρεία. Υπάρχουν πολλές ευκαιρίες για έναν κυβερνοεγκληματία να εκμεταλλευτεί το σύστημα, είτε αυτό είναι στην πηγή του προμηθευτή που παρέχει τη λύση είτε όταν η τεχνολογία αναπτύσσεται επιτόπου. Η εκμετάλλευση μιας ευπάθειας στο λογισμικό που χρησιμοποιείται σε συσκευές POS (ή ακόμα και στις υπηρεσίες back-end cloud) θα μπορούσε να επιτρέψει σε έναν εγκληματία του κυβερνοχώρου να αναπτύξει κακόβουλο λογισμικό στη συσκευή POS. Αυτό θα τους επέτρεπε περαιτέρω να συλλέξουν οικονομικά δεδομένα, να προκαλέσουν επίθεση κακόβουλου λογισμικού όπως ransomware ή να χρησιμοποιήσουν τη συσκευή για να συνδεθούν με άλλα εσωτερικά συστήματα», δήλωσε ο Chief Security Evangelist, Tony Anscombe από την ESET.
Οι επιπτώσεις των κυβερνοεπιθέσεων στους λιανοπωλητές μπορεί να περιλαμβάνουν βαριά πρόστιμα, κυρώσεις, απώλεια δεδομένων, οικονομικές απώλειες και ζημιά στη φήμη.
Υπάρχουν επίσης απειλές ασφαλείας που αντιμετωπίζουν οι χρήστες όταν χρησιμοποιούν συσκευές IoT στο λιανικό εμπόριο. Πάνω από το 84 τοις εκατό των οργανισμών χρησιμοποιούν Συσκευές IoT. Ωστόσο, λιγότερο από το 50% έχει λάβει σταθερά μέτρα ασφαλείας κατά των επιθέσεων στον κυβερνοχώρο. Για παράδειγμα, οι περισσότεροι οργανισμοί χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για μεγάλο χρονικό διάστημα, γεγονός που αυξάνει τις επιθέσεις ωμής βίας, επιτρέποντας στους χάκερ να κλέβουν και να χειρίζονται δεδομένα.
Οι συσκευές IoT μπορούν να χρησιμοποιηθούν για την παρακολούθηση των κινήσεων των πελατών και του ιστορικού αγορών και οι χάκερ θα μπορούσαν ενδεχομένως να αποκτήσουν πρόσβαση σε αυτά τα δεδομένα. Επιπλέον, οι πελάτες ενδέχεται να κινδυνεύουν να υποστούν απάτη όταν χρησιμοποιούν πλατφόρμες πληρωμών όπως το Apple Pay. Αυτές οι απάτες μπορούν να λάβουν πολλές μορφές, όπως ψεύτικες εφαρμογές που κλέβουν προσωπικές πληροφορίες ή ιστότοπους που εξαπατούν τους πελάτες να εισαγάγουν τα στοιχεία της πιστωτικής τους κάρτας.
«Η εισαγωγή αυτών των νέων μηχανισμών πληρωμής σηματοδοτεί την αρχή ενός νέου κύκλου υιοθέτησης τεχνολογίας. Από την άποψη της ασφάλειας, αυτό συμβαίνει όταν τα πράγματα είναι συνήθως τα πιο ευάλωτα. Επιπλέον, οι συνδεδεμένες συσκευές που οδηγούν αυτόν τον μετασχηματισμό θεωρούνται ήδη ο πιο αδύναμος κρίκος σε άλλα πολύ πιο ώριμα σενάρια ανάπτυξης. Πιστεύω ότι στο λιανικό εμπόριο, όπως και σε άλλους κλάδους, θα δούμε αυτές τις συσκευές να αξιοποιούνται για να αποκτήσουν επίμονη παρουσία στο δίκτυο, να εκθέσουν ευαίσθητα δεδομένα, να εκτελέσουν ψηφιακές απάτες και πολλά άλλα. Και ακόμη κι αν οι νέες συσκευές είναι εξαιρετικά ασφαλείς οι ίδιες – και αυτό είναι ένα μεγάλο ΑΝ – εξακολουθούν να εισάγονται σε ένα περιβάλλον γεμάτο μέχρι τα χείλη με παλαιού τύπου IoT, το οποίο μπορεί να χρησιμοποιηθεί για να παρακάμψει τις δικές τους άμυνες. Κοιτάζοντας τα πράγματα από την οπτική γωνία των κακών ηθοποιών, αυτό που έχουμε εδώ είναι μια τεράστια επέκταση της επιφάνειας επίθεσης – κάτι που προσθέτει πολλές νέες «ευκαιρίες» υψηλής αξίας σε αυτό που ήταν ήδη ένα περιβάλλον πλούσιο σε στόχους», είπε η Natali Tshuva, η Διευθύνων Σύμβουλος και συνιδρυτής της Sternum, μιας εταιρείας ασφάλειας, παρατήρησης και ανάλυσης IoT χωρίς κωδικούς, που εδρεύει σε συσκευές.
Κάθε συσκευή IoT έχει τη δική της αλυσίδα εφοδιασμού λογισμικού μέσα. Αυτό συμβαίνει επειδή ο κώδικας που εκτελεί τη συσκευή είναι στην πραγματικότητα ένας συνδυασμός πολλών έργων κλειστού και ανοιχτού κώδικα. Ως εκ τούτου, μια από τις πιο άμεσα παρούσες απειλές είναι η έκθεση ευαίσθητων ή ακόμα και προσωπικών πληροφοριών των πελατών με απάτη στον κυβερνοχώρο. «Αυτό είναι διαφορετικό από άλλες ψηφιακές απάτες, όπως το phishing και άλλα είδη κοινωνικής μηχανικής», είπε ο Tshuva.
«Εδώ ο στόχος δεν θα έχει την επιλογή να αποτρέψει την επίθεση μέσω επαγρύπνησης ή ακόμα και υποψίας ότι κάτι συμβαίνει – σίγουρα όχι μέχρι να είναι πολύ αργά».
«Περιβάλλουμε τους εαυτούς μας με συνδεδεμένες συσκευές, αλλά είναι «μαύρα κουτιά» για εμάς και ποτέ δεν ξέρουμε πραγματικά – ούτε έχουμε τρόπους να γνωρίζουμε – τι πραγματικά συμβαίνει μέσα μας».
Σύμφωνα με τον Tshuva, οι περισσότερες συσκευές IoT σήμερα λειτουργούν ήδη με κώδικα από πολλούς (ίσως μερικές δεκάδες) διαφορετικούς παρόχους λογισμικού, για μερικούς από τους οποίους δεν έχετε ακούσει ποτέ. Συνήθως, αυτά τα στοιχεία τρίτων είναι εκείνα που είναι υπεύθυνα για την κρυπτογράφηση, τη συνδεσιμότητα και άλλες ευαίσθητες λειτουργίες. Και ακόμη και το λειτουργικό σύστημα θα μπορούσε να είναι ένας συνδυασμός πολλών διαφορετικών λειτουργικών συστημάτων που έχουν ψηθεί μαζί».
«Αυτό εκθέτει μια από τις μεγαλύτερες προκλήσεις της ασφάλειας του IoT, η οποία, πάλι, ανάγεται στην ιδέα της επέκτασης της επιφάνειας επίθεσης. Διότι με κάθε συσκευή που εισάγετε στο σύστημα, αυτό που στην πραγματικότητα προσθέτετε είναι ένα παρασκεύασμα κώδικα από διάφορους παρόχους λογισμικού, ο καθένας με τα δικά του τρωτά σημεία για να εισχωρήσει στο μείγμα», κατέληξε ο Tshuva.
Οι έμποροι λιανικής πρέπει να λάβουν μια σειρά μέτρων για να προστατεύσουν τους εαυτούς τους και τους πελάτες τους από απειλές για την ασφάλεια στον κυβερνοχώρο. Θα πρέπει να διασφαλίσουν ότι τα συστήματά τους είναι ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και θα πρέπει επίσης να διαθέτουν ένα ολοκληρωμένο σχέδιο ασφαλείας. Οι εργαζόμενοι θα πρέπει να εκπαιδεύονται στον τρόπο αναγνώρισης και αντιμετώπισης απειλών ασφαλείας και οι πελάτες θα πρέπει να ενημερώνονται για τους κινδύνους από τη χρήση συσκευών IoT στη λιανική.
«Καθώς οι έμποροι λιανικής υιοθετούν το IoT για την παρακολούθηση τοποθεσίας των πελατών τους, δημιουργούν πλούσια σύνολα δεδομένων σχετικά με τις κινήσεις και τις αγοραστικές συνήθειες των καταναλωτών. Αυτά τα αρχεία δημιουργούν μια διαδρομή δεδομένων που πρέπει να φυλάσσεται πολύ προσεκτικά, καθώς η αγορά πληροφοριών σε συνδυασμό με τις μετακινήσεις μπορεί να αποκαλύψει εξαιρετικά ιδιωτικές συνήθειες. Έχουμε δει πολλές στοχευμένες επιθέσεις σε λιανοπωλητές στο σημείο αγοράς και, εάν αυτό μπορεί να συνδυαστεί με τη διαδρομή που ακολουθούν οι πελάτες μέσω ενός καταστήματος, ενός εμπορικού κέντρου ή ακόμη και σε πόλεις και ηπείρους, οι καταναλωτές θα έχουν ισχυρή προσφυγή για ζημίες κατά αλυσίδες λιανικής», δήλωσε ο Sean O'Brien, ιδρυτής του Yale Privacy Lab.
Για να κατανοήσουν τις απειλές, οι οργανισμοί πρέπει να κατανοήσουν ότι η υιοθέτηση ψηφιακών λύσεων από επιχειρήσεις λιανικής σημαίνει υιοθέτηση λύσεων που εξαρτώνται από λογισμικό και αύξηση της επιφάνειας επίθεσης για τους εγκληματίες του κυβερνοχώρου.
«Αυτό που ήταν μια μηχανική ταμειακή μηχανή είναι τώρα ένα «έξυπνο» σημείο πώλησης που επεξεργάζεται και συλλέγει πληροφορίες πληρωμής πελατών, καθιστώντας τους επιθυμητό στόχο. Αυτά τα συστήματα συνδέονται συχνά με μια ευρύτερη λύση ηλεκτρονικού εμπορίου, όπως ηλεκτρονικά καταστήματα/χρέωση/απόθεμα κ.λπ., γεγονός που μπορεί να τα κάνει σημείο εισόδου σε πιο κρίσιμα συστήματα. Καθώς εξαρτώνται από έξυπνες λύσεις, οι επιχειρήσεις λιανικής βρίσκονται επίσης επιρρεπείς σε επιθέσεις ransomware και άρνησης υπηρεσίας που εμποδίζουν την ικανότητά τους να κάνουν συναλλαγές. Επίσης, οι συσκευές PoS, καθώς είναι μικροί υπολογιστές, μπορούν να χρησιμοποιηθούν σε μεγάλες επιθέσεις botnet», δήλωσε ο Maty Siman, CTO και ιδρυτής της Checkmarx.
Οι εταιρείες ηλεκτρονικού εμπορίου χρησιμοποιούν πολλούς διαφορετικούς προμηθευτές για τις διαδικασίες τους. Από το υλικό και το λογισμικό μέχρι τις λειτουργίες και τις χρηματοοικονομικές υπηρεσίες, όλοι οι προμηθευτές χρησιμοποιούν περισσότερο λογισμικό και εξαρτήματα τρίτων που, με τη σειρά τους, εξαρτώνται επίσης από στοιχεία τρίτων.
«Εάν ένας κακόβουλος παράγοντας μπορεί να εκμεταλλευτεί ή να εισαγάγει μια «πίσω πόρτα» σε οποιοδήποτε στοιχείο στην πορεία, αποκτά ουσιαστικά πρόσβαση στις τελικές λύσεις που μπορούν να βρεθούν αργότερα σε επιχειρήσεις λιανικής. Όταν όλα βασίζονται στο λογισμικό αυτές τις μέρες, η εξάρτηση από λογισμικό ανοιχτού κώδικα εντείνει αυτά τα ζητήματα», είπε ο Siman.
Σύμφωνα με τον Siman, η εκπαίδευση των εργαζομένων στις βέλτιστες πρακτικές ασφάλειας είναι απαραίτητη. «Πρέπει να δημιουργούνται τακτικά αντίγραφα ασφαλείας των δεδομένων και οι χρήστες λιανοπωλητών θα πρέπει να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης και MFA. Το δίκτυο που χρησιμοποιείται για τις συναλλαγές πρέπει να είναι απομονωμένο από άλλα δίκτυα και οι συσκευές και το λογισμικό τους πρέπει να ενημερώνονται και να διορθώνονται τακτικά».
Οι άνθρωποι εξακολουθούν να είναι η πιο σημαντική απειλή, λέει ο Sean Tufts, ηγέτης ασφάλειας IoT/OT στο Optiv. «Το να έχεις λιγότερους υπαλλήλους ή πρόσωπο με πρόσωπο αλληλεπίδραση στο σημείο πώλησης και/ή το check out οδηγεί σε περισσότερη φυσική κλοπή, αλλά επίσης ανοίγει αυτούς τους λιανοπωλητές σε περισσότερες παραβιάσεις από έξυπνους παράγοντες απειλών που θέλουν να εκμεταλλευτούν τα εμπιστοσύνη. Όσο περισσότερο αυτά τα μηχανήματα αφήνονται χωρίς επιτήρηση, τόσο περισσότερες διεπαφές μπορούν και θα χειριστούν, π.χ. εγκαθίστανται skimmers και πρόσβαση σε θύρες."
Πηγή: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/