Rafael Lourenco, Başkan Yardımcısı ve İş Ortağı tarafından,
İşletmelere yönelik siber güvenlik saldırıları aralıksız ve perakende ve e-ticaret tipik olarak dolandırıcılığı önlemeye odaklanırken, genellikle diğer dijital saldırıların da hedefi oluyor. Örneğin, 2021’de belgelenen 2022 Verizon Veri İhlali Araştırmaları Raporu (DBIR), kimlik bilgilerinin, kişisel bilgilerin ve ödeme verilerinin çalınmasına neden olur. Aynı zamanda, Merchant Resource Council üyelerinin %56’sı veri hırsızlığına, kötü amaçlı yazılım saldırılarına ve dolandırıcılığa neden olabilir.
Bu siber suçların işletmeler için maliyetli sonuçları vardır. Daha küçük bir perakendeciyi kolayca işsiz bırakabilecek ve daha büyük bir perakendeci için bütçe sorunları yaratabilecek bir rakam. Bu rakamlar, e-ticaret işletmeleri ve perakendecilerin dolandırıcılık önlemeyi içeren – ama bunun da ötesine geçen – bir güvenlik kültürünü sürdürmenin neden bu kadar önemli olduğunu gösteriyor.
Her büyüklükteki perakendeci için, hatta küçük olanlar bile, güvenliğe odaklanmak önemlidir. Dolandırıcıların ve suçluların, güvenliği zayıf veya eski olduğundan şüphelendikleri işletmeleri hedef almayı tercih ettikleri her zaman açıktı; bu, genellikle büyük bir şirket içi güvenlik ekibine sahip olmak için kaynakları olmayan daha küçük işletmeler anlamına gelir. Örneğin, DBIR, perakendecilere yönelik 620 belgelenmiş olaydan 157’sinin 1.000’den az çalışanı olan şirketleri hedef aldığını, 68’inin ise 1.000’den fazla çalışanı olan perakendecileri hedef aldığını tespit etti (diğer 404 şirketin büyüklüğü bilinmiyordu).
Büyüklüğü bilinen perakendecilerdeki doğrulanmış ihlaller arasında, 35 büyük şirkete kıyasla 54 şirketin 1.000’den az çalışanı vardı. Bu nedenle daha küçük perakendeciler, büyük perakendecilere kıyasla boyutlarının veya daha düşük profillerinin kendilerini koruyacağını varsayamazlar. B2C şirketleri için “belirsizlik yoluyla güvenlik” yoktur.
Perakendecilere yönelik yaygın siber güvenlik saldırıları
DBIR, sisteme izinsiz giriş, sosyal mühendislik ve web uygulaması saldırılarını 2021’de perakende veri ihlallerinde en yaygın saldırı modelleri olarak listeliyor. Saldırganlar kurbanlarının sistemlerine girdikten sonra, en yaygın eylemleri bilgisayar korsanlığı yapmak ve kötü amaçlı yazılımları, özellikle de tasarlanmış kötü amaçlı yazılımları başlatmaktı. web uygulamalarından ödeme verilerini sıyırmak için. Bu tür bir saldırı, maliyetli marka hasarına ve müşteri güveninin kaybolmasına neden olabilir. 5 ülkedeki çevrimiçi alışveriş yapanların %84’ü, bir dolandırıcının kredi kartı bilgilerini kullanmasına izin veren bir web sitesiyle bir daha asla alışveriş yapmayacaklarını söyledi.
Kötü amaçlı kodun yüklenmesini önlemek ve herhangi bir kötü amaçlı yazılımı tespit edildiği anda kaldırmak için sürekli web sitesi taraması ve güvenliği ile veri kazıyan kötü amaçlı yazılımlardan kaçınılabilir. Kötü amaçlı yazılım önleme aynı zamanda e-posta tehditleri ve bunlardan nasıl kaçınılacağı konusunda eğitim almış çalışanlara da bağlıdır.
Perakende çalışanları için güvenlik bilinci eğitimi sağlayın
Sosyal mühendislik saldırıları, çeşitli kimlik avı türleri de dahil olmak üzere birçok biçimde olabilir. Yaygın bir saldırı modu, Microsoft, Gmail veya bir nakliye şirketi gibi birçok işletmenin güvendiği profesyonel bir hizmeti taklit etmektir. Saldırganlar, şirket logosunu, gerçek şirketten geliyormuş gibi görünen bir görünen adı ve bir politika güncellemesi, şifre değişikliği veya başka bir “kritik” görev için oturum açma talebi içeren e-postalar gönderir. Ardından sahtekarlık yapmak, kötü amaçlı yazılım yaymak veya korunan bilgileri çalmak için kimlik bilgilerini çalarlar.
Çalışanlarınızı, herhangi bir bağlantıya tıklamadan veya herhangi bir eki açmadan önce, şüpheli e-postaları güvenlik ekibinize bildirmeye teşvik edin. Güvenlik analistleriniz kimlik avı e-postaları bulduğunda, çalışanlarınızın tam olarak neye dikkat etmeleri gerektiğini ve şu anda ne tür saldırıların trend olduğunu görebilmeleri için bunları eğitimde kullanmak üzere kaydedebilirler.
Erişim kontrolü yönetimi politikalarınızı ve uygulamalarınızı gözden geçirin
Pandemi, birçok perakendeciyi çalışanlarının bir kısmı veya tamamı için evden çalışma modeline itti. Sonuç olarak, insanlar birçok farklı ağ üzerinden çeşitli cihazlardan şirket sistemlerine erişiyor olabilir. Bu yaklaşım, bir saldırganın (belki de başarılı bir kimlik avı saldırısı başlatan veya halka açık bir Wi-Fi ağı üzerinden bir iletişimi ele geçiren birinin) bu şirket sistemlerine erişip aralarında hareket ederek hasara ve veri çalmaya neden olma riskini artırabilir.
Şirketinizin, çalışanların işe giriş yapmak için ne tür cihazlar ve ağlar kullanabileceğine ilişkin politikaları varsa, güncelleme gerekip gerekmediğini görmek için bunları incelemeye değer olabilir. İşletmenizin böyle bir politikası yoksa, bir tane oluşturmaya başlamanın zamanı geldi. İdeal olarak, çalışanlarınız yalnızca şirket tarafından verilen cihazları kullanır ve bir şirket VPN’si üzerinden oturum açar. En azından, güvenli olmayan Wi-Fi ağları üzerinden çalışmaktan kaçınmalı ve ev yönlendiricilerinin varsayılan parolasının değiştirildiğinden emin olmalıdırlar.
Şirketinizin BT personeli veya ekibi, şirketinizin her bir sistemine kimlerin erişimi olduğunu da gözden geçirebilir ve ardından iş rolüne veya departmana göre uygun kontrolleri ayarlayabilir. Örneğin, depo ekibinizin şirketinizin finansal veritabanına erişmesine ve giriş düzeyindeki çalışanlarınızın yönetici ekibinizin dosyalarına erişmesine gerek yoktur. Bu kontrollerin ayarlanması ve çalışanların şirketten ayrılırken erişiminin tamamen kaldırılması, izinsiz girişlerin yayılmasını engelleyebilir ve şirket içi ihlalleri önleyebilir.
Erişimin özel ve onu kullanmaya yetkili çalışanlarla sınırlı olduğundan emin olmak için şirketinizin tüm yazılım, işletim sistemleri, bulut depolama ve donanımlarındaki ayarları düzenli aralıklarla gözden geçirmeniz de akıllıca olacaktır. DBIR’ye göre, 2021 ihlallerinin %10’undan fazlası, yanlış yapılandırılmış bulut depolama dahil olmak üzere hatalardan kaynaklandı.
Veri ihlallerine, dolandırıcılığa ve markanın zarar görmesine yol açabilecek saldırıları önlemek, güvenlik hakkında sürekli olarak düşünmeye ve çalışanlarınızla bu konuda konuşmaya devam etmeyi gerektirir. Perakendeciler, işlem sahtekarlığını önlemekle haklı olarak ilgilenirken, tüm güvenlik bilinci ve en iyi uygulamalara odaklanan bir şirket kültürü oluşturmak ve sürdürmek önemlidir.
reklam