Son aylarda, M&S, Co-op ve North Face dahil olmak üzere İngiltere’nin en tanınmış perakendecilerinden bazıları, tüm yanlış nedenlerden dolayı kendilerini siber güvenlik spotunda buldular. Birçok perakendecinin güvendiği güvenlik stratejilerinin, acımasız siber saldırganlığın mevcut dijital manzarasında modası geçmiş ve uygun olmadığı sert gerçek.
Bahisler daha yüksek olamazdı – perakendeciler sadece veri kaybetmiyor, aynı zamanda müşterileri, güvenilirliğini ve operasyonel kontrolü de kaybediyorlar. Abdelkader Keddari, VP Global Presales Fluent Commerce, “Güven ihlal edildiğinde, özellikle müşteri verileri söz konusu olduğunda, marka itibarına ve gelirine verilen hasar şiddetli olabilir.” Dedi.
Perakende sektörü son yıllarda dijital dönüşümü benimsedi, ancak bu değişim her zaman basit bir geçiş değil ve büyüyen ağrılarla geldi. Birçok perakendeci, özellikle müşteriye dönük kanallar etkilendiğinde, tehditlere yeterince hızlı yanıt veremeyen modası geçmiş sistemlerde faaliyet göstermektedir.
Abdelkader Keddari’ye göre, bu yaşlanma sistemleri günümüzün siber tehditlerinin temposu ve ölçeği için bir eşleşme değil: “Büyük İngiliz perakendecileri üzerindeki sürekli yüksek profilli siber saldırılar, birçoğunun hala onları savunmasız ve cevap vermek için yavaş bırakan eski eski sistemlere dayanan sert gerçekliği ortaya çıkardılar.”
İster gelişmiş siber güvenlik kaynaklarından yoksun küçük bir perakendeci veya büyük bir müşteri verisini yöneten büyük bir kuruluş olsun, bir saldırı gerçekleştiğinde hiç kimse etkisiz değildir. Sistemler tehlikeye atıldığında, serpinti hızlı ve yaygındır. Envanter görünürlüğü çöker, siparişler yerine getirilmez ve müşteri güveni kaybolur.
Birçok perakendeci siber korumaya ayak uyduramayan kırılgan altyapıya zincirlenir. Abdelkader Keddari’ye göre, “uyarlanabilirlik eksikliği günlük bir sorundan daha fazlası-bu büyük bir iş riski.” Saldırganlar vurduğunda, sadece tehlikeye atılan veriler değil, görünürlük ortadan kalkar, emirler yok olur ve raflar boşalır.
Teknolojiye yatırım yapmamak, kaçırılan satışlara, kırık tedarik zincirlerine ve öfkeli müşterilere girebilir. Perakendecilerin eski düşünce ve eski teknolojinin ötesine geçmesi ve bina esnekliğini desteklemek için teknolojiye yatırım yapmaları gerekiyor.
Daha küçük işletmeler kendilerini savunmak için yetersiz donanımlı olsa da, geniş saldırı yüzeyleri ve tıknaz altyapısı olan büyük perakendeciler ana hedeflerdir. Siber suçlular, çevrimiçi geçişin fırsat penceresini genişlettiğini ve her güvenlik açığından yararlandığını bilirler. Legacy teknolojisini kullanarak sıkışmış perakendeciler sadece kesinti riski altında değil, aynı zamanda uzun vadeli itibar hasarını cazip hale getiriyorlar.
Yıllarca, birçok kuruluş, ağ çevresi güvenliyse, işletmenin korunduğunu varsaydı. Ancak bu çevre merkezli görüş artık dayanmıyor ve bu naiflikte şirketler kendilerini riske açık bırakıyor. NODE4’teki Siber Güvenlik ve Ağlar Teknoloji Direktörü Glenn Akester gibi, endişe verici bir şekilde, birçok kuruluşun hala ağlarındaki herhangi bir şeyin güvenli olduğu varsayımıyla faaliyet gösteriyor. Ancak, bu model bir saldırganın meşru kimlik bilgilerini ele geçirdiği anda parçalanır. Ve tam olarak olan bu. Bugünün saldırıları seçkin, teknik hackler değil. ”
Aslında, modern ihlaller genellikle “hackler” gibi görünmüyor. Bunun yerine, sömürüyorlar:
- Personeli kimlik bilgilerini teslim etmeye ikna eden sosyal mühendislik taktikleri
- Kullanıcıların giriş taleplerini onaylamak için kandırıldığı MFA yorgunluk saldırıları
- Hala çalışan eski ihlallerden sızan kimlik bilgileri
Bu saldırılar düşük maliyetli, yüksek ödüllüdür ve seçkin teknik beceriler gerektirmezler. İçeri girdikten sonra, saldırganlar hızlı ve sessiz bir şekilde hareket edebilir ve tespiti zorlaştırır.
Dijital gasp modellerindeki artış yeni bir tehdit katmanı ekledi. Personel Çözümleri Mimarı Shobhit Gautam, HackerOne’da EMEA fidye yazılımı saldırılarının nasıl geliştiğini vurguluyor, “Dijital gasp, hakim fidye yazılımı saldırısı modeli olarak ortaya çıktı. Bu yaklaşım, kurban, şifrelenmiş dosyalarla bilinmeyen bir miktarın öngörülmesi için ödemeye zorlanıyor.
Ödeme yapılmaması, verilerinizin sadece kilitli olmadığı, sızdırıldığı, satıldığı veya yayınlandığı anlamına gelir. Bunu perakendede daha da tehlikeli kılan şey, teknolojinin standardizasyonudur.
Shobhit Gautam, “Perakende web siteleri ve mobil uygulamalar, paylaşılan API’lere ve iş mantığına bile göre bile hem tasarım hem de arka uç altyapısında birbirlerini yansıtıyor. Bu, bir indirim kodu iş akışında veya üçüncü taraf bir eklenti olsun, tek bir güvenlik açığı platformlarda kullanılabilir.”
Saldırganlar nereye bakacaklarını ve neye bakacaklarını biliyorlar. Yeniden kullanılan kod tabanları ve üçüncü taraf eklentileri, saldırganlar için kolay giriş noktaları olarak hizmet eder. Bu tehditleri azaltmak sadece daha yüksek duvarlar inşa etmekle ilgili değil, çatlakların veya güvenlik açıklarının nerede olduğunu anlamak ve bunlara hitap etmekle ilgilidir.
Sektördeki fikir birliği açıktır: Siber güvenliği bir dizi kene kutusu aracı olarak görmeyi bırakmamız ve bunu iş sürekliliği için ayrılmaz bir strateji olarak düşünmeye başlamamız gerekiyor. Glenn Akester, “Siber güvenliği araçların bir kontrol listesi olarak düşünmeyi bırakmanın ve bunu bir esneklik stratejisi olarak düşünmeye başlamanın zamanı” diyerek değişimi özetliyor.
Bir strateji oluşturmak, güvenliğe kapsamlı bir şekilde bakmak anlamına geliyor, Glenn Akester, “Dayanıklılık oluşturmak, bir şeyin sonunda geçeceğini varsaymak ve işletmenizin onu algılayabileceğinden, içerebileceğinden ve hızlı bir şekilde iyileşebilmesini sağlamak anlamına gelir.” Diye ekledi.
Gerçek esneklik, sistemlerin ve davranışların sürekli izlenmesinden düzenli saldırı simülasyonlarına ve kırmızı takımlama egzersizlerine kadar her şeyi dikkate alır. Ayrıca, bir saldırı öncesinde test edilen, güncellenen ve prova edilen açık olay müdahale planlarını da içeriyordu.
Mesaj ayık, ama gerekli. Perakende’nin dijital evrimi siber savunmalarını geride bıraktı ve tehdit aktörleri iyi farkında. Ancak bu kaçınılmaz bir başarısızlık hikayesi değil. Uyum için bir çağrı.
Hem teknolojik hem de operasyonel esnekliğe öncelik veren perakendeciler savaş şansına sahiptir. Bu, modası geçmiş sistemleri güncellemek, gerçek zamanlı altyapıya yatırım yapmak ve sadece bir şeyler ters gittiğinde değil, ne zaman hazırlamak anlamına gelir. Müşteri verileri, operasyonel süreklilik ve marka güveni çizgide olduğunda, güvenlik sonradan düşünülemez.
