Կիբերանվտանգության սպառնալիքները աճող մտահոգություն են առաջացնում մանրածախ ընկերությունների համար, քանի որ նրանք գնալով ավելի շատ են ընդունում ինքնագնահատումները Apple-ի, Google Pay-ի կամ այլ վճարային հարթակների միջոցով: 2005 թվականից ի վեր մանրածախ առևտրով զբաղվողները տեսել են 10,000 տվյալների խախտում, հիմնականում վճարային համակարգերի թերությունների և խոցելիության պատճառով:
Վաճառքի կետերի (POS) համակարգերը հաճախ օգտագործում են արտաքին ապարատային, ծրագրային ապահովման և ամպի վրա հիմնված բաղադրիչների առատություն:
«Առնվազն մանրածախ առևտրով զբաղվողները պետք է ապահովեն, որ իրենց պայմանագրային կողմը համապատասխանի դրանց և պահպանի անվտանգության համապատասխանության նույն պահանջները, որոնք ունի հենց ընկերությունը: Կիբերհանցագործի համար կան բազմաթիվ հնարավորություններ՝ օգտվելու համակարգից, լինի դա լուծումը տրամադրող վաճառողի աղբյուրից, թե երբ տեխնոլոգիան տեղակայվում է տեղում: POS սարքերում օգտագործվող ծրագրային ապահովման խոցելիության օգտագործումը (կամ նույնիսկ հետևի ամպային ծառայություններում) կարող է թույլ տալ կիբերհանցագործին չարամիտ ծրագրեր տեղադրել POS սարքի վրա: Սա հետագայում նրանց հնարավորություն կտա հավաքել ֆինանսական տվյալներ, հասցնել չարամիտ գրոհ, ինչպիսին է փրկագինը կամ օգտագործել սարքը՝ այլ ներքին համակարգերին միանալու համար», - ասում է անվտանգության գլխավոր ավետարանիչը՝ Թոնի Անսկոմբը ESET-ից:
Մանրածախ վաճառողների վրա կիբերհարձակումների հետևանքները կարող են ներառել մեծ տուգանքներ, տուգանքներ, տվյալների կորուստ, ֆինանսական կորուստներ և հեղինակության վնաս:
Կան նաեւ անվտանգության սպառնալիքներ, որոնց բախվում են օգտատերերը IoT սարքերից օգտվելիս մանրածախ վաճառքում. Կազմակերպությունների ավելի քան 84 տոկոսն օգտագործում է IoT սարքեր. Այնուամենայնիվ, ավելի քիչ, քան 50%-ը կիբերհարձակումների դեմ անվտանգության ամուր միջոցներ է ձեռնարկել: Օրինակ, կազմակերպությունների մեծ մասը երկար ժամանակ օգտագործում է նույն գաղտնաբառերը, ինչը մեծացնում է բիրտ ուժի հարձակումները՝ հնարավորություն տալով հաքերներին գողանալ և շահարկել տվյալները:
IoT սարքերը կարող են օգտագործվել հաճախորդների շարժումներին և գնումների պատմությունը հետևելու համար, և հաքերները կարող են պոտենցիալ մուտք ունենալ այս տվյալներին: Բացի այդ, հաճախորդները կարող են հայտնվել խաբեության վտանգի տակ, երբ օգտագործում են վճարային հարթակներ, ինչպիսիք են Apple Pay-ը: Այս խարդախությունները կարող են ունենալ տարբեր ձևեր, օրինակ՝ կեղծ հավելվածներ, որոնք գողանում են անձնական տվյալները կամ կայքեր, որոնք խաբում են հաճախորդներին մուտքագրել իրենց վարկային քարտի տվյալները:
«Այս նոր վճարային մեխանիզմների ներդրումն ազդարարում է նոր տեխնոլոգիաների ընդունման ցիկլի սկիզբը: Անվտանգության տեսանկյունից սա այն դեպքում, երբ ամեն ինչ, որպես կանոն, ամենախոցելին է: Ավելին, միացված սարքերը, որոնք խթանում են այս փոխակերպումը, արդեն համարվում են ամենաթույլ օղակը այլ շատ ավելի հասուն տեղակայման սցենարներում: Կարծում եմ, որ մանրածախ առևտրում, ինչպես մյուս ոլորտներում, մենք կտեսնենք, որ այս սարքերը կշահագործվեն ցանցում մշտական ներկայություն ձեռք բերելու, զգայուն տվյալներ բացահայտելու, թվային խարդախություններ գործարկելու և այլնի համար: Եվ նույնիսկ եթե նոր սարքերն իրենք չափազանց ապահով են, և սա մեծ ԵԹԵ է, դրանք դեռևս ներդրվում են ժառանգական IoT-ով լի միջավայր, որը կարող է օգտագործվել սեփական պաշտպանությունը շրջանցելու համար: Նայելով իրերին վատ դերակատարների տեսանկյունից, այն, ինչ մենք ունենք այստեղ, հարձակման մակերեսի զանգվածային ընդլայնումն է, որը շատ նոր բարձրարժեք «հնարավորություններ» է ավելացնում այն միջավայրին, որն արդեն եղել է թիրախներով հարուստ միջավայր», - ասում է Նատալի Ցուվան: Sternum-ի գործադիր տնօրենը և համահիմնադիրը, որը կոդից զերծ է, սարքերի ռեզիդենտ IoT անվտանգության, դիտարկման և վերլուծական ընկերության:
Յուրաքանչյուր IoT սարք ունի իր ծրագրային ապահովման մատակարարման շղթան ներսում: Դա պայմանավորված է նրանով, որ սարքը գործարկող կոդը իրականում մի քանի փակ և բաց կոդով նախագծերի համակցություն է: Որպես այդպիսին, ամենաանմիջական սպառնալիքներից մեկը հաճախորդների զգայուն կամ նույնիսկ անձնական տեղեկատվության բացահայտումն է կիբեր խարդախության միջոցով: «Սա տարբերվում է թվային այլ խարդախություններից, ինչպիսիք են ֆիշինգը և սոցիալական ինժեներիայի այլ տեսակներ», - ասաց Տշուվան:
«Այստեղ թիրախը հնարավորություն չի ունենա կանխելու հարձակումը զգոնության կամ նույնիսկ կասկածելու, որ ինչ-որ բան է տեղի ունենում, իհարկե, քանի դեռ շատ ուշ չէ»:
«Մենք մեզ շրջապատում ենք միացված սարքերով, բայց դրանք մեզ համար «սև արկղեր» են, և մենք երբեք իրականում չգիտենք, կամ չգիտենք, թե ինչ է իրականում կատարվում ներսում»:
Ըստ Tshuva-ի, այսօր IoT սարքերի մեծ մասն արդեն աշխատում է մի քանի (գուցե մի քանի տասնյակ) տարբեր ծրագրային ապահովման մատակարարների կոդով, որոնցից մի քանիսի մասին երբեք չեք լսել: Սովորաբար, այս երրորդ կողմի բաղադրիչները պատասխանատու են գաղտնագրման, միացման և այլ զգայուն գործառույթների համար: Եվ նույնիսկ օպերացիոն համակարգը կարող է լինել մի քանի տարբեր ՕՀ-ների խառնուրդ՝ պատրաստված միասին»:
«Սա բացահայտում է IoT անվտանգության հիմնական մարտահրավերներից մեկը, որը, կրկին, վերադառնում է հարձակման մակերեսը ընդլայնելու գաղափարին: Որովհետև յուրաքանչյուր սարքի հետ, որը դուք ներկայացնում եք համակարգին, այն, ինչ դուք իրականում ավելացնում եք, մի քանի ծրագրային ապահովման պրովայդերների կոդերի խառնուրդ է, որոնցից յուրաքանչյուրն ունի իր խոցելիությունը, որը պետք է լցվի խառնուրդի մեջ», - եզրափակեց Ցուվան:
Մանրածախ առևտրով զբաղվողները պետք է մի շարք քայլեր ձեռնարկեն՝ իրենց և իրենց հաճախորդներին կիբերանվտանգության սպառնալիքներից պաշտպանելու համար: Նրանք պետք է ապահովեն, որ իրենց համակարգերը արդիական են անվտանգության վերջին պլատֆորմներով, ինչպես նաև պետք է ունենան անվտանգության համապարփակ պլան: Աշխատակիցները պետք է վերապատրաստվեն, թե ինչպես բացահայտել և արձագանքել անվտանգության սպառնալիքներին, իսկ հաճախորդներին պետք է տեղեկացված լինեն մանրածախ վաճառքում IoT սարքերի օգտագործման ռիսկերի մասին:
«Քանի որ մանրածախ վաճառողները ընդունում են IoT՝ իրենց հաճախորդների գտնվելու վայրի հսկողության համար, նրանք ստեղծում են հարուստ տվյալների հավաքածուներ սպառողների տեղաշարժերի և գնումների սովորությունների վերաբերյալ: Այս գրառումները ստեղծում են տվյալների հետք, որը պետք է շատ զգույշ պահպանվի, քանի որ տեղեկատվության գնումը զուգորդված շարժումների հետ կարող է բացահայտել ծայրահեղ անձնական սովորույթներ: Մենք տեսել ենք անհամար թիրախային հարձակումներ մանրածախ վաճառողների վրա գնման կետում, և եթե դա հնարավոր լինի զուգակցել այն ուղու հետ, որով հաճախորդները անցնում են խանութի, առևտրի կենտրոնի կամ նույնիսկ քաղաքների և մայրցամաքների միջով, ապա սպառողները մեծ օգնություն կստանան վնասի համար: մանրածախ առևտրի ցանցեր», - ասում է Յեյլի գաղտնիության լաբորատորիայի հիմնադիր Շոն Օ'Բրայենը:
Սպառնալիքները հասկանալու համար կազմակերպությունները պետք է հասկանան, որ մանրածախ բիզնեսների կողմից թվային լուծումներ ընդունելը նշանակում է ծրագրաշարից կախված լուծումներ ընդունել և կիբերհանցագործների համար հարձակման մակերեսը մեծացնել:
«Այն, ինչ նախկինում մեխանիկական դրամարկղ էր, այժմ «խելացի» վաճառքի կետ է, որը մշակում և հավաքում է հաճախորդների վճարումների մասին տեղեկությունները, դարձնելով նրանց ցանկալի թիրախ: Այս համակարգերը հաճախ կապված են ավելի մեծ էլեկտրոնային առևտրի լուծման հետ, ինչպիսիք են առցանց խանութները/բիլինգը/գույքագրումը և այլն, ինչը կարող է դրանք դարձնել ավելի կարևոր համակարգերի մուտքի կետ: Կախված լինելով խելացի լուծումներից՝ մանրածախ առևտրային ձեռնարկությունները նույնպես ենթակա են փրկագին և ծառայության մերժման հարձակումներին, որոնք արգելափակում են գործարքներ կատարելու նրանց հնարավորությունը: Բացի այդ, PoS սարքերը, լինելով փոքր համակարգիչներ, կարող են օգտագործվել խոշոր բոտնետների հարձակումների ժամանակ», - ասում է Մատի Սիմանը, CTO և Checkmarx-ի հիմնադիրը:
Էլեկտրոնային առևտրի ընկերությունները օգտագործում են բազմաթիվ տարբեր վաճառողներ իրենց գործընթացների համար: Սարքավորումներից և ծրագրերից մինչև գործառնություններ և ֆինանսական ծառայություններ, բոլոր վաճառողները օգտագործում են ավելի շատ երրորդ կողմի ծրագրակազմ և բաղադրիչներ, որոնք, իրենց հերթին, նույնպես կախված են երրորդ կողմի բաղադրիչներից:
«Եթե չարամիտ խաղացողը կարող է շահագործել կամ «հետին դուռ» ներկայացնել որևէ բաղադրիչի ճանապարհին, նրանք, ըստ էության, մուտք են ստանում վերջնական լուծումներ, որոնք հետագայում կարող են հայտնաբերվել մանրածախ բիզնեսներում: Երբ մեր օրերում ամեն ինչ հենվում է ծրագրային ապահովման վրա, բաց կոդով ծրագրային ապահովման վրա հույսը սրում է այս խնդիրները», - ասաց Սիմանը:
Ըստ Սիմանի՝ էական է աշխատակիցների կրթությունը անվտանգության լավագույն փորձի վերաբերյալ: «Տվյալները պետք է պարբերաբար կրկնօրինակվեն, և մանրածախ վաճառող օգտվողները պետք է օգտագործեն ուժեղ գաղտնաբառեր և MFA: Գործարքների համար օգտագործվող ցանցը պետք է մեկուսացված լինի այլ ցանցերից, իսկ սարքերը և դրանց ծրագրակազմը պետք է պարբերաբար թարմացվեն և կարկատվեն»:
Մարդիկ դեռևս ամենաակնառու սպառնալիքն են, ասում է Optiv-ի IoT/OT անվտանգության ղեկավար Շոն Թաֆթսը: «Վաճառքի կետում ավելի քիչ աշխատակիցներ ունենալը կամ առերես փոխազդեցությունը և/կամ դուրս գալը հանգեցնում է ավելի շատ ֆիզիկական գողության, բայց դա նաև թույլ է տալիս այս մանրածախ առևտրականներին ավելի շատ խեղաթյուրել խելացի սպառնալիքների դերակատարների կողմից, ովքեր ցանկանում են օգտվել խանութի հնարավորություններից: վստահություն. Որքան շատ այս մեքենաները մնան առանց հսկողության, այնքան ավելի շատ ինտերֆեյսներ կարող են և կլինեն մանիպուլյացիաների ենթարկվելու, օրինակ՝ կտեղադրվեն skimmers և մուտքի պորտեր»:
Աղբյուր՝ https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/