Apple, Google Pay veya diğer ödeme platformları aracılığıyla otomatik ödeme işlemlerini giderek daha fazla benimseyen perakende şirketleri için siber güvenlik tehditleri giderek artan bir endişe kaynağı haline geliyor. 2005'ten bu yana perakendeciler şunu gördü: 10,000 veri ihlaliesas olarak ödeme sistemlerindeki kusurlar ve güvenlik açıklarından kaynaklanmaktadır.
Satış noktası (POS) sistemleri genellikle çok sayıda harici donanım, yazılım ve bulut tabanlı bileşen kullanır.
“Perakendeciler en azından sözleşme yaptıkları tarafın kendilerine uymasını sağlamalı ve şirketin sahip olduğu güvenlik uyumluluğu gerekliliklerinin aynısını gözlemlemelidir. Bir siber suçlunun sistemden faydalanması için çok sayıda fırsat vardır; bu, ister çözümü sağlayan satıcının kaynağında olsun, ister teknolojinin sahada konuşlandırılması sırasında olsun. POS cihazlarında (veya hatta arka uç bulut hizmetlerinde) kullanılan yazılımdaki bir güvenlik açığından yararlanmak, bir siber suçlunun POS cihazına kötü amaçlı yazılım yerleştirmesine olanak tanıyabilir. Bu aynı zamanda finansal verileri toplamalarına, fidye yazılımı gibi kötü amaçlı yazılım saldırılarına neden olmalarına veya cihazı diğer dahili sistemlere bağlanmak için kullanmalarına da olanak tanıyacak," dedi ESET'ten Baş Güvenlik Evangelisti Tony Anscombe.
Siber saldırıların perakendeciler üzerindeki etkileri arasında ağır para cezaları, cezalar, veri kaybı, mali kayıplar ve itibar kaybı yer alabilir.
Ayrıca, var Kullanıcıların IoT cihazlarını kullanırken karşılaştığı güvenlik tehditleri perakende olarak. Kuruluşların yüzde 84'ünden fazlası kullanıyor IOT cihazları. Ancak %50'den azı siber saldırılara karşı sağlam güvenlik önlemleri aldı. Örneğin, çoğu kuruluş aynı parolaları uzun süre kullanır; bu da kaba kuvvet saldırılarını artırır ve bilgisayar korsanlarının verileri çalmasına ve manipüle etmesine olanak tanır.
Nesnelerin İnterneti cihazları müşterilerin hareketlerini ve satın alma geçmişlerini takip etmek için kullanılabilir ve bilgisayar korsanları potansiyel olarak bu verilere erişim sağlayabilir. Ayrıca müşteriler Apple Pay gibi ödeme platformlarını kullanırken dolandırılma riskiyle karşı karşıya kalabilir. Bu dolandırıcılıklar, kişisel bilgileri çalan sahte uygulamalar veya müşterileri kredi kartı bilgilerini girmeleri için kandıran web siteleri gibi birçok biçimde olabilir.
"Bu yeni ödeme mekanizmalarının uygulamaya konması, yeni bir teknoloji benimseme döngüsünün başlangıcına işaret ediyor. Güvenlik açısından bakıldığında bu, olayların genellikle en savunmasız olduğu zamandır. Dahası, bu dönüşümü yönlendiren bağlantılı cihazlar, diğer çok daha olgun dağıtım senaryolarındaki en zayıf halka olarak kabul ediliyor. Diğer sektörlerde olduğu gibi perakende sektöründe de bu cihazların kalıcı ağ varlığı elde etmek, hassas verileri ifşa etmek, dijital dolandırıcılık yapmak ve daha fazlası için istismar edildiğini göreceğimize inanıyorum. Ve yeni cihazlar son derece güvenli olsalar bile (ki bu büyük bir IF'dir), kendi savunmalarını aşmak için kullanılabilecek eski IoT ile ağzına kadar dolu bir ortama tanıtılıyorlar. Olaylara kötü aktörlerin bakış açısıyla baktığımızda, saldırı yüzeyinin devasa bir genişlemesiyle karşı karşıyayız; bu da zaten hedef açısından zengin bir ortama birçok yeni yüksek değerli “fırsat” ekliyor,” dedi Natali Tshuva. Kod içermeyen, cihazda yerleşik bir IoT güvenlik, gözlem ve analiz şirketi olan Sternum'un CEO'su ve kurucu ortağı.
Her IoT cihazının içinde kendi yazılım tedarik zinciri vardır. Bunun nedeni, cihazı çalıştıran kodun aslında birkaç kapalı ve açık kaynaklı projenin birleşimi olmasıdır. Bu nedenle, en acil tehditlerden biri, müşterilerin hassas ve hatta kişisel bilgilerinin siber dolandırıcılık yoluyla açığa çıkmasıdır. Tshuva, "Bu, kimlik avı ve diğer sosyal mühendislik türleri gibi diğer dijital dolandırıcılıklardan farklı" dedi.
"Burada hedefin, saldırıyı ihtiyatlı davranarak veya hatta bir şeyler olduğundan şüphelenerek önleme seçeneği olmayacak; kesinlikle çok geç olana kadar."
“Kendimizi bağlantılı cihazlarla çevreliyoruz, ancak bunlar bizim için 'kara kutular' ve içeride gerçekte neler olup bittiğini hiçbir zaman gerçekten bilmiyoruz veya bilmenin bir yolu yok”.
Tshuva'ya göre, bugün çoğu IoT cihazı halihazırda, bazılarının adını hiç duymadığınız birkaç (belki birkaç düzine) farklı yazılım sağlayıcısının koduyla çalışıyor. Genellikle bu üçüncü taraf bileşenler şifreleme, bağlantı ve diğer hassas işlevlerden sorumlu olanlardır. Hatta işletim sistemi bile birkaç farklı işletim sisteminin bir araya getirilmesinin bir karışımı olabilir”.
"Bu, IoT güvenliğinin en büyük zorluklarından birini ortaya çıkarıyor ve bu da yine saldırı yüzeyini genişletme fikrine dayanıyor. Çünkü sisteme tanıttığınız her cihazda, aslında eklediğiniz şey, her biri kendi güvenlik açıklarına sahip çeşitli yazılım sağlayıcılarının oluşturduğu kod karışımıdır," diye tamamladı Tshuva.
Perakendecilerin kendilerini ve müşterilerini siber güvenlik tehditlerinden korumak için bir takım adımlar atması gerekiyor. Sistemlerinin en son güvenlik yamalarıyla güncel olduğundan emin olmalı ve ayrıca kapsamlı bir güvenlik planına sahip olmalıdırlar. Çalışanlara güvenlik tehditlerini nasıl tanımlayacakları ve bunlara nasıl müdahale edecekleri konusunda eğitim verilmeli ve müşteriler, IoT cihazlarını perakendede kullanmanın riskleri konusunda bilinçlendirilmelidir.
“Perakendeciler müşterilerinin konum gözetimi için IoT'yi benimsedikçe tüketicilerin hareketleri ve satın alma alışkanlıkları hakkında zengin veri kümeleri oluşturuyorlar. Bu kayıtlar, satın alma bilgilerinin hareketlerle birleştiğinde son derece özel alışkanlıkları ortaya çıkarabileceğinden, çok dikkatli bir şekilde korunması gereken bir veri izi oluşturur. Satın alma noktasında perakendecilere yönelik çok sayıda hedefli saldırı gördük ve eğer bu, müşterilerin bir mağazadan, alışveriş merkezinden, hatta şehirler ve kıtalar arasında izlediği yol ile birleştirilebilirse, tüketiciler, perakende zincirleri," dedi Yale Privacy Lab'ın kurucusu Sean O'Brien.
Tehditleri anlamak için kuruluşların, perakende işletmelerinin dijital çözümleri benimsemesinin, yazılıma bağımlı çözümleri benimsemek ve siber suçlulara yönelik saldırı yüzeyini artırmak anlamına geldiğini anlaması gerekir.
“Eskiden mekanik yazar kasa olan şey, artık müşteri ödeme bilgilerini işleyen ve toplayan, onları arzu edilen bir hedef haline getiren “akıllı” bir satış noktası haline geldi. Bu sistemler sıklıkla çevrimiçi mağazalar/faturalandırma/envanter vb. gibi daha büyük bir e-ticaret çözümüne bağlıdır ve bu da onları daha kritik sistemlere giriş noktası haline getirebilir. Akıllı çözümlere bağımlı olan perakende işletmeleri, işlem yapma yeteneklerini engelleyen fidye yazılımlarına ve hizmet reddi saldırılarına karşı da kendilerini savunmasız buluyor. Ayrıca küçük bilgisayarlar olan PoS cihazları büyük botnet saldırılarında kullanılabilir” dedi Checkmarx'ın CTO'su ve kurucusu Maty Siman.
E-ticaret firmaları süreçleri için birçok farklı satıcıyı kullanır. Donanım ve yazılımdan operasyonlara ve finansal hizmetlere kadar tüm satıcılar daha fazla üçüncü taraf yazılım ve bileşenleri kullanıyor ve bu yazılımlar da üçüncü taraf bileşenlere bağımlı oluyor.
“Kötü niyetli bir aktör yol boyunca herhangi bir bileşene bir “arka kapı” açabilir veya bu bileşene bir “arka kapı” açabilirse, aslında perakende işletmelerinde daha sonra bulunabilecek nihai çözümlere erişim elde etmiş olur. Günümüzde her şeyin yazılıma dayandığı günümüzde, açık kaynaklı yazılımlara olan bağımlılık bu sorunları daha da yoğunlaştırıyor” dedi Siman.
Siman'a göre çalışanların en iyi güvenlik uygulamaları konusunda eğitimi çok önemli. "Verilerin düzenli olarak yedeklenmesi gerekiyor ve perakendeci kullanıcılarının güçlü şifreler ve MFA kullanması gerekiyor. İşlemler için kullanılan ağın diğer ağlardan izole edilmesi, cihazların ve yazılımlarının düzenli olarak güncellenmesi ve yama uygulanması gerekiyor."
Optiv IoT/OT güvenlik lideri Sean Tufts, insanların hâlâ en önemli tehdit olduğunu söylüyor. "Daha az çalışana sahip olmak veya satış noktasında ve/veya kasada yüz yüze etkileşim, daha fazla fiziksel hırsızlığa yol açıyor, ancak aynı zamanda bu perakendecileri, bir mağazanın güvenlik avantajlarından yararlanmak isteyen bilgili tehdit aktörlerinin daha fazla kurcalamasına da açık hale getiriyor." güven. Bu makineler ne kadar gözetimsiz bırakılırsa, o kadar fazla arayüz manipüle edilebilir ve edilecektir; örneğin, skimmerlerin kurulması ve bağlantı noktalarına erişilmesi gibi.
Kaynak: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/