Регистрация прошла успешно

Регистрация прошла успешно

На ваш e-mail пришло письмо с подтверждением

На вашу почту отправлена ссылка для восстановления пароля

Восстановление пароля
Все новости
16:09, 27 Сентября
ТЦ Санкт-Петербурга могут потерять часть арендаторов из-за продления антиковидных мер
15:58, 27 Сентября
SOKOLOV стал первым ювелирным брендом в рейтинге Топ-1000 лучших российских менеджеров
15:38, 27 Сентября
Клиентам Сбера стал доступен сервис СберМаркет
15:16, 27 Сентября
Как сделать планограмму эффективной?
15:03, 27 Сентября
Верный выводит из ассортимента «Майский» и другие товары от «МАЙ-Foods»
14:20, 27 Сентября
X5 обновила портал поставщика обязательными данными об устойчивой упаковке и сертификации
13:00, 27 Сентября
Как самозанятость становится двигателем революции трудовых отношений
12:52, 27 Сентября
В Яндекс Go петербуржцы теперь могут заказать на Маркете товары с доставкой до 2 часов
12:45, 27 Сентября
OneTwoTrip: россияне сумели отдохнуть даже там, куда их не пускали
12:37, 27 Сентября
МАКС подключится к проектам ЦОДД по обеспечению безопасности велокурьеров
16 Января 2019, 08:29

Информационная безопасность в ритейле: многоуровневый подход и план реагирования

Vasily Dyagilev_Check Point_2.jpgВасилий Дягилев, глава представительства Check Point Software Technologies в России и СНГ

Ритейл сегодня – это миллионы клиентов и их кредитных карт, новые технологии для распознавания людей и моментальной оплаты товаров, — по данным аналитического центра НАФИ, каждый десятый россиянин пользуется смартфоном для бесконтактной оплаты товаров. На протяжении многих лет злоумышленники разрабатывали все более изощренные способы атак на POS-терминалы и розничные сети. Каждый третий ритейлер уже подвергался атакам хакеров, и размах, и опасность этих атак только возрастают.

Онлайн- и офлайн-ритейл: атакуют всех

Киберпреступники активно пытаются похитить персональные и финансовые данные потребителей, которые они сообщают при совершении интернет-покупок, а также участвуя в цифровых маркетинговых кампаниях и программах лояльности. Неудивительно, что более трети всех ритейлеров уже стали жертвами атак злоумышленников.

Похищенные сведения продаются на черном рынке по цене до 20 долларов США за запись, поэтому информация по кредитным картам, личные контактные данные, даты рождения и покупательские предпочтения – то, на что виртуальные воры нацелены в первую очередь.

Пример этой ситуации – взлом систем ритейлера GameStop. Успешно похитив имена, адреса и реквизиты банковских карт заказчиков, включая CV-коды, хакеры выставили их на продажу в даркнете.

Кроме того, компания Forever 21 пополнила список жертв, пострадавших от атак на торговые терминалы. Среди них такие ритейлеры, как Chipotle, Kmart, Brooks Brothers, Target и T.J.Maxx. В случае с Forever 21 хакеры получили доступ к платежной информации потребителей, отключив шифрование на POS-устройствах – технологию, которую торговая сеть внедрила всего два года назад.

Как показало наше исследование сайта интернет-магазина AliExpress, еще один популярный метод, с помощью которого злоумышленники воруют клиентскую информацию у ритейлеров – фишинг. В данном случае он использовался в сочетании с XSS-атакой, чтобы повысить уверенность пользователя в том, что на сайте не происходит ничего необычного. Действительно, в течение прошлого года преступники использовали имена таких крупных розничных продавцов, как Amazon, Best Buy, Walmart и Nike, чтобы вовлечь потребителей в мошеннические схемы с использованием интернет-магазинов.

Ущерб, который при этом наносится репутации организаций, а также сопутствующие финансовые издержки, могут быть огромными. По некоторым оценкам, каждая украденная клиентская запись в среднем обходится компании в 172 доллара США. В эту сумму входят расходы на устранение последствий взлома, коммерческие потери вследствие простоя, нормативные штрафы и юридические издержки. Кроме того, по данным наших опросов, если ритейлер подвергся нападению со стороны киберпреступников, около 20% покупателей не будут пользоваться этим магазином. Это высокая цена, которую приходится платить за то, чего можно избежать.

Что делать?

В мае 2018 года вступил в силу Общий регламент ЕС по защите данных (GDPR). Этот документ будет иметь далеко идущие последствия для ритейлеров, в том числе для тех, которые работают в международном масштабе. Чтобы избежать последствий хищений данных, компаниям необходимо принять стратегию безопасности, основанную на внедрении динамичных архитектур с современными защитами, работающими в режиме реального времени.

В первую очередь, в рамках этой общей стратегии Стандарты Безопасности Данных Платежных Карт (PCI DSS) должны стать повседневными бизнес-операциями. Для этого необходим активный мониторинг работы защитных систем, обеспечивающий эффективную и надлежащую их эксплуатацию. Второе условие – применение политик аудита безопасности в режиме реального времени и гарантия правильности настроек и эксплуатации средств контроля защиты, например, межсетевого экрана, антивируса, систем IPS (для предотвращения вторжений) и DLP (для предотвращения потери данных).

Ритейлеры, которые используют POS-терминалы, также обязаны обеспечить сквозное шифрование всех транзакций с кредитными картами — это позволит обезопасить данные потребителей. Особенно важно изменить точку зрения на защиту сети: это больше не единый периметр, а множество разнообразных точек доступа.

Жизненно необходим многоуровневый подход, охватывающий обязательное исполнение, контроль и управление. Мы рекомендуем выстроить план безопасности вокруг шлюза и терминалов. Эта система должна обнаруживать и блокировать вредоносное ПО, предназначенное для заражения устройств, сбора и извлечения клиентских данных. Еще одно необходимое условие – политики безопасности и автоматизированные защиты, настроенные администратором, должны содержать конкретные, обязательные к соблюдению правила по управлению доступом и работе с данными.

Наконец, у бизнеса должен быть план действий на случай атаки. Это позволит избежать ущерба для репутации и коммерческой деятельности компании. Такой план должен быть отработан, чтобы все задействованные в нем участники знали свою роль и порядок взаимодействия с другими членами команды реагирования.

Понравился материал? Поделись.

Теги:
Подписывайтесь на наши группы,
чтобы быть в курсе событий отрасли.
Станьте нашим автором.
Увеличьте лояльность своих читателей