Регистрация прошла успешно

Регистрация прошла успешно

На ваш e-mail пришло письмо с подтверждением

На вашу почту отправлена ссылка для восстановления пароля

Восстановление пароля
Все новости
16:11, 21 Апреля
ПЛАС-Форум «Банковское самообслуживание, ритейл и НДО 2021» – ключ на старт!
15:56, 21 Апреля
АШАН готов к реализации молочных продуктов с маркировкой
15:48, 21 Апреля
Ригла удостоена звания «Аптека года» по итогам премии Smartpharma Awards-2021
15:40, 21 Апреля
Острова, которые мы заслужили: как пандемия повлияла на малый ритейл
13:55, 21 Апреля
Магнит создал клуб владельцев домашних животных «pro.питомцев»
13:42, 21 Апреля
Первый хаб СБЕР ЕАПТЕКИ открылся в Астрахани
13:30, 21 Апреля
Как «Святой Источник» помог пользователям ежедневно следить за потреблением питьевой воды
13:22, 21 Апреля
Ростелеком представил одобренную советом директоров стратегию до 2025 года
13:09, 21 Апреля
Оборот СберМаркета в первом квартале увеличился в 6,5 раз
13:07, 21 Апреля
Ситилинк: россияне обновили центры домашних развлечений
16 Января 2019, 08:29

Информационная безопасность в ритейле: многоуровневый подход и план реагирования

Vasily Dyagilev_Check Point_2.jpgВасилий Дягилев, глава представительства Check Point Software Technologies в России и СНГ

Ритейл сегодня – это миллионы клиентов и их кредитных карт, новые технологии для распознавания людей и моментальной оплаты товаров, — по данным аналитического центра НАФИ, каждый десятый россиянин пользуется смартфоном для бесконтактной оплаты товаров. На протяжении многих лет злоумышленники разрабатывали все более изощренные способы атак на POS-терминалы и розничные сети. Каждый третий ритейлер уже подвергался атакам хакеров, и размах, и опасность этих атак только возрастают.

Онлайн- и офлайн-ритейл: атакуют всех

Киберпреступники активно пытаются похитить персональные и финансовые данные потребителей, которые они сообщают при совершении интернет-покупок, а также участвуя в цифровых маркетинговых кампаниях и программах лояльности. Неудивительно, что более трети всех ритейлеров уже стали жертвами атак злоумышленников.

Похищенные сведения продаются на черном рынке по цене до 20 долларов США за запись, поэтому информация по кредитным картам, личные контактные данные, даты рождения и покупательские предпочтения – то, на что виртуальные воры нацелены в первую очередь.

Пример этой ситуации – взлом систем ритейлера GameStop. Успешно похитив имена, адреса и реквизиты банковских карт заказчиков, включая CV-коды, хакеры выставили их на продажу в даркнете.

Кроме того, компания Forever 21 пополнила список жертв, пострадавших от атак на торговые терминалы. Среди них такие ритейлеры, как Chipotle, Kmart, Brooks Brothers, Target и T.J.Maxx. В случае с Forever 21 хакеры получили доступ к платежной информации потребителей, отключив шифрование на POS-устройствах – технологию, которую торговая сеть внедрила всего два года назад.

Как показало наше исследование сайта интернет-магазина AliExpress, еще один популярный метод, с помощью которого злоумышленники воруют клиентскую информацию у ритейлеров – фишинг. В данном случае он использовался в сочетании с XSS-атакой, чтобы повысить уверенность пользователя в том, что на сайте не происходит ничего необычного. Действительно, в течение прошлого года преступники использовали имена таких крупных розничных продавцов, как Amazon, Best Buy, Walmart и Nike, чтобы вовлечь потребителей в мошеннические схемы с использованием интернет-магазинов.

Ущерб, который при этом наносится репутации организаций, а также сопутствующие финансовые издержки, могут быть огромными. По некоторым оценкам, каждая украденная клиентская запись в среднем обходится компании в 172 доллара США. В эту сумму входят расходы на устранение последствий взлома, коммерческие потери вследствие простоя, нормативные штрафы и юридические издержки. Кроме того, по данным наших опросов, если ритейлер подвергся нападению со стороны киберпреступников, около 20% покупателей не будут пользоваться этим магазином. Это высокая цена, которую приходится платить за то, чего можно избежать.

Что делать?

В мае 2018 года вступил в силу Общий регламент ЕС по защите данных (GDPR). Этот документ будет иметь далеко идущие последствия для ритейлеров, в том числе для тех, которые работают в международном масштабе. Чтобы избежать последствий хищений данных, компаниям необходимо принять стратегию безопасности, основанную на внедрении динамичных архитектур с современными защитами, работающими в режиме реального времени.

В первую очередь, в рамках этой общей стратегии Стандарты Безопасности Данных Платежных Карт (PCI DSS) должны стать повседневными бизнес-операциями. Для этого необходим активный мониторинг работы защитных систем, обеспечивающий эффективную и надлежащую их эксплуатацию. Второе условие – применение политик аудита безопасности в режиме реального времени и гарантия правильности настроек и эксплуатации средств контроля защиты, например, межсетевого экрана, антивируса, систем IPS (для предотвращения вторжений) и DLP (для предотвращения потери данных).

Ритейлеры, которые используют POS-терминалы, также обязаны обеспечить сквозное шифрование всех транзакций с кредитными картами — это позволит обезопасить данные потребителей. Особенно важно изменить точку зрения на защиту сети: это больше не единый периметр, а множество разнообразных точек доступа.

Жизненно необходим многоуровневый подход, охватывающий обязательное исполнение, контроль и управление. Мы рекомендуем выстроить план безопасности вокруг шлюза и терминалов. Эта система должна обнаруживать и блокировать вредоносное ПО, предназначенное для заражения устройств, сбора и извлечения клиентских данных. Еще одно необходимое условие – политики безопасности и автоматизированные защиты, настроенные администратором, должны содержать конкретные, обязательные к соблюдению правила по управлению доступом и работе с данными.

Наконец, у бизнеса должен быть план действий на случай атаки. Это позволит избежать ущерба для репутации и коммерческой деятельности компании. Такой план должен быть отработан, чтобы все задействованные в нем участники знали свою роль и порядок взаимодействия с другими членами команды реагирования.

Теги:
Понравился материал? Поделись.
ЖУРНАЛ RETAIL&LOYALTY №8 (95) 2020

будь в курсе
новостей индустрии