Risico’s cybersecurity pieken rond kerst
Door Chris Novak Managing Director of Cyber Security Consulting bij Verizon Business
De feestdagen waren lange tijd een goudmijn voor retailers, maar de stijging van de verkoop trekt ook dreigingsactoren aan. Zij willen profiteren van de piek in transacties. Retailers die aan de vraag van klanten willen voldoen, zijn gedwongen om extra middelen in te zetten. Denk hierbij aan extra tijdelijk personeel en apparatuur dat misschien sinds de feestdagen van een jaar terug niet meer is gebruikt, of in sommige gevallen zelfs sinds het begin van de pandemie. Als risico introduceren deze maatregelen misschien wel extra kwetsbaarheden. Wat zijn de meest voorkomende cyberaanvallen tijdens de feestdagen? En beschermen retailers zich hiertegen?
De dreigingen
Dit zijn de drie grootste dreigingen voor retailers.
1. Betaalkaartgegevens
De meest voorkomende cyberaanvallen in retail zijn gericht op gestolen betaalkaartgegevens. Het 2023 Databreach Investigations Report (DBIR) toont aan dat dit goed is voor 37% van alle inbreuken dit jaar. Een van de meest verraderlijke methoden die cybercriminelen gebruiken voor het stelen van betaalkaartgegevens, is het insluiten van een kwaadaardige code in de betalingspagina van de retailer. Hierdoor worden de betaalgegevens gestolen zonder de websitefunctionaliteit te beïnvloeden. Dit zorgt dat de aanvallen vaak onopgemerkt blijven. Uit het 2023 DBIR blijkt dat 70% van de inbreuken op betaalkaarten afkomstig is van webapplicaties en 8% van PoS-servers.
2. Typosquatting
Typosquatting is het gebruik van verkeerd getypte domeinen. Cybercriminelen doen zich voor als retailers met als doel het verleiden van nietsvermoedende consumenten. Deze methode wordt heel het jaar toegepast, maar piekt vooral rond de feestdagen, omdat consumenten vaak haast hebben bij het afvinken van hun boodschappenlijst. In deze haast zijn klanten vaak minder geneigd informatie te verifiëren waardoor de kans groter is dat zij betalingsgegevens impulsief invoeren. Dreigingsactoren spelen hierop in door tijdens tijdgevoelige aanbiedingen, zoals rond de kerst, waardevolle persoonlijke informatie te achterhalen.
3. Ransomware
Ransomware blijft een grote dreiging in alle sectoren, zo blijkt uit de 2023 DBIR, en is verantwoordelijk voor bijna een kwart van de inbreuken (24%). Het afgelopen jaar verdubbelde het in mediane kosten. Het risico dat ransomware vormt voor retailers, kan tijdens de feestdagen nog groter worden. Retailers kunnen het zich niet veroorloven dat hun systemen of de gegevens tijdens de drukste periode van het jaar gegijzeld worden. De kans is daarom groter dat zij toegeven aan bijzonder woekerachtige eisen.
De oplossingen
Hoe kun je dit tegengaan?
Threat Mitigation
Mitigation services, oftewel risicobeperkende diensten en informatie over dreigingen, helpen retailers bij het identificeren van kwetsbare plekken. Ook ondersteunen ze bij de verdediging tegen cyberaanvallen, zoals typosquatting en gecompromitteerde betalingspagina’s. Deze oplossingen zorgen op een aantal manieren voor verdediging. Een proactieve aanpak roeit bijvoorbeeld typosquatting uit en, in sommige gevallen, herleidt het naar de dreigingsactoren.
Compliance
De wereldwijde standaard voor technische en operationele vereisten van rekeningnummers is PCI 4.0. Compliance is een van de belangrijkste pijlers voor retailers, zeker gezien de dreiging van inbreuken op betaalgegevens. Compliance is niet binair, ondanks dat het een maandenlang proces is. Iedere stap richting PCI 4.0 compliance maakt een retailorganisatie veiliger. En wat is een betere tijd dan nu om hiermee te beginnen?
Personeel trainen
De installatie van ransomware in een netwerk vindt vaak plaats via social engineering, een methode waarbij cybercriminelen inspelen op menselijke fouten. Het inhaken op menselijke fouten speelt volgens het 2023 DBIR in 74% van de inbreuken een rol. Personeelstraining draagt bij aan het verdedigen tegen dit soort aanvallen. Leer werknemers hoe ze veelvoorkomende phishing-, smishing- en andere social engineering-aanvallen herkennen en vermijden en voorkom en verminder zo inbreuken veroorzaakt door de menselijke factor. Het trainen van medewerkers is vooral belangrijk wanneer doorgewinterde retailers uitdijen met tijdelijke die onbedoeld schade aanrichten als zij niet beschikken over voldoende training.
Plan voor de lange termijn, maar begin nu
Begin nu met het invoeren van cybersecurity, ook als dat niet topprioriteit voor de organisatie is. Het naleven van PCI 4.0 kan maanden duren, ondanks de wereldwijde streefdatum van maart 2024. Toch is iedere stap richting compliance één meer in de richting van een veilige retailorganisatie. Train zowel fulltime als tijdelijk personeel. En sluit het bedrijf zo goed mogelijk af voor de feestdagen, met het oog op de verbeterde security en normen in het nieuwe jaar.