Perakendeciler siber suçluların ilgi odağı. Perakendecilerin müşterileriyle ilgili sahip olduğu kişisel ve finansal bilgiler para kazandırabilir. 2022’de Verizon’un analiz ettiği perakende veri ihlallerinin tamamı finansal kaynaklı. Perakendeciler için yılın en önemli zamanı olan yılbaşı, fidye yazılımı, dağıtılmış hizmet reddi (DDoS) gibi siber tehditlere fazla maruz kaldıkları anlamına geliyor. Perakendeciler, bulut tabanlı iş yazılımları, mağaza içi IoT cihazları, müşteriye yönelik mobil uygulamalar dahil çok kanallı ticari deneyim oluşturmak için dijital sistemlere daha çok güveniyor. Bu da potansiyel saldırı yüzeyini genişletiyor.

Perakendecilere yönelik en büyük siber tehditler nelerdir?

Veri ihlalleri, çalınan, kimlik avına maruz kalan çalışan kimlik bilgilerinin, güvenlik açığının kullanılmasıyla olur. Büyüme, gelir, mali ve itibar kaybı oluşur. Dijital bilgi hırsızlığı, güvenlik açıkları ile doğrudan ödeme sayfaları veya 3. taraf yazılım tedarikçisi ile ele geçirme kodu eklenmesiyle oluşur. Zor farkedilir. Şirket itibarına zarar verir. Verizon’a göre bu saldırılar 2022’de perakende veri ihlallerinin %18’ini oluşturdu.

Fidye yazılımı perakendeciler için en büyük tehditlerden biri ve yoğun sezonda tehdit aktörleri, fazla işletmenin verilerini geri almak ve şifrelerini çözmek için ödeme yapmaya hazır olacağı düşüncesiyle saldırılarını artırabilir. Güvenlik kontrolleri daha az etkili olabileceğinden KOBİ’ler hedef tahtasıdır.

DDoS, perakendecilere şantaj yapma, işleri aksatmanın popüler yolu. Geçen yıl sektör bu saldırıların 5’te 1’ine (%17) maruz kaldı. Çoğu kara cumada, yıllık %53’lük artış yaşandı. Tedarik zinciri saldırıları, dijital tedarikçi, açık kaynak deposu, profesyonel, geleneksel işletmeleri hedef alabilir. Bilgisayar korsanlarının HVAC tedarikçisinden ağ kimlik bilgilerini çalmasıyla olur. Hesap devralma işlemleri (ATO’lar) çalınan, ele geçen kimlik bilgileriyle olur. Büyük veri ihlali girişiminin başlangıcı olarak, kimlik bilgileri doldurma, kaba kuvvet kampanyalarıyla müşterileri hedef alabilir. Kullanılan kötü amaçlı botlar arasında rakiplerin talep gören ürünlerini yüksek fiyata yeniden satmak için satın alma, ödeme/hediye kartı dolandırıcılığı, fiyat düşürme bulunur. İnternet trafiğinin %30’unu oluşturur. Birleşik Krallık'ta web sitelerinin 3’te 2’si basit saldırıları engelleyemiyor. 2022 yılbaşı dönemi kötü bot trafiği %50 arttı. Perakende dijital dönüşümde API’ler (uygulama programlama arayüzü), bağlantı artışıyla kusursuz müşteri deneyimi sunar. Güvenlik açıkları, yanlış yapılandırma, bilgisayar korsanlarının müşteri verilerine ulaşmasını kolaylaştırır.

Perakendeciler siber risklere karşı kendilerini nasıl savunabilir

Personel karmaşık kimlik avı saldırılarını fark ederse verimli son savunma hattı oluşur. GDPR’ye uygun hangi verilere sahip olunduğu, nerede saklandığı, nereye aktarıldığı, nasıl korunduğu bilinmeli. Veriler sınıflandırılıp, hassas bilgiler güçlü şifrelenip, düzenli tekrarlanmalı. Yazılım yamaları önemli. Her yıl birçok güvenlik açığı yayımlanır, takip etmek zor. Riske dayalı otomatik sistemler süreci kolaylaştırır, en önemli sistemleri, güvenlik açıklarını önceliklendirebilir. Siber tehditlere karşı bariyer olarak sunucuda, uç noktada, e-posta ağında ve bulut katmanında kötü amaçlı yazılımlara karşı koruma ve diğer özelliklere sahip sistemler kullanılabilir. Önleyici kontrolleri aşan tehditlere karşı tehdit avı ve olay müdahalesi özellikleri olan, birden çok katmanda çalışan güçlü kapsamlı algılama ve yanıt (XDR) sistemi kullanılabilir. Dijital ortak ve yazılım tedarikçilerinin güvenlikte aynı risk kaygısını taşıdıklarından emin olunmalı ve denetlenmeli. Hassas hesaplar için güçlü parolalar oluşturan parola yöneticileri, çok faktörlü doğrulama şart. XDR, şifreleme, ağ ayrımı ve önleyici kontroller yanında, sıfır güven güvenlik yaklaşımının temelini oluşturur. Planların gözden geçirilmesi, doğru iş süreçleri ve teknoloji araçlarının mevcut olduğunu görmeyi sağlar. Planlar saldırılara karşı etkili olmalı, düzenli test edilmeli. Böylece her paydaş en kötü senaryoda ne yapılacağını bilir, tehdide yanıt verme, onu kontrol altına almada zaman kaybedilmez.