Dit zijn de beste en de slechtste tijden voor de IT-teams in de retail. De drukste tijd van het jaar voor de sector is ook een trekpleister voor cybercriminelen. Hoewel het in dit stadium misschien te laat is om grootschalige wijzigingen in het beveiligingsbeleid door te voeren, kan men best kijken waar de grootste bedreigingen zich bevinden en welke praktijken deze kunnen neutraliseren.
Waarom de retail en waarom juist nu?
De detailhandel wordt al geruime tijd door cybercriminelen geviseerd maar de drukste winkelperiode van het jaar is al lange tijd een gouden kans om toe te slaan. Waarom?
· Detailhandelaars beschikken over zeer winstgevende persoonlijke en financiële informatie van hun klanten, zoals kaartgegevens. Het is niet verwonderlijk dat 100% van datalekken in die Verizon vorig jaar die sector analyseerde, veroorzaakt zijn wegens een financieel motief.
· Het eindejaarseizoen is uit omzetperspectief de belangrijkste tijd van het jaar voor retailers. Ze zijn ook meer blootgesteld aan dreigingen zoals ransomware of gedistribueerde denial-of-service (DDoS) aanvallen, ontworpen om geld af te persen door het platleggen van diensten. Concurrenten kunnen DDoS-aanvallen inzetten om rivalen essentiële klanten en inkomsten te ontzeggen.
· Het is de drukste tijd van het jaar, wat betekent dat werknemers, vooral de drukbezette IT-teams, meer gefocust zijn op bedrijfsondersteuning om zoveel mogelijk inkomsten te genereren dan op cyberbedreigingen. Ze kunnen zelfs interne fraudefilters aanpassen, zodat grotere aankopen zonder toezicht kunnen worden goedgekeurd.
- Retailers vertrouwen steeds meer op digitale systemen om omnichannel-ervaringen aan te bieden, zoals cloudgebaseerde bedrijfssoftware, IoT-toestellen in de winkel en klantgerichte mobiele apps. Zo vergroten ze (vaak onbewust) het potentiële aanvalsoppervlak.
Een van de grootste datalekken ooit, vond plaats tijdens de feestdagen in 2013. Hackers stalen toen 110 miljoen klantgegevens van de Amerikaanse retailer Target.
Wat zijn nu de grootste cyberbedreigingen voor retailers?
Retailers moeten een groter aanvalsoppervlak verdedigen en het hoofd bieden aan een steeds grotere verscheidenheid aan tactieken, technieken en procedures (TTP’s) tegen vastberaden tegenstanders. Het doel van de aanvallers is het stelen van klant- en werknemersgegevens, afpersen/ontwrichten van zakendoen via DDoS, plegen van fraude of gebruiken van bots om concurrentievoordeel te hebben. Enkele cyberbedreigingen voor de detailhandel:
· Datalekken kunnen het gevolg zijn van gestolen/gekraakte/phishing-inloggegevens van werknemers of misbruik van kwetsbaarheden, zoals in web apps. Het resultaat: grote financiële en reputatieschade, zodat groeiplannen en inkomsten worden verhinderd.
· Digitale skimming (Magecart-aanvallen) vindt plaats als bedreigingsactoren kwetsbaarheden misbruiken door skimmingcode rechtstreeks op betaalpagina’s in te voegen of via een externe softwareleverancier of widget. Deze aanvallen zijn moeilijk te herkennen en kunnen onnoemelijke reputatieschade aanbrengen. Volgens Verizon waren ze vorig jaar verantwoordelijk voor 18% van de datalekken in de detailhandel.
· Ransomware is een van de grootste bedreigingen voor de detailhandel, en dreigingsactoren kunnen hun aanvallen opvoeren zodat meer bedrijven bereid zijn te betalen om hun gegevens terug te krijgen en te ontcijferen. Vooral KMO’s zijn het doelwit omdat hun beveiligingscontroles mogelijk minder efficiënt zijn.
· DDoS is een populaire methode om retailers af te persen/te ontwrichten. Vorig jaar was de sector het doelwit van bijna een vijfde (17%) van deze aanvallen – een toename van 53% op jaarbasis, met pieken tijdens Black Friday.
· Supply chain-aanvallen kunnen gericht zijn op een digitale leverancier, zoals een softwarebedrijf of zelfs een open source-repository. Ze kunnen gericht zijn op meer traditionele bedrijven in de professionele of zelfs de schoonmaaksector. De Target-inbreuk was mogelijk toen hackers netwerkgegevens van een HVAC-leverancier hadden getolen.
· Accountovernames (ATO’s) zijn mogelijk door gestolen of gekraakte inloggegevens te gebruiken. Het kan het begin zijn van grote datalekken, of gericht zijn op klanten, door credential stuffing of andere brute force-campagnes. Ook kwaadaardige bots worden gebruikt.
· Andere schadelijke botaanvallen zijn scalperen (rivalen kopen populaire goederen om ze tegen een hogere prijs door te verkopen), fraude met betalings- of cadeaubonnen en prijsschrapen (concurrenten in staat stellen prijzen te verlagen). Schadelijke bots vertegenwoordigen ongeveer 30% van het internetverkeer waarbij twee derden van de Britse websites zelfs eenvoudige aanvallen niet kunnen blokkeren. In 2022 was er een geschatte toename van 50% in het schadelijke botverkeer.
· API’s (Application Programming Interface) zijn de kern van de digitale transformatie in de detailhandel en maken meer verbonden en naadloze klantervaringen mogelijk. Verkeerde configuraties en kwetsbaarheden kunnen voor hackers ook een gemakkelijke route naar klantgegevens zijn (easy route for hackers to customer data).
Hoe kunnen retailers zich verdedigen tegen cyberrisico’s
Retailers moeten een evenwicht vinden tussen veiligheid en productiviteit van werknemers en bedrijfsgroei. Dat is niet altijd gemakkelijk omdat de hoge index (levensduurte) een grote druk uitoefent op het streven naar winst. Hier zijn 10 best practices:
· Regelmatige personeelstraining: zorgt ervoor dat medewerkers zelfs geavanceerde phishing-aanvallen kunnen herkennen zodat men over een handige laatste verdedigingslinie beschikt.
· Gegevensaudit: begrijpen welke data men heeft, waar ze zijn opgeslagen, waar ze naartoe stromen en hoe ze worden beschermd. Dit moet een onderdeel van de AVG-opvolging zijn.
· Sterke gegevensversleuteling: zodra men zijn gegevens ontdekt en geclassificeerd heeft, past men sterke versleuteling toe op de meest gevoelige informatie. Dit moet continu gebeuren.
· Risicogebaseerd patchbeheer: het belang van softwarepatches is niet te onderschatten. Maar het grote aantal nieuwe kwetsbaarheden per jaar kan overweldigend zijn. Geautomatiseerde en op risico’s gebaseerde systemen helpen bij het stroomlijnen van het proces en het geven van prioriteit aan de belangrijkste systemen en kwetsbaarheden.
· Meerlaagse beveiliging: overweeg antimalware en andere mogelijkheden op server-, endpoint-, e-mailnetwerk- en cloudniveau als preventieve barrière tegen cyberbedreigingen.
· XDR: voor bedreigingen die slagen in het omzeilen van preventieve controles, moet er een krachtige en uitgebreide detectie en respons (XDR) zijn die over meerdere lagen werkt, inclusief het opsporen van bedreigingen en de respons op incidenten.
· Supply chain beveiliging: controleer alle leveranciers, digitale partners en ook softwareleveranciers, om er zeker van te zijn dat hun beveiligingsbeleid overeenstemt met uw risicobereidheid.
· Sterke toegangscontroles: wachtwoordmanagers voor sterke, unieke wachtwoorden en multi-factor authenticatie zijn een must voor alle gevoelige accounts. Met XDR, encryptie, netwerksegregatie en preventieve controles zijn ze de basis van een Zero Trust-beveiligingsaanpak (Zero Trust security approach).
· Plannen van rampenherstel/bedrijfscontinuïteit: het herzien van de plannen zorgt ervoor dat de juiste bedrijfsprocessen en technologische hulpmiddelen aanwezig zijn.
· Incidentrespons-planning: ervoor zorgen dat de plannen waterdicht zijn en regelmatig getest worden, zodat elke belanghebbende weet wat hij in het ergste geval moet doen en dat geen tijd verloren gaat met het reageren op en het beheersen van een dreiging.
Voldoen aan de PCI DSS standaard zal voor de overgrote meerderheid van de detailhandelaars ook een essentiële vereiste zijn. Het is eerder een opportuniteit dan een last. De gedetailleerde eisen zullen bijdragen aan het opbouwen van een meer volwassen beveiligingspositie en het minimaliseren van de blootstelling aan risico’s. Technologieën zoals sterke encryptie kunnen ook de kosten en administratieve lasten van conformiteit helpen verminderen.