Cyberbeveiligingsbedreigingen zijn een toenemende zorg voor retailbedrijven, aangezien ze steeds vaker self-checkouts gebruiken via Apple, Google Pay of andere betalingsplatforms. Sinds 2005 hebben retailers meer dan 10,000 datalekken, voornamelijk als gevolg van gebreken en kwetsbaarheden in betalingssystemen.
Point of sale (POS)-systemen maken vaak gebruik van een overvloed aan externe hardware, software en cloudgebaseerde componenten.
“Retailers moeten er minimaal voor zorgen dat hun opdrachtnemer hieraan voldoet en dezelfde security compliance-eisen in acht nemen die het bedrijf zelf heeft. Er zijn talloze mogelijkheden voor een cybercrimineel om te profiteren van het systeem, of dit nu bij de bron is van de leverancier die de oplossing levert of wanneer de technologie ter plaatse wordt ingezet. Door misbruik te maken van een kwetsbaarheid in de software die wordt gebruikt op POS-apparaten (of zelfs in de back-end cloudservices) kan een cybercrimineel malware op het POS-apparaat implementeren. Dit zou hen verder in staat stellen financiële gegevens te verzamelen, een malware-aanval zoals ransomware uit te voeren of het apparaat te gebruiken om verbinding te maken met andere interne systemen”, zegt Tony Anscombe, Chief Security Evangelist van ESET.
De gevolgen van cyberaanvallen voor retailers kunnen hoge boetes, boetes, gegevensverlies, financiële verliezen en reputatieschade omvatten.
Er zijn ook beveiligingsbedreigingen waarmee gebruikers worden geconfronteerd bij het gebruik van IoT-apparaten in de detailhandel. Meer dan 84 procent van de organisaties gebruikt IoT-apparaten. Minder dan 50% heeft echter solide beveiligingsmaatregelen genomen tegen cyberaanvallen. De meeste organisaties gebruiken bijvoorbeeld lange tijd dezelfde wachtwoorden, waardoor brute force-aanvallen toenemen, waardoor hackers gegevens kunnen stelen en manipuleren.
IoT-apparaten kunnen worden gebruikt om de bewegingen en aankoopgeschiedenis van klanten te volgen, en hackers kunnen mogelijk toegang krijgen tot deze gegevens. Bovendien lopen klanten het risico opgelicht te worden bij het gebruik van betalingsplatforms zoals Apple Pay. Deze oplichting kan vele vormen aannemen, zoals nep-apps die persoonlijke informatie stelen of websites die klanten misleiden om hun creditcardgegevens in te voeren.
“De introductie van deze nieuwe betalingsmechanismen markeert het begin van een nieuwe technologie-adoptiecyclus. Vanuit het oogpunt van beveiliging is dit het moment waarop dingen doorgaans het meest kwetsbaar zijn. Bovendien worden verbonden apparaten die deze transformatie aandrijven, al als de zwakste schakel beschouwd in andere, veel volwassener implementatiescenario's. Ik geloof dat we in de detailhandel, net als in andere sectoren, zullen zien dat deze apparaten worden uitgebuit om aanhoudende netwerkaanwezigheid te verkrijgen, gevoelige gegevens bloot te leggen, digitale oplichting uit te voeren en meer. En zelfs als de nieuwe apparaten zelf extreem veilig zijn - en dit is een grote IF - worden ze nog steeds geïntroduceerd in een omgeving die boordevol legacy IoT is, die kan worden gebruikt om hun eigen verdediging te omzeilen. Als we de dingen vanuit het perspectief van de slechte acteurs bekijken, hebben we hier een enorme uitbreiding van het aanvalsoppervlak - een die veel nieuwe hoogwaardige "kansen" toevoegt aan wat al een doelwitrijke omgeving was," zei Natali Tshuva, de CEO en medeoprichter van Sternum, een codevrij, apparaat-resident IoT-beveiligings-, observatie- en analysebedrijf.
Elk IoT-apparaat heeft zijn eigen softwaretoeleveringsketen binnenin. Dit komt omdat de code die het apparaat uitvoert, eigenlijk een combinatie is van verschillende gesloten en open source-projecten. Als zodanig is een van de meest direct aanwezige bedreigingen het blootstellen van gevoelige of zelfs persoonlijke informatie van klanten aan cyberfraude. "Dit is anders dan andere digitale oplichting, zoals phishing en andere vormen van social engineering", zegt Tshuva.
“Hier heeft het doelwit geen mogelijkheid om de aanval te voorkomen door waakzaamheid of zelfs maar te vermoeden dat er iets gebeurt – zeker niet tot het te laat is”.
"We omringen ons met verbonden apparaten, maar het zijn 'zwarte dozen' voor ons en we weten nooit echt - of hebben manieren om te weten - wat er echt binnenin gebeurt".
Volgens Tshuva draaien de meeste IoT-apparaten tegenwoordig al op code van verschillende (misschien enkele tientallen) verschillende softwareleveranciers, van wie je van sommige nog nooit hebt gehoord. Meestal zijn deze componenten van derden degenen die verantwoordelijk zijn voor codering, connectiviteit en andere gevoelige functies. En zelfs het besturingssysteem kan een mix zijn van verschillende besturingssystemen die samen zijn gebakken".
“Dit legt een van de grootste uitdagingen van IoT-beveiliging bloot, die opnieuw teruggaat op het idee om het aanvalsoppervlak uit te breiden. Want met elk apparaat dat je in het systeem introduceert, voeg je eigenlijk een code-brouwsel toe van verschillende softwareleveranciers, elk met zijn eigen kwetsbaarheden om in de mix te gieten, "concludeerde Tshuva.
Retailers moeten een aantal stappen nemen om zichzelf en hun klanten te beschermen tegen cyberdreigingen. Ze moeten ervoor zorgen dat hun systemen up-to-date zijn met de nieuwste beveiligingspatches en ze moeten ook een uitgebreid beveiligingsplan hebben. Werknemers moeten worden getraind in het identificeren van en reageren op beveiligingsbedreigingen, en klanten moeten bewust worden gemaakt van de risico's van het gebruik van IoT-apparaten in de detailhandel.
“Terwijl retailers IoT gebruiken voor locatiebewaking van hun klanten, bouwen ze rijke datasets op over de bewegingen en koopgewoonten van consumenten. Deze records creëren een gegevensspoor dat zeer zorgvuldig moet worden bewaakt, omdat aankoopinformatie in combinatie met bewegingen uiterst persoonlijke gewoonten kan onthullen. We hebben talloze gerichte aanvallen op detailhandelaren gezien op het moment van aankoop en, als dit kan worden gekoppeld aan het pad dat klanten volgen door een winkel, een winkelcentrum of zelfs tussen steden en continenten, zullen consumenten sterke verhaalsmogelijkheden hebben voor schade tegen winkelketens”, zegt Sean O'Brien, oprichter van Yale Privacy Lab.
Om de bedreigingen te begrijpen, moeten organisaties begrijpen dat het adopteren van digitale oplossingen door retailbedrijven betekent dat ze softwareafhankelijke oplossingen moeten gebruiken en het aanvalsoppervlak voor cybercriminelen moeten vergroten.
“Wat vroeger een mechanische kassa was, is nu een ‘slim’ verkooppunt dat betalingsinformatie van klanten verwerkt en verzamelt, waardoor ze een aantrekkelijk doelwit worden. Deze systemen zijn vaak verbonden met een grotere e-commerce-oplossing zoals online winkels/facturering/inventaris, enz., waardoor ze een toegangspunt kunnen worden tot meer kritieke systemen. Omdat retailbedrijven afhankelijk zijn van slimme oplossingen, zijn ze ook vatbaar voor ransomware en denial-of-service-aanvallen die hun vermogen om transacties uit te voeren blokkeren. Ook kunnen de PoS-apparaten, omdat het kleine computers zijn, worden gebruikt bij grote botnetaanvallen”, zegt Maty Siman, CTO en oprichter van Checkmarx.
E-commercebedrijven gebruiken veel verschillende leveranciers voor hun processen. Van hardware en software tot operations en financiële diensten, alle leveranciers gebruiken meer software en componenten van derden die op hun beurt ook afhankelijk zijn van componenten van derden.
"Als een kwaadwillende actor onderweg een "achterdeur" kan misbruiken of een "achterdeur" kan introduceren, krijgen ze in wezen toegang tot de definitieve oplossingen die later in de detailhandel te vinden zijn. Terwijl alles tegenwoordig afhankelijk is van software, verergert de afhankelijkheid van open-sourcesoftware deze problemen”, aldus Siman.
Volgens Siman is het voorlichten van medewerkers over best practices op het gebied van beveiliging essentieel. “Er moet regelmatig een back-up worden gemaakt van gegevens en gebruikers van retailers moeten sterke wachtwoorden en MFA gebruiken. Het netwerk dat voor transacties wordt gebruikt, moet worden geïsoleerd van andere netwerken en de apparaten en hun software moeten regelmatig worden bijgewerkt en gepatcht.”
Mensen vormen nog steeds de grootste bedreiging, zegt Sean Tufts, IoT/OT-beveiligingsleider bij Optiv. “Het hebben van minder werknemers of persoonlijke interactie op het verkooppunt en/of de kassa leidt tot meer fysieke diefstal, maar het stelt deze retailers ook bloot aan meer geknoei door slimme dreigingsactoren die willen profiteren van de winkel vertrouwen. Hoe meer deze machines onbeheerd worden achtergelaten, hoe meer interfaces kunnen en zullen worden gemanipuleerd, bijvoorbeeld skimmers geïnstalleerd en toegang tot poorten.”
Bron: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/