Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

Информационная безопасность в ритейле: многоуровневый подход и план реагирования

08:29, 16 Января 2019 Количество просмотров 3889 просмотров Оставить комментарий

Vasily Dyagilev_Check Point_2.jpgВасилий Дягилев, глава представительства Check Point Software Technologies в России и СНГ

Ритейл сегодня – это миллионы клиентов и их кредитных карт, новые технологии для распознавания людей и моментальной оплаты товаров, — по данным аналитического центра НАФИ, каждый десятый россиянин пользуется смартфоном для бесконтактной оплаты товаров. На протяжении многих лет злоумышленники разрабатывали все более изощренные способы атак на POS-терминалы и розничные сети. Каждый третий ритейлер уже подвергался атакам хакеров, и размах, и опасность этих атак только возрастают.

Онлайн- и офлайн-ритейл: атакуют всех

Киберпреступники активно пытаются похитить персональные и финансовые данные потребителей, которые они сообщают при совершении интернет-покупок, а также участвуя в цифровых маркетинговых кампаниях и программах лояльности. Неудивительно, что более трети всех ритейлеров уже стали жертвами атак злоумышленников.

Похищенные сведения продаются на черном рынке по цене до 20 долларов США за запись, поэтому информация по кредитным картам, личные контактные данные, даты рождения и покупательские предпочтения – то, на что виртуальные воры нацелены в первую очередь.

Пример этой ситуации – взлом систем ритейлера GameStop. Успешно похитив имена, адреса и реквизиты банковских карт заказчиков, включая CV-коды, хакеры выставили их на продажу в даркнете.

Кроме того, компания Forever 21 пополнила список жертв, пострадавших от атак на торговые терминалы. Среди них такие ритейлеры, как Chipotle, Kmart, Brooks Brothers, Target и T.J.Maxx. В случае с Forever 21 хакеры получили доступ к платежной информации потребителей, отключив шифрование на POS-устройствах – технологию, которую торговая сеть внедрила всего два года назад.

Как показало наше исследование сайта интернет-магазина AliExpress, еще один популярный метод, с помощью которого злоумышленники воруют клиентскую информацию у ритейлеров – фишинг. В данном случае он использовался в сочетании с XSS-атакой, чтобы повысить уверенность пользователя в том, что на сайте не происходит ничего необычного. Действительно, в течение прошлого года преступники использовали имена таких крупных розничных продавцов, как Amazon, Best Buy, Walmart и Nike, чтобы вовлечь потребителей в мошеннические схемы с использованием интернет-магазинов.

Ущерб, который при этом наносится репутации организаций, а также сопутствующие финансовые издержки, могут быть огромными. По некоторым оценкам, каждая украденная клиентская запись в среднем обходится компании в 172 доллара США. В эту сумму входят расходы на устранение последствий взлома, коммерческие потери вследствие простоя, нормативные штрафы и юридические издержки. Кроме того, по данным наших опросов, если ритейлер подвергся нападению со стороны киберпреступников, около 20% покупателей не будут пользоваться этим магазином. Это высокая цена, которую приходится платить за то, чего можно избежать.

Что делать?

В мае 2018 года вступил в силу Общий регламент ЕС по защите данных (GDPR). Этот документ будет иметь далеко идущие последствия для ритейлеров, в том числе для тех, которые работают в международном масштабе. Чтобы избежать последствий хищений данных, компаниям необходимо принять стратегию безопасности, основанную на внедрении динамичных архитектур с современными защитами, работающими в режиме реального времени.

В первую очередь, в рамках этой общей стратегии Стандарты Безопасности Данных Платежных Карт (PCI DSS) должны стать повседневными бизнес-операциями. Для этого необходим активный мониторинг работы защитных систем, обеспечивающий эффективную и надлежащую их эксплуатацию. Второе условие – применение политик аудита безопасности в режиме реального времени и гарантия правильности настроек и эксплуатации средств контроля защиты, например, межсетевого экрана, антивируса, систем IPS (для предотвращения вторжений) и DLP (для предотвращения потери данных).

Ритейлеры, которые используют POS-терминалы, также обязаны обеспечить сквозное шифрование всех транзакций с кредитными картами — это позволит обезопасить данные потребителей. Особенно важно изменить точку зрения на защиту сети: это больше не единый периметр, а множество разнообразных точек доступа.

Жизненно необходим многоуровневый подход, охватывающий обязательное исполнение, контроль и управление. Мы рекомендуем выстроить план безопасности вокруг шлюза и терминалов. Эта система должна обнаруживать и блокировать вредоносное ПО, предназначенное для заражения устройств, сбора и извлечения клиентских данных. Еще одно необходимое условие – политики безопасности и автоматизированные защиты, настроенные администратором, должны содержать конкретные, обязательные к соблюдению правила по управлению доступом и работе с данными.

Наконец, у бизнеса должен быть план действий на случай атаки. Это позволит избежать ущерба для репутации и коммерческой деятельности компании. Такой план должен быть отработан, чтобы все задействованные в нем участники знали свою роль и порядок взаимодействия с другими членами команды реагирования.

Понравился материал? Поделись

Подпишитесь на новостную рассылку


Статьи из этого раздела

15.02.2019 Количество просмотров 260 просмотров
Технологии ресторанной автоматизации: новые задачи и их решения
«Retail & Loyalty» разбирается, какие новые возможности появляются у рестораторов в России и за рубежом.
14.02.2019 Количество просмотров 836 просмотров
Основы нормирования: как и зачем выделять рабочие процессы
Как определить рабочие процессы? Чем они отличаются? Как быстро будет заметен результат? Ответ на эти и другие вопросы - в статье Дмитрия Бельского, директора по развитию продукта компании Verme.
08.02.2019 Количество просмотров 2553 просмотра
Гарри Фридман: Текучка кадров – боретесь или способствуете?
Можно придумать много причин, способных объяснить высокую текучку кадров, однако в реальности все сводится к одному: сотрудники просто перестают видеть перспективы.
Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065