Le minacce alla sicurezza informatica sono una preoccupazione crescente per le aziende di vendita al dettaglio poiché adottano sempre più casse automatiche tramite Apple, Google Pay o altre piattaforme di pagamento. Dal 2005, i rivenditori hanno visto oltre 10,000 violazioni dei dati, principalmente a causa di difetti e vulnerabilità nei sistemi di pagamento.
I sistemi POS (Point of sale) utilizzano spesso una miriade di componenti hardware, software e basati su cloud esterni.
“Come minimo, i rivenditori devono garantire che la loro parte contraente li rispetti e osserveranno gli stessi requisiti di conformità alla sicurezza dell'azienda stessa. Esistono numerose opportunità per un criminale informatico di sfruttare il sistema, sia alla fonte del fornitore che fornisce la soluzione sia quando la tecnologia viene implementata in loco. Sfruttare una vulnerabilità nel software utilizzato sui dispositivi POS (o anche nei servizi cloud di back-end) potrebbe consentire a un criminale informatico di distribuire malware sul dispositivo POS. Ciò consentirebbe loro di raccogliere dati finanziari, infliggere un attacco malware come un ransomware o di utilizzare il dispositivo per connettersi ad altri sistemi interni", ha affermato Tony Anscombe, Chief Security Evangelist di ESET.
Gli effetti degli attacchi informatici sui rivenditori possono includere pesanti multe, sanzioni, perdita di dati, perdite finanziarie e danni alla reputazione.
Ci sono anche minacce alla sicurezza che gli utenti devono affrontare quando utilizzano dispositivi IoT nella vendita al dettaglio. Oltre l'84% delle organizzazioni utilizza Dispositivi IoT. Tuttavia, meno del 50% ha adottato solide misure di sicurezza contro gli attacchi informatici. Ad esempio, la maggior parte delle organizzazioni utilizza le stesse password per molto tempo, il che aumenta gli attacchi di forza bruta, consentendo agli hacker di rubare e manipolare i dati.
I dispositivi IoT possono essere utilizzati per tenere traccia dei movimenti dei clienti e della cronologia degli acquisti e gli hacker potrebbero potenzialmente accedere a questi dati. Inoltre, i clienti potrebbero essere a rischio di essere truffati quando utilizzano piattaforme di pagamento come Apple Pay. Queste truffe possono assumere molte forme, come app false che rubano informazioni personali o siti Web che inducono i clienti a inserire i dettagli della loro carta di credito.
“L'introduzione di questi nuovi meccanismi di pagamento segna l'inizio di un nuovo ciclo di adozione della tecnologia. Dal punto di vista della sicurezza, questo è quando le cose sono in genere le più vulnerabili. Inoltre, i dispositivi connessi che guidano questa trasformazione sono già considerati l'anello più debole in altri scenari di distribuzione molto più maturi. Credo che nella vendita al dettaglio, proprio come in altri settori, vedremo questi dispositivi sfruttati per ottenere una presenza persistente sulla rete, esporre dati sensibili, eseguire truffe digitali e altro ancora. E anche se i nuovi dispositivi sono di per sé estremamente sicuri - e questo è un grande SE - vengono comunque introdotti in un ambiente pieno fino all'orlo di IoT legacy, che può essere utilizzato per aggirare le proprie difese. Guardando le cose dal punto di vista dei cattivi attori, quello che abbiamo qui è una massiccia espansione della superficie di attacco, che aggiunge molte nuove "opportunità" di alto valore a quello che era già un ambiente ricco di obiettivi", ha affermato Natali Tshuva, CEO e cofondatore di Sternum, una società di sicurezza, osservazione e analisi IoT residente su dispositivi e senza codice.
Ogni dispositivo IoT ha la propria catena di fornitura software all'interno. Questo perché il codice che esegue il dispositivo è in realtà una combinazione di diversi progetti chiusi e open source. In quanto tale, una delle minacce più immediate è l'esposizione delle informazioni sensibili o addirittura personali dei clienti con la frode informatica. "Questo è diverso da altre truffe digitali, come il phishing e altri tipi di ingegneria sociale", ha affermato Tshuva.
“Qui l'obiettivo non avrà la possibilità di prevenire l'attacco attraverso la vigilanza o anche solo sospettando che stia succedendo qualcosa, di certo non finché non sarà troppo tardi”.
“Ci circondiamo di dispositivi connessi, ma per noi sono 'scatole nere' e non sappiamo mai – o abbiamo modi per sapere – cosa sta realmente succedendo all'interno”.
Secondo Tshuva, la maggior parte dei dispositivi IoT oggi funziona già con il codice di diversi (forse alcune dozzine) diversi fornitori di software, alcuni dei quali non hai mai sentito parlare. Di solito, questi componenti di terze parti sono responsabili della crittografia, della connettività e di altre funzioni sensibili. E anche il sistema operativo potrebbe essere un mix di diversi sistemi operativi combinati insieme”.
“Questo espone una delle principali sfide della sicurezza IoT che, ancora una volta, risale all'idea di espandere la superficie di attacco. Perché con ogni dispositivo che introduci nel sistema, quello che stai effettivamente aggiungendo è un intruglio di codice di diversi fornitori di software, ognuno con le proprie vulnerabilità da riversare nel mix", ha concluso Tshuva.
I rivenditori devono adottare una serie di misure per proteggere se stessi e i propri clienti dalle minacce alla sicurezza informatica. Dovrebbero garantire che i loro sistemi siano aggiornati con le ultime patch di sicurezza e dovrebbero anche disporre di un piano di sicurezza completo. I dipendenti dovrebbero essere formati su come identificare e rispondere alle minacce alla sicurezza e i clienti dovrebbero essere informati dei rischi derivanti dall'utilizzo dei dispositivi IoT nella vendita al dettaglio.
“Man mano che i rivenditori adottano l'IoT per la sorveglianza della posizione dei loro clienti, creano ricchi set di dati sui movimenti e le abitudini di acquisto dei consumatori. Questi record creano una traccia di dati che deve essere custodita con molta attenzione poiché l'acquisto di informazioni insieme ai movimenti può rivelare abitudini estremamente private. Abbiamo assistito a una miriade di attacchi mirati ai rivenditori al momento dell'acquisto e, se questo può essere unito al percorso che i clienti intraprendono attraverso un negozio, un centro commerciale o anche attraverso città e continenti, i consumatori avranno un forte ricorso per danni contro catene di vendita al dettaglio”, ha affermato Sean O'Brien, fondatore di Yale Privacy Lab.
Per comprendere le minacce, le organizzazioni devono capire che l'adozione di soluzioni digitali da parte delle attività di vendita al dettaglio significa adottare soluzioni dipendenti dal software e aumentare la superficie di attacco per i criminali informatici.
“Quello che era un registratore di cassa meccanico ora è un punto vendita “intelligente” che elabora e raccoglie le informazioni di pagamento dei clienti, rendendoli un target desiderabile. Questi sistemi sono spesso collegati a una soluzione di e-commerce più ampia come negozi online/fatturazione/inventario, ecc., Il che potrebbe renderli un punto di accesso a sistemi più critici. Essendo dipendenti da soluzioni intelligenti, le attività di vendita al dettaglio si trovano anche suscettibili di attacchi ransomware e denial-of-service che bloccano la loro capacità di effettuare transazioni. Inoltre, i dispositivi PoS, essendo piccoli computer, possono essere utilizzati in grandi attacchi botnet", ha affermato Maty Siman, CTO e fondatrice di Checkmarx.
Le aziende di e-commerce utilizzano molti fornitori diversi per i loro processi. Dall'hardware e software alle operazioni e ai servizi finanziari, tutti i fornitori utilizzano più software e componenti di terze parti che, a loro volta, dipendono anche da componenti di terze parti.
"Se un attore malintenzionato può sfruttare o introdurre una "backdoor" su qualsiasi componente lungo il percorso, sta essenzialmente ottenendo l'accesso alle soluzioni finalizzate che possono essere trovate in seguito nelle attività di vendita al dettaglio. Quando tutto si basa sul software in questi giorni, la dipendenza dal software open source intensifica questi problemi", ha affermato Siman.
Secondo Siman, la formazione dei dipendenti sulle migliori pratiche di sicurezza è essenziale. “È necessario eseguire regolarmente il backup dei dati e gli utenti dei rivenditori dovrebbero utilizzare password complesse e MFA. La rete utilizzata per le transazioni deve essere isolata dalle altre reti e i dispositivi e il relativo software devono essere aggiornati e patchati regolarmente".
Gli esseri umani sono ancora la minaccia più importante, afferma Sean Tufts, leader della sicurezza IoT/OT presso Optiv. "Avere meno dipendenti o un'interazione faccia a faccia al punto vendita e/o alla cassa porta a più furti fisici, ma apre anche questi rivenditori a una maggiore manomissione da parte di esperti di minacce che cercano di sfruttare i vantaggi di un negozio fiducia. Più queste macchine vengono lasciate incustodite, più interfacce possono e saranno manipolate, ad esempio skimmer installati e porte accessibili".
Fonte: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/