ریسک امنیت سایبری در خرده فروشی و نحوه اداره آن

نویسنده : دپارتمان فنی شرکت ارتباط امن - دوشنبه 5 فروردین 1398 در ساعت 10:07:34

 

هکرها و تاکتیک های آنها به طور مداوم در حال تکامل هستند اما یک چیز ثابت باقی می ماند: خرده فروشان اهداف اصلی حملات سایبری هستند. این مسئله بسیار مشخص است که تقریبا در هر گزارش امنیتی سایبری در چند سال گذشته، شرکت های خرده فروشی در لیست سازمان های تحت حمله بوده اند. با توجه به این موضوع و این حقیقت که حجم عظیمی از حملات سایبری به صورت روزانه رخ می دهند، حیاتی است که خرده فروشان بلوغ امنیتی خود را تقویت کنند. درک ریسک ها، همراه با اقداماتی که می تواند برای کاهش آن ها انجام شود، به خرده فروشان کمک خواهد کرد.

معمای سرویس های ابری

صرف نظر از نوع صنعت، پذیرش سرویس های ابری یک شمشیر دو لبه است؛ از یک طرف یک گام بالقوه و رو به جلو و یک فرصت برای تحول است، اما یکی از آن مواردی است که خطر اشتباهات و خطاهای امنیتی و خطاهای نرم افزاری را به وجود می آورد و فرصتی برای فعالیت بازیگران مخرب ایجاد می کند. خرده فروشی ها باید بدانند که تجارت الکترونیک در حال حاضر به دلیل جمع آوری اطلاعات شخصی مصرف کنندگان (PII) یک هدف اصلی برای حملات سایبری است که به طور ذاتی این اطلاعات با اطلاعات مالی افراد مورد نظر مرتبط است. اگر از اطلاعات مالی استفاده نشود؛ حداقل، اطلاعات شخصی برای استفاده در آینده و بازاریابی هدفمند ذخیره می شوند.

هنگامی که یک خرده فروشی هک می شود، به طور بالقوه میلیون ها نفر قربانی هکر می شوند، و اطلاعات آنها در Dark web ذخیره شده و به فروش می رسد و در ترکیب با مجموعه داده های دیگر برای ساخت پروفایل های عمومی برای سرقت هویت و فیشینگ مورد استفاده قرار می گیرد.

مهم نیست که شرکت بزرگ باشد یا کوچک، حملات سایبری آنقدر پیچیده شده اند که معمولا به صورت اتوماتیک انجام می شوند و دیگر هیچ سازمانی احساس امنیت نمی کند. صنایع خرده فروشی، هتل داری و اقامت اغلب در صدر لیست صنایع مورد هدف قرار دارند.

تجارت الکترونیک به منظور کاهش موانع خرید چالش های خود را نیز به ارمغان می آورد.

خرده فروشان مبتنی بر سیستم عامل های تجارت الکترونیکی باید آگاه باشند که احتمالا بیشتر از ویژگی های قدیمی تر فناوری اطلاعات ضربه خواهند خورد، زیرا سیستم ها خود به طور طبیعی و به طور مداوم برای کسب درآمد بیشتر تغییر می کنند، و این بدان معنی است که آنها نیاز بیشتری به حفظ امنیت فرآیندهای خود دارند. حتی سیستم های جدیدتر نیز ممکن است در برابر تکنیک های حملات جدید کاملا مقاوم نباشند، بنابراین نیاز به نظارت و بررسی دارند. توسعه و اجرای برنامه های تجارت الکترونیک صرفا جنبه اقتصادی دارد؛ امنیت نرم افزار اغلب اولویت کمتری در مقایسه با ارائه تجربه کاربری دارد. این کمبود توجه به اقدامات امنیتی همراه با افزایش سرمایه گذاری توسط مهاجمان، به این معنی است که حملات، احتمالا در آینده صنعت خرده فروشی را در معرض خطر جدی قرار می دهند.

بلوغ امنیتی

استاندارد امنیت داده های صنعت کارت (PCI DSS) یک استاندارد امنیتی برای سازمان هایی است که کارت های اعتباری را اداره می کنند. استاندارد PCI نشان می دهد که خرده فروشان کنترل اطلاعات مربوط به کارت های پرداختی را دارند و اقدامات لازم برای جلوگیری از سرقت داده ها و تقلب را انجام می دهند. طبق قانون این استاندارد مورد نیاز است که به معنی آن است که هر خرده فروشی که در حال حاضر با PCI سازگار نیست، باید اقدامات فوری انجام دهد. مجازات های عدم انطباق مبالغ سنگین 100،000 دلار  در هر ماه و یا 500،000 دلار برای هر حادثه امنیتی است.

سطوح مختلفی از انطباق PCI وجود دارد و هر سازمانی که پرداخت کالاها یا خدمات را به صورت اینترنتی انجام می دهد، باید سطوحی از ارزیابی را داشته باشد.

هر سازمانی که برنامه های کاربردی عمومی را اجرا می کند باید خود وظیفه امنیت، تست را برعهده گیرد و در صورت اجرا بر روی برنامه های کاربردی، باید برنامه نویسی بهترین شیوه ها را در مسیرهای بحرانی خود پیاده سازی نماید. این موارد شامل چندین ملاحظات است:

عمیقا با Open Web Application Security Project (OWASP) Top 10 آشنایی داشته باشید. فقط به این دلیل که موردی در آخرین نسخه OWASP در اولویت کمتری قرار گرفته، به این معنا نیست که اگر برنامه یا اجزای اجرایی آن این مورد را رعایت نمی کنند، پس فعلا می توانید آن را اجرا نکنید.

تست امنیت متمرکز به معنی تست کامل تمامی اجزایی است که می تواند امنیت برنامه را تحت تاثیر قرار دهد. تست ادغام و رگرسیون حیاتی است، روش های تست واحدها برای اجزای مهم امنیتی مانند احراز هویت، دسترسی به داده ها و یکپارچه سازی مناسب نیستند.

همه چیز و همه کس را تأیید صلاحیت کنید. در هر نقطه پایانی قابل دسترس از راه دور باید هویت و مجوز دسترسی آن را  تایید کنید. سرویس streaming بسیار قوی را در نظر بگیرید، که احراز هویت رابط کاربری را به طور کامل انجام می دهد اما اگر token احراز هویت ارسال نشود، تمام پروسه لغو می شود. تمامی اشخاص ثالث را به طور کامل بررسی کرده و تمامی موارد را مستند نمایید. اعتماد به افراد نباید باعث سهل انگاری در این فرآیند شود.

حفظ یک وضعیت خوب فناوری اطلاعات، یک کار مداوم است که مستلزم اقدامات مستمر و بررسی است. یک تیم امنیتی مدرن فناوری اطلاعات متشکل از کارشناسان امنیت سایبری شامل شکارچیان تهدید و تحلیل گران داده ها می شوند که پیش بینی می کنند دقیق ترین داده ها چگونه به سرقت می روند و به طور مداوم نشانه های دسترسی غیرمجاز را بررسی می کنند. پیدا کردن این مهارت های امنیتی سایبری و حفظ آنها بسیار سخت است. بنابراین، خرده فروش ها باید سعی در جذب این افراد و استفاده از توانایی های آنها در رشد امنیت در مجموعه خود نماید تا بتوانند به بلوغ امنیتی مورد نظر خود دست یابند.

لینک خبر: https://www.forbes.com

افزودن دیدگاه جدید

دیدگاههای شما