Netöryggisógnir eru vaxandi áhyggjuefni fyrir smásölufyrirtæki þar sem þau taka í auknum mæli upp sjálfsafgreiðslu í gegnum Apple, Google Pay eða aðra greiðslumiðla. Síðan 2005 hafa smásalar séð yfir 10,000 gagnabrot, aðallega vegna galla og veikleika í greiðslukerfum.
Sölustaðakerfi (POS) nota oft ofgnótt af ytri vélbúnaði, hugbúnaði og skýjatengdum íhlutum.
„Að minnsta kosti verða smásalar að tryggja að samningsaðili þeirra fari að þeim og fylgi sömu öryggiskröfum og fyrirtækið sjálft hefur. Það eru fjölmörg tækifæri fyrir netglæpamenn að nýta sér kerfið, hvort sem það er hjá söluaðilanum sem gefur lausnina eða þegar tæknin er notuð á staðnum. Að nýta sér varnarleysi í hugbúnaðinum sem notaður er á POS tækjum (eða jafnvel í bakhlið skýjaþjónustunnar) gæti gert netglæpamanni kleift að dreifa spilliforritum á POS tækinu. Þetta myndi enn frekar gera þeim kleift að safna fjárhagsgögnum, valda spilliforritaárás eins og lausnarhugbúnaði eða nota tækið til að tengjast öðrum innri kerfum,“ sagði aðalöryggisboði Tony Anscombe frá ESET.
Áhrif netárása á smásala geta falið í sér háar sektir, viðurlög, gagnatap, fjárhagslegt tap og mannorðsskaða.
Það eru einnig öryggisógnir sem notendur standa frammi fyrir þegar þeir nota IoT tæki í smásölu. Yfir 84 prósent stofnana nota IoT tæki. Hins vegar hafa innan við 50% gripið til traustra öryggisráðstafana gegn netárásum. Til dæmis nota flestar stofnanir sömu lykilorðin í langan tíma, sem eykur árásir á brute force, sem gerir tölvuþrjótum kleift að stela og vinna með gögn.
Hægt er að nota IoT tæki til að fylgjast með hreyfingum viðskiptavina og kaupsögu og tölvuþrjótar gætu hugsanlega fengið aðgang að þessum gögnum. Að auki gætu viðskiptavinir átt á hættu að verða sviknir þegar þeir nota greiðslumiðla eins og Apple Pay. Þessi svindl getur tekið á sig ýmsar myndir, svo sem fölsuð forrit sem stela persónulegum upplýsingum eða vefsíður sem blekkja viðskiptavini til að slá inn kreditkortaupplýsingar þeirra.
„Innleiðing þessara nýju greiðslumáta gefur til kynna upphaf nýrrar tækniupptökuferlis. Frá öryggissjónarmiði er þetta þegar hlutirnir eru venjulega viðkvæmastir. Það sem meira er, tengd tæki sem knýja þessa umbreytingu eru nú þegar talin veikasti hlekkurinn í öðrum miklu þroskaðri dreifingaratburðarás. Ég tel að í smásölu, rétt eins og í öðrum atvinnugreinum, munum við sjá þessi tæki vera nýtt til að ná viðvarandi netviðveru, afhjúpa viðkvæm gögn, keyra stafræn svindl og fleira. Og jafnvel þó að nýju tækin séu afar örugg sjálf – og þetta er stór EF – eru þau enn að koma inn í umhverfi fullt af arfleifð IoT, sem hægt er að nota til að sniðganga eigin varnir. Þegar litið er á hlutina frá sjónarhorni slæmu leikaranna, þá er það sem við höfum hér stórfellda stækkun á árásaryfirborðinu – sem bætir mörgum nýjum og verðmætum „tækifærum“ við það sem þegar var markaríkt umhverfi,“ sagði Natali Tshuva, Forstjóri og stofnandi Sternum, kóðalauss IoT-öryggis-, athugunar- og greiningarfyrirtækis sem býr í tækjum.
Hvert IoT tæki hefur sína eigin hugbúnaðarkeðju inni. Þetta er vegna þess að kóðinn sem keyrir tækið er í raun sambland af nokkrum lokuðum og opnum hugbúnaði. Sem slík er ein af þeim ógnunum sem er strax til staðar að afhjúpa viðkvæmar eða jafnvel persónulegar upplýsingar viðskiptavina með netsvikum. „Þetta er frábrugðið öðrum stafrænum svindli, eins og vefveiðum og öðrum tegundum félagsverkfræði,“ sagði Tshuva.
„Hér mun skotmarkið ekki hafa möguleika á að koma í veg fyrir árásina með árvekni eða jafnvel gruna að eitthvað sé að gerast – alls ekki fyrr en það er of seint“.
„Við umkringjum okkur tengdum tækjum, en þau eru „svartir kassar“ fyrir okkur og við vitum í raun og veru aldrei – eða höfum leiðir til að vita – hvað er raunverulega að gerast inni“.
Samkvæmt Tshuva keyra flest IoT tæki í dag nú þegar á kóða frá nokkrum (kannski nokkrum tugum) mismunandi hugbúnaðarveitenda, sum þeirra hefur þú aldrei heyrt um. Venjulega eru þessir íhlutir þriðja aðila þeir sem sjá um dulkóðun, tengingar og aðrar viðkvæmar aðgerðir. Og jafnvel stýrikerfið gæti verið blanda af nokkrum mismunandi stýrikerfum bökuð saman“.
„Þetta afhjúpar eina af helstu áskorunum IoT-öryggis sem aftur gengur aftur til hugmyndarinnar um að stækka árásarflötinn. Vegna þess að með hverju tæki sem þú kynnir fyrir kerfinu, þá er það sem þú ert í raun að bæta við kóðasamsetningu frá nokkrum hugbúnaðarveitum, hver og einn með sína eigin veikleika til að hella í blönduna,“ sagði Tshuva að lokum.
Söluaðilar þurfa að grípa til ýmissa aðgerða til að vernda sig og viðskiptavini sína gegn netöryggisógnum. Þeir ættu að tryggja að kerfi þeirra séu uppfærð með nýjustu öryggisplástunum og þeir ættu einnig að hafa yfirgripsmikla öryggisáætlun til staðar. Starfsmenn ættu að fá þjálfun í því að bera kennsl á og bregðast við öryggisógnum og viðskiptavinir ættu að vera meðvitaðir um áhættuna af notkun IoT-tækja í smásölu.
„Þegar smásalar nota IoT til að fylgjast með staðsetningu viðskiptavina sinna, byggja þeir upp rík gagnasöfn um hreyfingar og kaupvenjur neytenda. Þessar skrár búa til gagnaslóð sem þarf að gæta mjög vandlega þar sem kaupupplýsingar ásamt hreyfingum geta leitt í ljós afar persónulegar venjur. Við höfum séð mýgrút af markvissum árásum á smásala á kaupstaðnum og ef hægt er að tengja þetta við þá leið sem viðskiptavinir fara í gegnum verslun, verslunarmiðstöð eða jafnvel þvert á borgir og heimsálfur munu neytendur eiga sterka kröfu um skaðabætur gegn verslunarkeðjur,“ sagði Sean O'Brien, stofnandi Yale Privacy Lab.
Til að skilja ógnirnar þurfa stofnanir að skilja að það að taka upp stafrænar lausnir af smásölufyrirtækjum þýðir að taka upp hugbúnaðarháðar lausnir og auka árásaryfirborð fyrir netglæpamenn.
„Það sem áður var vélrænn sjóðvél er nú „snjall“ sölustaður sem vinnur og safnar greiðsluupplýsingum viðskiptavina, sem gerir þá að eftirsóknarverðu skotmarki. Þessi kerfi eru oft tengd stærri rafrænum viðskiptalausnum eins og netverslunum/innheimtu/birgðum o.s.frv., sem gæti gert þau að aðgangsstað að mikilvægari kerfum. Vera háð snjöllum lausnum, finna smásölufyrirtæki sig einnig viðkvæm fyrir lausnarhugbúnaði og afneitun-á-þjónustuárásum sem hindra getu þeirra til að gera viðskipti. Einnig er hægt að nota PoS tækin, sem eru litlar tölvur, í stórum botnetárásum,“ sagði Maty Siman, tæknistjóri og stofnandi Checkmarx.
Rafræn viðskipti nota marga mismunandi söluaðila fyrir ferla sína. Allt frá vélbúnaði og hugbúnaði til rekstrar og fjármálaþjónustu, allir söluaðilar nota meira þriðja aðila hugbúnað og íhluti sem aftur á móti eru einnig háðir íhlutum þriðja aðila.
„Ef illgjarn leikari getur nýtt sér eða kynnt „bakdyr“ fyrir einhvern íhlut á leiðinni, þá er hann í rauninni að fá aðgang að endanlegum lausnum sem hægt er að finna síðar í smásölufyrirtækjum. Þegar allt byggist á hugbúnaði þessa dagana, eykur traustið á opnum hugbúnaði þessi mál,“ sagði Siman.
Að sögn Simans er fræðsla starfsmanna um bestu starfsvenjur í öryggismálum nauðsynleg. „Taka þarf öryggisafrit af gögnum reglulega og notendur smásöluaðila ættu að nota sterk lykilorð og MFA. Netið sem notað er fyrir viðskipti þarf að vera einangrað frá öðrum netum og tækin og hugbúnaður þeirra þarf að uppfæra reglulega og laga.“
Menn eru enn mest áberandi ógnin, segir Sean Tufts, IoT/OT öryggisleiðtogi hjá Optiv. „Að hafa færri starfsmenn eða samskipti augliti til auglitis á sölu- og/eða útskráningarstað leiðir til meiri líkamlegs þjófnaðar, en það opnar líka þessa smásöluaðila fyrir meira tjóni af glöggum ógnarleikurum sem vilja nýta sér verslunina. treysta. Því meira sem þessar vélar eru látnar vera eftirlitslausar, því fleiri viðmót er hægt og verður hægt að vinna með, td skúmar uppsettir og hafnir aðgengilegar.“
Heimild: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/