Ancaman keselamatan siber menjadi kebimbangan yang semakin meningkat bagi syarikat runcit kerana mereka semakin mengamalkan pembayaran sendiri melalui Apple, Google Pay atau platform pembayaran lain. Sejak 2005, peruncit telah melihat lebih 10,000 pelanggaran data, terutamanya disebabkan oleh kelemahan dan kelemahan dalam sistem pembayaran.
Sistem tempat jualan (POS) selalunya menggunakan banyak perkakasan luaran, perisian dan komponen berasaskan awan.
“Sekurang-kurangnya, peruncit mesti memastikan pihak yang dikontrak mereka mematuhinya dan akan mematuhi keperluan pematuhan keselamatan yang sama seperti yang dimiliki oleh syarikat itu sendiri. Terdapat banyak peluang untuk penjenayah siber memanfaatkan sistem, sama ada ini dari sumber vendor yang menyediakan penyelesaian atau apabila teknologi itu digunakan di tapak. Mengeksploitasi kelemahan dalam perisian yang digunakan pada peranti POS (atau malah dalam perkhidmatan awan bahagian belakang) boleh membenarkan penjenayah siber menggunakan perisian hasad pada peranti POS. Ini akan membolehkan mereka mengumpul data kewangan, melakukan serangan perisian hasad seperti perisian tebusan atau menggunakan peranti untuk menyambung ke sistem dalaman lain,” kata Ketua Penginjil Keselamatan, Tony Anscombe dari ESET.
Kesan serangan siber terhadap peruncit mungkin termasuk denda yang tinggi, penalti, kehilangan data, kerugian kewangan dan kerosakan reputasi.
Terdapat juga ancaman keselamatan yang dihadapi pengguna apabila menggunakan peranti IoT secara runcit. Lebih 84 peratus organisasi menggunakan Peranti IoT. Walau bagaimanapun, kurang daripada 50% telah mengambil langkah keselamatan yang kukuh terhadap serangan siber. Sebagai contoh, kebanyakan organisasi menggunakan kata laluan yang sama untuk masa yang lama, yang meningkatkan serangan kekerasan, membolehkan penggodam mencuri dan memanipulasi data.
Peranti IoT boleh digunakan untuk menjejaki pergerakan pelanggan dan sejarah pembelian, dan penggodam berpotensi mendapat akses kepada data ini. Selain itu, pelanggan boleh berisiko ditipu apabila menggunakan platform pembayaran seperti Apple Pay. Penipuan ini boleh berlaku dalam pelbagai bentuk, seperti apl palsu yang mencuri maklumat peribadi atau tapak web yang menipu pelanggan untuk memasukkan butiran kad kredit mereka.
“Pengenalan mekanisme pembayaran baharu ini menandakan permulaan kitaran penggunaan teknologi baharu. Dari sudut pandangan keselamatan, ini adalah apabila keadaan biasanya paling terdedah. Apatah lagi, peranti bersambung yang memacu transformasi ini sudah dianggap sebagai pautan paling lemah dalam senario penggunaan lain yang lebih matang. Saya percaya bahawa dalam runcit, sama seperti dalam industri lain, kita akan melihat peranti ini dieksploitasi untuk mendapatkan kehadiran rangkaian yang berterusan, mendedahkan data sensitif, menjalankan penipuan digital dan banyak lagi. Dan walaupun peranti baharu itu sendiri sangat selamat – dan ini adalah JIKA yang besar – ia masih diperkenalkan ke dalam persekitaran yang penuh dengan IoT warisan, yang boleh digunakan untuk memintas pertahanan mereka sendiri. Melihat perkara-perkara dari perspektif pelakon jahat, apa yang kita ada di sini ialah pengembangan besar-besaran permukaan serangan - satu yang menambah banyak "peluang" bernilai tinggi baharu kepada persekitaran yang sedia menjadi kaya sasaran," kata Natali Tshuva, Ketua Pegawai Eksekutif dan pengasas bersama Sternum, syarikat keselamatan, pemerhatian dan analitik IoT bebas kod dan pemastautin peranti.
Setiap peranti IoT mempunyai rantaian bekalan perisian sendiri di dalamnya. Ini kerana kod yang menjalankan peranti sebenarnya adalah gabungan beberapa projek sumber tertutup dan terbuka. Oleh itu, salah satu ancaman yang paling serta-merta ialah pendedahan maklumat sensitif atau peribadi pelanggan dengan penipuan siber. "Ini berbeza daripada penipuan digital lain, seperti pancingan data dan jenis kejuruteraan sosial lain" kata Tshuva.
"Di sini sasaran tidak akan mempunyai pilihan untuk menghalang serangan melalui kewaspadaan atau mengesyaki bahawa sesuatu sedang berlaku - sudah tentu tidak sehingga sudah terlambat".
“Kami mengelilingi diri kami dengan peranti yang bersambung, tetapi ia adalah 'kotak hitam' kepada kami dan kami tidak pernah benar-benar tahu – atau mempunyai cara untuk mengetahui – apa yang sebenarnya berlaku di dalam”.
Menurut Tshuva, kebanyakan peranti IoT hari ini sudah berjalan menggunakan kod daripada beberapa (mungkin beberapa dozen) pembekal perisian yang berbeza, beberapa daripadanya anda tidak pernah mendengarnya. Biasanya, komponen pihak ketiga ini adalah yang bertanggungjawab ke atas penyulitan, ketersambungan dan fungsi sensitif yang lain. Malah sistem pengendalian boleh menjadi gabungan beberapa OS berbeza yang dibakar bersama".
“Ini mendedahkan salah satu cabaran utama keselamatan IoT yang, sekali lagi, kembali kepada idea untuk mengembangkan permukaan serangan. Kerana dengan setiap peranti yang anda perkenalkan kepada sistem, apa yang sebenarnya anda tambahkan ialah gabungan kod daripada beberapa pembekal perisian, masing-masing mempunyai kelemahan sendiri untuk dicurahkan ke dalam campuran,” tutup Tshuva.
Peruncit perlu mengambil beberapa langkah untuk melindungi diri mereka dan pelanggan mereka daripada ancaman keselamatan siber. Mereka harus memastikan bahawa sistem mereka dikemas kini dengan patch keselamatan terkini, dan mereka juga harus mempunyai pelan keselamatan yang komprehensif. Pekerja harus dilatih dalam cara mengenal pasti dan bertindak balas terhadap ancaman keselamatan, dan pelanggan harus dimaklumkan tentang risiko menggunakan peranti IoT secara runcit.
“Apabila peruncit mengguna pakai IoT untuk pengawasan lokasi pelanggan mereka, mereka membina set data yang kaya tentang pergerakan dan tabiat pembelian pengguna. Rekod ini mencipta jejak data yang mesti dijaga dengan sangat berhati-hati kerana maklumat pembelian ditambah dengan pergerakan boleh mendedahkan tabiat yang sangat peribadi. Kami telah melihat pelbagai serangan yang disasarkan ke atas peruncit pada masa pembelian dan, jika ini boleh ditambah dengan laluan yang dilalui pelanggan melalui kedai, pusat membeli-belah, atau bahkan merentasi bandar dan benua, pengguna akan mempunyai tindakan tegas untuk ganti rugi terhadap rantaian runcit,” kata Sean O'Brien, pengasas Yale Privacy Lab.
Untuk memahami ancaman, organisasi perlu memahami bahawa menerima pakai penyelesaian digital oleh perniagaan runcit bermakna menggunakan penyelesaian yang bergantung kepada perisian dan meningkatkan permukaan serangan untuk penjenayah siber.
“Apa yang dahulunya merupakan daftar tunai mekanikal kini menjadi tempat jualan “pintar” yang memproses dan mengumpul maklumat pembayaran pelanggan, menjadikan mereka sasaran yang diingini. Sistem ini sering disambungkan kepada penyelesaian e-dagang yang lebih hebat seperti kedai/pengebilan/inventori dalam talian, dsb., yang mungkin menjadikannya titik masuk kepada sistem yang lebih kritikal. Bergantung pada penyelesaian pintar, perniagaan runcit juga mendapati diri mereka terdedah kepada serangan perisian tebusan dan penafian perkhidmatan yang menyekat keupayaan mereka untuk membuat transaksi. Selain itu, peranti PoS, sebagai komputer kecil, boleh digunakan dalam serangan botnet yang besar,” kata Maty Siman, CTO dan pengasas Checkmarx.
Syarikat e-dagang menggunakan banyak vendor yang berbeza untuk proses mereka. Daripada perkakasan dan perisian kepada operasi dan perkhidmatan kewangan, semua vendor menggunakan lebih banyak perisian dan komponen pihak ketiga yang, seterusnya, juga bergantung kepada komponen pihak ketiga.
"Jika pelakon berniat jahat boleh mengeksploitasi atau memperkenalkan" pintu belakang "kepada mana-mana komponen di sepanjang jalan, mereka pada dasarnya mendapat akses kepada penyelesaian muktamad yang boleh didapati kemudian dalam perniagaan runcit. Apabila segala-galanya bergantung pada perisian hari ini, pergantungan pada perisian sumber terbuka meningkatkan isu ini, "kata Siman.
Menurut Siman, pendidikan pekerja tentang amalan terbaik keselamatan adalah penting. “Data perlu disandarkan dengan kerap, dan pengguna peruncit harus menggunakan kata laluan dan MFA yang kukuh. Rangkaian yang digunakan untuk urus niaga perlu diasingkan daripada rangkaian lain, dan peranti serta perisiannya perlu dikemas kini dan ditampal secara kerap.”
Manusia masih menjadi ancaman yang paling menonjol, kata Sean Tufts, ketua keselamatan IoT/OT di Optiv. “Mempunyai lebih sedikit pekerja atau interaksi bersemuka di tempat jualan dan/atau daftar keluar membawa kepada lebih banyak kecurian fizikal, tetapi ia juga membuka peruncit ini kepada lebih banyak gangguan oleh pelaku ancaman yang bijak yang ingin mengambil kesempatan daripada kedai. amanah. Lebih banyak mesin ini dibiarkan tanpa pengawasan, lebih banyak antara muka boleh dan akan dimanipulasi, contohnya skimmer dipasang dan port diakses.”
Sumber: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/