Cybersikkerhetstrusler er en økende bekymring for detaljhandelsbedrifter ettersom de i økende grad tar i bruk selvutsjekking gjennom Apple, Google Pay eller andre betalingsplattformer. Siden 2005 har forhandlere sett over 10,000 datainnbrudd, hovedsakelig på grunn av feil og sårbarheter i betalingssystemer.
Point of sale (POS)-systemer bruker ofte en mengde ekstern maskinvare, programvare og skybaserte komponenter.
«Minst forhandlere må sørge for at deres avtalepart overholder dem og vil overholde de samme sikkerhetskravene som selskapet selv har. Det er mange muligheter for en nettkriminell til å dra nytte av systemet, enten dette er ved kilden til leverandøren som leverer løsningen eller når teknologien distribueres på stedet. Å utnytte en sårbarhet i programvaren som brukes på POS-enheter (eller til og med i back-end-skytjenester) kan tillate en nettkriminell å distribuere skadelig programvare på POS-enheten. Dette vil gjøre dem i stand til å innhente økonomiske data, påføre et skadelig programvareangrep som løsepengevare eller å bruke enheten til å koble til andre interne systemer," sa Chief Security Evangelist, Tony Anscombe fra ESET.
Effekter av cyberangrep på forhandlere kan omfatte store bøter, straffer, tap av data, økonomiske tap og skade på omdømmet.
Det er også sikkerhetstrusler som brukere møter når de bruker IoT-enheter i detaljhandel. Over 84 prosent av organisasjonene bruker IoT-enheter. Imidlertid har mindre enn 50 % tatt solide sikkerhetstiltak mot cyberangrep. For eksempel bruker de fleste organisasjoner de samme passordene i lang tid, noe som øker brute force-angrep, som gjør det mulig for hackere å stjele og manipulere data.
IoT-enheter kan brukes til å spore kunders bevegelser og kjøpshistorikk, og hackere kan potensielt få tilgang til disse dataene. I tillegg kan kunder risikere å bli lurt når de bruker betalingsplattformer som Apple Pay. Disse svindelene kan ha mange former, for eksempel falske apper som stjeler personlig informasjon eller nettsteder som lurer kunder til å skrive inn kredittkortopplysningene deres.
"Introduksjonen av disse nye betalingsmekanismene signaliserer begynnelsen på en ny teknologiadopsjonssyklus. Fra et sikkerhetssynspunkt er dette når ting typisk er mest sårbare. Dessuten regnes tilkoblede enheter som driver denne transformasjonen allerede som det svakeste leddet i andre mye mer modne implementeringsscenarier. Jeg tror at i detaljhandelen, akkurat som i andre bransjer, vil vi se at disse enhetene blir utnyttet for å få vedvarende nettverkstilstedeværelse, avsløre sensitive data, kjøre digital svindel og mer. Og selv om de nye enhetene er ekstremt sikre selv – og dette er en stor IF – blir de fortsatt introdusert i et miljø fullt til randen av eldre IoT, som kan brukes til å omgå deres eget forsvar. Ser vi på ting fra de dårlige skuespillernes perspektiv, er det vi har her en massiv utvidelse av angrepsoverflaten – en som legger til mange nye høyverdi "muligheter" til det som allerede var et målrikt miljø, sa Natali Tshuva, Administrerende direktør og medgründer av Sternum, et kodefritt, enhetsresident IoT-sikkerhets-, observasjons- og analyseselskap.
Hver IoT-enhet har sin egen programvareforsyningskjede inne. Dette er fordi koden som kjører enheten faktisk er en kombinasjon av flere lukket og åpen kildekode-prosjekter. Som sådan er en av de mest umiddelbart tilstedeværende truslene eksponeringen av klienters sensitive eller til og med personlig informasjon med cybersvindel. "Dette er forskjellig fra annen digital svindel, som phishing og andre typer sosial ingeniørkunst," sa Tshuva.
"Her vil ikke målet ha en mulighet til å forhindre angrepet gjennom årvåkenhet eller til og med mistenke at noe skjer – i hvert fall ikke før det er for sent".
"Vi omgir oss med tilkoblede enheter, men de er "svarte bokser" for oss, og vi vet aldri – eller har måter å vite – hva som egentlig foregår på innsiden”.
I følge Tshuva kjører de fleste IoT-enheter i dag allerede på kode fra flere (kanskje et par dusin) forskjellige programvareleverandører, noen av dem har du aldri hørt om. Vanligvis er disse tredjepartskomponentene de som har ansvaret for kryptering, tilkobling og andre sensitive funksjoner. Og til og med operativsystemet kan være en blanding av flere forskjellige operativsystemer bakt sammen.
"Dette avslører en av de største utfordringene med IoT-sikkerhet, som igjen går tilbake til ideen om å utvide angrepsoverflaten. For med hver enhet du introduserer til systemet, er det du faktisk legger til en kodesammensetning fra flere programvareleverandører, hver og en med sine egne sårbarheter for å helle inn i blandingen, konkluderte Tshuva.
Forhandlere må ta en rekke skritt for å beskytte seg selv og kundene sine mot cybersikkerhetstrusler. De bør sørge for at systemene deres er oppdatert med de nyeste sikkerhetsoppdateringene, og de bør også ha en omfattende sikkerhetsplan på plass. Ansatte bør få opplæring i hvordan de identifiserer og reagerer på sikkerhetstrusler, og kunder bør gjøres oppmerksomme på risikoen ved bruk av IoT-enheter i detaljhandelen.
"Når forhandlere tar i bruk IoT for lokasjonsovervåking av kundene sine, bygger de rike datasett om forbrukernes bevegelser og kjøpsvaner. Disse postene skaper et dataspor som må voktes veldig nøye ettersom kjøpsinformasjon kombinert med bevegelser kan avsløre ekstremt private vaner. Vi har sett et mylder av målrettede angrep på forhandlere ved kjøpsstedet, og hvis dette kan kombineres med veien som kundene tar gjennom en butikk, et kjøpesenter eller til og med på tvers av byer og kontinenter, vil forbrukere ha sterk krav på erstatning mot detaljhandelskjeder," sa Sean O'Brien, grunnlegger av Yale Privacy Lab.
For å forstå truslene, må organisasjoner forstå at å ta i bruk digitale løsninger av detaljhandelsbedrifter betyr å ta i bruk programvareavhengige løsninger og øke angrepsoverflaten for nettkriminelle.
"Det som før var et mekanisk kassaapparat er nå et "smart" salgssted som behandler og samler inn kundebetalingsinformasjon, noe som gjør dem til et ønskelig mål. Disse systemene er ofte koblet til en større e-handelsløsning som nettbutikker/fakturering/lager osv., noe som kan gjøre dem til et inngangspunkt til mer kritiske systemer. Ved å være avhengig av smarte løsninger, finner detaljhandelsbedrifter seg også utsatt for løsepengevare og tjenestenektangrep som blokkerer deres evne til å foreta transaksjoner. Dessuten kan PoS-enhetene, som er små datamaskiner, brukes i store botnett-angrep," sa Maty Siman, CTO og grunnlegger av Checkmarx.
E-handelsselskaper bruker mange forskjellige leverandører for sine prosesser. Fra maskinvare og programvare til drift og finansielle tjenester, alle leverandører bruker mer tredjeparts programvare og komponenter som i sin tur også er avhengige av tredjepartskomponenter.
"Hvis en ondsinnet aktør kan utnytte eller introdusere en "bakdør" til en komponent underveis, får de i hovedsak tilgang til de ferdige løsningene som kan bli funnet senere i detaljhandel. Når alt er avhengig av programvare i disse dager, forsterker avhengigheten av åpen kildekode-programvare disse problemene, sier Siman.
Ifølge Siman er opplæring av ansatte i beste praksis innen sikkerhet avgjørende. «Data må sikkerhetskopieres regelmessig, og forhandlerbrukere bør bruke sterke passord og MFA. Nettverket som brukes til transaksjoner, må isoleres fra andre nettverk, og enhetene og programvaren deres må oppdateres og lappes regelmessig.»
Mennesker er fortsatt den mest fremtredende trusselen, sier Sean Tufts, IoT/OT-sikkerhetsleder hos Optiv. «Å ha færre ansatte eller ansikt-til-ansikt-interaksjon ved utsalgsstedet og/eller utsjekkingen fører til mer fysisk tyveri, men det åpner også disse forhandlerne for mer tukling av erfarne trusselaktører som ønsker å dra nytte av butikkens tillit. Jo mer disse maskinene blir stående uten tilsyn, desto flere grensesnitt kan og vil bli manipulert, f.eks. skimmere installert og porter tilgang til."
Kilde: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/