Киберқауіпсіздік қатерлері бөлшек сауда компанияларын алаңдатып отыр, өйткені олар Apple, Google Pay немесе басқа төлем платформалары арқылы өзін-өзі тексеруді жиі қолданады. 2005 жылдан бастап бөлшек саудагерлер көрді 10,000 XNUMX деректердің бұзылуы, негізінен төлем жүйелеріндегі кемшіліктер мен осалдықтарға байланысты.
Сату нүктесі (POS) жүйелері көбінесе сыртқы аппараттық құралдардың, бағдарламалық жасақтаманың және бұлтқа негізделген компоненттердің көптігін пайдаланады.
«Кем дегенде, бөлшек саудагерлер келісім жасасқан тараптың оларға сәйкес келетінін және компанияның өзінде бар қауіпсіздік талаптарын сақтауын қамтамасыз етуі керек. Киберқылмыскердің жүйенің артықшылығын пайдаланудың көптеген мүмкіндіктері бар, мейлі ол шешімді ұсынатын жеткізушінің көзінде болсын немесе технология орнында орналастырылған кезде болсын. POS құрылғыларында (немесе тіпті бұлттық қызметтерде) пайдаланылатын бағдарламалық құралдағы осалдықты пайдалану киберқылмыскерге POS құрылғысында зиянды бағдарламаны орналастыруға мүмкіндік беруі мүмкін. Бұл әрі қарай оларға қаржылық деректерді жинауға, төлемдік бағдарламалық құрал сияқты зиянды бағдарлама шабуылын жасауға немесе құрылғыны басқа ішкі жүйелерге қосылу үшін пайдалануға мүмкіндік береді», - деді ESET компаниясының қауіпсіздік жөніндегі бас евангелисті Тони Анскомб.
Кибершабуылдардың бөлшек саудагерлерге әсері ірі айыппұлдар, айыппұлдар, деректердің жоғалуы, қаржылық шығындар және беделге нұқсан келтіруді қамтуы мүмкін.
Сондай-ақ, бар пайдаланушылар IoT құрылғыларын пайдалану кезінде кездесетін қауіпсіздік қатерлері бөлшек саудада. Ұйымдардың 84 пайыздан астамы пайдаланады IoT құрылғылары. Дегенмен, 50%-дан азы кибершабуылдарға қарсы қатаң қауіпсіздік шараларын қабылдады. Мысалы, көптеген ұйымдар бірдей құпия сөздерді ұзақ уақыт пайдаланады, бұл дөрекі күш шабуылдарын арттырады, хакерлерге деректерді ұрлауға және өңдеуге мүмкіндік береді.
IoT құрылғыларын тұтынушылардың қозғалысын және сатып алу тарихын бақылау үшін пайдалануға болады, ал хакерлер бұл деректерге қол жеткізуі мүмкін. Бұған қоса, Apple Pay сияқты төлем платформаларын пайдаланған кезде тұтынушылар алданып қалу қаупіне ұшырауы мүмкін. Бұл алаяқтық жеке ақпаратты ұрлайтын жалған қолданбалар немесе клиенттерді несие картасының мәліметтерін енгізуге алдап соқтыратын веб-сайттар сияқты көптеген нысандарда болуы мүмкін.
«Осы жаңа төлем тетіктерін енгізу жаңа технологияны қабылдау циклінің басталғанын көрсетеді. Қауіпсіздік тұрғысынан алғанда, бұл заттар әдетте ең осал болып табылады. Оның үстіне, осы түрлендіруді басқаратын қосылған құрылғылар басқа әлдеқайда жетілген орналастыру сценарийлеріндегі ең әлсіз сілтеме болып саналады. Менің ойымша, бөлшек саудада, басқа салалардағы сияқты, біз бұл құрылғылардың тұрақты желі қатысуын алу, құпия деректерді ашу, цифрлық алаяқтықты іске қосу және т.б. үшін пайдаланатынын көреміз. Жаңа құрылғылардың өздері өте қауіпсіз болса да – бұл үлкен IF – олар әлі де өздерінің қорғанысын айналып өту үшін пайдаланылуы мүмкін IoT-мен толыққанды ортаға енгізілуде. Жаман актерлердің көзқарасы бойынша қарастыратын болсақ, бізде шабуыл бетінің ауқымды кеңеюі бар, ол бұрыннан нысанаға бай ортаға көптеген жаңа жоғары құнды «мүмкіндіктер» қосады», - деді Натали Цшува, Sternum компаниясының бас директоры және негізін қалаушы, коды жоқ, құрылғы резиденттік IoT қауіпсіздігі, бақылау және аналитикалық компания.
Әрбір IoT құрылғысының ішінде өзінің бағдарламалық қамтамасыз ету тізбегі бар. Себебі құрылғыны іске қосатын код шын мәнінде бірнеше жабық және ашық бастапқы жобалардың тіркесімі болып табылады. Осылайша, ең бірден пайда болатын қауіптердің бірі - клиенттердің құпия немесе тіпті жеке ақпаратының кибералаяқтықпен әшкереленуі. «Бұл фишинг және әлеуметтік инженерияның басқа түрлері сияқты басқа цифрлық алаяқтықтан ерекшеленеді», - деді Цшува.
«Бұл жерде нысананың қырағылық немесе тіпті бірдеңе болып жатқанына күдіктену арқылы шабуылдың алдын алу мүмкіндігі болмайды - әрине, кеш болғанша емес».
«Біз өзімізді қосылған құрылғылармен қоршаймыз, бірақ олар біз үшін «қара жәшіктер» және біз іште не болып жатқанын ешқашан білмейміз немесе білуге жолымыз жоқ».
Цшуваның айтуынша, IoT құрылғыларының көпшілігі қазірдің өзінде бірнеше (мүмкін бірнеше ондаған) әртүрлі бағдарламалық қамтамасыз ету провайдерлерінің коды бойынша жұмыс істейді, олардың кейбірін сіз ешқашан естімегенсіз. Әдетте, бұл үшінші тарап құрамдастары шифрлауға, қосылымға және басқа да сезімтал функцияларға жауап береді. Тіпті операциялық жүйе бірге пісірілген бірнеше түрлі ОЖ қоспасы болуы мүмкін».
«Бұл IoT қауіпсіздігінің негізгі мәселелерінің бірін көрсетеді, ол тағы да шабуылдың бетін кеңейту идеясына оралады. Өйткені сіз жүйеге енгізген әрбір құрылғыда сіз шынымен қосатын нәрсе бірнеше бағдарламалық қамтамасыз ету провайдерлерінің коды болып табылады, олардың әрқайсысында араласуға арналған осалдықтары бар», - деп түйіндеді Цшува.
Сатушылар өздерін және тұтынушыларын киберқауіпсіздік қатерлерінен қорғау үшін бірқатар қадамдар жасауы керек. Олар өз жүйелерінің соңғы қауіпсіздік патчтарымен жаңартылғанына көз жеткізуі керек, сонымен қатар олардың толық қауіпсіздік жоспары болуы керек. Қызметкерлер қауіпсіздік қатерлерін анықтау және оларға әрекет ету әдістерін үйретуі керек, ал тұтынушылар IoT құрылғыларын бөлшек саудада пайдалану тәуекелдері туралы хабардар болуы керек.
«Бөлшек саудагерлер өз тұтынушыларының орналасқан жерін бақылау үшін IoT-ті қабылдағандықтан, олар тұтынушылардың қозғалысы мен сатып алу әдеттері туралы бай деректер жиынтығын жасайды. Бұл жазбалар өте мұқият сақталуы керек деректер ізін жасайды, өйткені қозғалыстармен бірге ақпаратты сатып алу өте жеке әдеттерді ашуы мүмкін. Біз сатып алу кезінде бөлшек саудагерлерге бағытталған көптеген шабуылдарды көрдік және егер бұл тұтынушылардың дүкен, сауда орталығы немесе тіпті қалалар мен континенттер арқылы өтетін жолымен үйлесетін болса, тұтынушылардың зиянын өтеу үшін күшті жүгінуге болады. бөлшек сауда желілері », - деді Шон О'Брайен, Yale Privacy Lab негізін қалаушы.
Қауіптерді түсіну үшін ұйымдар бөлшек сауда кәсіпорындарының цифрлық шешімдерді қабылдауы бағдарламалық жасақтамаға тәуелді шешімдерді қабылдауды және киберқылмыскерлерге шабуылдың бетін арттыруды білдіретінін түсінуі керек.
«Бұрын механикалық бақылау-кассалық аппарат қазір тұтынушылардың төлем туралы ақпаратты өңдейтін және жинайтын «ақылды» сауда нүктесі болып табылады, бұл оларды қалаулы мақсатқа айналдырады. Бұл жүйелер көбінесе интернет-дүкендер/шоттар/инвентарлар және т.б. сияқты үлкен электрондық коммерция шешіміне қосылады, бұл оларды аса маңызды жүйелерге кіру нүктесіне айналдыруы мүмкін. Ақылды шешімдерге тәуелді болғандықтан, бөлшек сауда бизнесі транзакциялар жасау мүмкіндігін бұғаттайтын төлемдік бағдарлама мен қызмет көрсетуден бас тарту шабуылдарына бейім болады. Сондай-ақ, PoS құрылғылары кішкентай компьютерлер болғандықтан, үлкен ботнет шабуылдарында пайдаланылуы мүмкін», - деді Мати Симан, CTO және Checkmarx негізін қалаушы.
Электрондық коммерция компаниялары өз процестері үшін көптеген әртүрлі жеткізушілерді пайдаланады. Аппараттық және бағдарламалық құралдан бастап операциялар мен қаржылық қызметтерге дейін барлық жеткізушілер үшінші тараптың бағдарламалық жасақтамасы мен құрамдастарын көбірек пайдаланады, олар өз кезегінде үшінші тарап құрамдастарына да тәуелді.
«Егер зиянды актер жол бойындағы кез келген құрамдасқа «бэкдорды» пайдаланса немесе енгізе алса, олар бөлшек сауда бизнесінде кейінірек табуға болатын түпкілікті шешімдерге қол жеткізеді. Қазіргі уақытта бәрі бағдарламалық жасақтамаға сүйенетін болса, ашық бастапқы бағдарламалық жасақтамаға тәуелділік бұл мәселелерді күшейтеді », - деді Симан.
Симанның айтуынша, қызметкерлерді қауіпсіздіктің озық тәжірибелері бойынша оқыту өте маңызды. «Деректердің сақтық көшірмесін жүйелі түрде жасау керек, ал бөлшек сауда пайдаланушылары күшті құпия сөздер мен СІМ пайдалануы керек. Транзакциялар үшін пайдаланылатын желі басқа желілерден оқшаулануы керек, ал құрылғылар мен олардың бағдарламалық жасақтамасы жүйелі түрде жаңартылып, түзетіліп тұруы керек».
Optiv компаниясының IoT/OT қауіпсіздік көшбасшысы Шон Тафтстың айтуынша, адамдар әлі де ең маңызды қауіп болып табылады. «Сату орнында және/немесе тексеру орнында қызметкерлердің аз болуы немесе бетпе-бет әрекеттесу көбірек физикалық ұрлыққа әкеледі, бірақ бұл сонымен қатар бұл бөлшек саудагерлерді дүкеннің артықшылықтарын пайдаланғысы келетін қауіп төндіретін қауіпті субъектілердің көбірек бұрмалауына жол ашады. сенім. Бұл машиналар неғұрлым көп қараусыз қалса, соғұрлым көп интерфейстер манипуляциялануы мүмкін және өңделеді, мысалы, скиммерлер орнатылады және порттарға қол жеткізіледі».
Дереккөз: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/