Джек М. Жермен
22 ноября 2021 г., 5:00 утра по тихоокеанскому времени
Интернет-покупатели и Операторы веб-сайтов электронной коммерции сталкиваются с большими шансами стать жертвами киберхакерских атак по мере приближения 2021 года. Список технических и логистических проблем, охватывающих несколько отраслей, дает как покупателям, так и розничным торговцам повод удвоить усилия, чтобы избежать взлома в этом году.
Список возглавляют два фактора: безудержная инфляция и рост кибератак. И те, и другие доводят до предела покупательную способность и цифровую безопасность во время сезона праздничных покупок.
К этим двум важным событиям добавляется целый ряд событий, которые делают этот сезон покупок еще более напряженным, чем обычно. Цепочки поставок более забиты, чем когда-либо, и задержки отгрузки являются мировой дилеммой.
По мнению Колина Кларка, вице-президента компании Payment Software Company ( PSC), часть NCC Group NCC Group.
«Если это слишком хорошо, чтобы быть правдой, то, вероятно, так оно и есть. Нехватка рабочей силы означает, что техническое обслуживание системы еще более вероятно будет упущено. Сделайте это приоритетом номер один, чтобы вы могли наслаждаться большим количеством праздничных сезонов в бизнесе», — предупредил он.
Кларк руководит операциями PSC в Европе, на Ближнем Востоке и в Азии; с более чем 30-летним опытом проведения платежей с точки зрения продавца, прежде чем присоединиться к сообществу оценщиков. NCC Group работает с ведущими организациями, чтобы защитить свой бизнес, ценность бренда и репутацию от киберугроз.
Он призывает как потребителей, так и компании, покупающие товары в Интернете, избегать двух основных угроз, с которыми они, скорее всего, столкнутся в этом сезоне: плохо настроенных платформ электронной коммерции и сторонних угроз.
«Многие продавцы внедрили платформы электронной коммерции во время пандемии. Некоторые из них, возможно, не обслуживались должным образом или не проверялись на безопасность. Это, вероятно, означает, что значительное количество уязвимостей активно эксплуатируется в дикой природе», — сказал он E- Коммерс Таймс.
Сторонние угрозы связаны с программными компонентами или сторонним контентом. «Любые внешние материалы, загружаемые на платформу электронной коммерции или получающие доступ к ней, следует рассматривать с подозрением и проверять», — добавил Кларк.
Содержание статьи
Беспокойство по поводу затрат и предложения
Потребительские цены в США растут самыми быстрыми темпами за 31 год. Рынок труда сужается, разжигая пожары в цепочке поставок.
Инфляция остается главной проблемой для ритейлеров в этом году. По словам Мэтта Павича, старшего директора по инновациям в розничной торговле Revionics, в сочетании с трудностями, связанными с рабочей силой и цепочкой поставок, а также с растущей конкурентной средой, розничные торговцы сталкиваются с реальным риском для своей прибыли и доли, если не найдут правильный баланс.
Инфляция по своей сути является проблемой ценообразования. Для этого требуется продуманный, аналитически информированный и ориентированный на клиента ответ по ценообразованию. Такой подход обеспечивает защиту розничной наценки, предлагая потребителям лучшие цены на самые важные товары.
«При наличии правильных стратегий, аналитики и платформ ценообразования лучшие ритейлеры смогут выдержать инфляционный шторм и фактически увеличить долю и прибыль в чрезвычайно трудное время», — сказал Павич E-Commerce Times.
Потребители все чаще сталкиваются с пустыми полками с ограниченным выбором наиболее востребованных товаров с более высокими, чем ожидалось, ценами. Грузовые суда застревают в море, фабрики закрываются, задержки доставки здесь вероятны на долгое время, а пандемия продолжает преследовать и серьезно нарушать глобальную цепочку поставок.
«Учитывая текущее состояние неопределенности в глобальных цепочках поставок, для маркетологов как никогда важно обеспечить гибкость своих маркетинговых планов и кампаний», — сказал Питер Махони, генеральный директор и соучредитель Plannuh, компании, занимающейся искусственным интеллектом. платформа для маркетинга, бюджетирования и планирования.
«Маркетинговые лидеры должны быть готовы увеличивать или уменьшать масштабы формирования спроса в зависимости от соотношения между спросом и предложением. Им также необходима видимость и контроль в реальном времени за их расходами, чтобы открывать новые возможности или быстро сокращать их, если предложение ограничено. недоступен, сказал Махони ".
Испытанный и верный обман
Хакеры работают сверхурочно, чтобы хорошо провести время за счет других. Им удается использовать в основном старые тактики без необходимости приобретать новые высокотехнологичные хакерские уловки.
По словам Кларка, киберугрозы, используемые в этот праздничный сезон, не сильно отличаются от прошлого сезона. Но тот факт, что некоторые из этих сайтов электронной коммерции работают уже 18 месяцев, означает, что риск отсутствия исправлений значительно вырос.
«Количество атак через стороннее программное обеспечение и продукты тоже не ново, но растет», — сказал он.
Атаки в первую очередь нацелены на розничных торговцев. По его наблюдениям, для получения информации об одном держателе карты требуется не намного меньше усилий, чем для работы с розничным продавцом. Между тем, успешное проникновение на платформу розничного продавца означает получение данных всех его клиентов.
Такие стратегии атак, как фишинг, использование повторно используемых паролей, а также использование незащищенных систем и уязвимостей SQL-инъекций, не новость. Они испытаны и испытаны.
Пока они работают, они будут продолжать доминировать в окружающей среде. "Что изменилось, так это рост числа атак на сторонних поставщиков с целью обхода мер безопасности", — отметил Кларк.
«Автоматическое доверие к стороннему контенту обходит любые хорошие протоколы безопасности, которые вы встроили в свои собственные системы, поскольку вы полагаетесь на неизвестное, чтобы защитить вас», — сказал он.
Несмотря на то, что в последнее время серьезных нарушений кредитных карт не произошло, взломы, несомненно, были у значительного числа мелких торговцев. Это стало смертью из-за тысячи сокращений, и именно поэтому отрасль стремится обучить более мелких розничных торговцев методам обеспечения безопасности.
Cybersecurity Rundown
Опросы отрасли, проведенные в последние месяцы, подтвердили, что ключевыми проблемами кибербезопасности, влияющими на электронную коммерцию, являются конфиденциальность, утечка данных и раскрытие свойств объектов с помощью внутреннего или внешнего интерфейса программирования приложений (API ).
Недавний отчет Cloudentity, основанный на исследовании Pulse Q&A, показал, что 97 процентов предприятий сталкивались с задержками в выпуске новых приложений и усовершенствованных сервисов из-за проблем с идентификацией и авторизацией API и сервисов.
Некоторые выводы Cloudentity совпадают с тем, что мы также раскрыли в отчете Salt Security State of API Security. По словам Майкла Исбицки, технического евангелиста Salt Security, многим организациям пришлось замедлить или приостановить выпуск производственных версий из-за проблем с безопасностью API, что часто не позволяет использовать методы DevOps и инициативы по цифровой трансформации.
«Организационные ИТ-группы и группы безопасности находятся между камнем и наковальней, когда дело доходит до выпуска новых функций приложений и безопасного выполнения этих задач. Традиционные подходы к безопасности API, которые часто сосредоточены исключительно на контроле доступа или фильтрах защиты от угроз, предоставляемых шлюзы и брандмауэры веб-приложений недостаточны для удовлетворения потребностей современной архитектуры и доставки приложений », — сказал он E-Commerce Times.
Передовой опыт безопасности всегда продвигал аутентификацию и авторизацию для любой системы или приложения. К сожалению, в мире API очень сложно реализовать надежную и эффективную аутентификацию и авторизацию. Эта реальность является побочным эффектом обширных экосистем или цифровых цепочек поставок, которые созданы для соединения разрозненных партнеров, поставщиков, приложений и хранилищ данных.
Организация может владеть только определенными элементами управления доступом, и полная сквозная последовательность API или поток приложений проходит через многие сети и системы. В результате даже простые основы безопасности, такие как знание полной инвентаризации API и точек доступа к данным, могут быть иллюзорными для организаций, объяснил Исбицкий.
Он видит атаки и злоупотребления API во всех типах архитектур и технологических стеков, будь то устаревшие монолиты или современные облачные разработки. Злоумышленники часто атакуют API-интерфейсы через клиентские интерфейсы и API-интерфейсы, которые организации должны предоставлять для предоставления функций и данных.
«Как устроен заданный сервер, включая то, является ли он монолитом или набором микросервисов, часто не имеет значения в зависимости от конечных целей злоумышленника», — предупредил он
Советы по защите потребителей и Розничные торговцы
Потребители должны гарантировать, что продавец является законным, — предположил Кларк из PSC. Например, не переходите по ссылкам в электронных письмах; «www [dot] walmort [dot] com» очень похоже на настоящее, но это не так.
Если вы хотите что-то купить в Интернете, введите URL-адрес самостоятельно. Используйте разные пароли для каждого сайта, независимо от того, насколько он раздражает.
Если ваш банковский пароль совпадает с паролем, который вы используете для своего местного бегового клуба, то даже самая лучшая безопасность в вашем банке настолько хороша, насколько хороша самая маленькая ошибка на веб-сайте вашего бегового клуба. «Плохие парни украдут данные с сайтов с низким уровнем риска, а затем будут использовать эти учетные данные повсюду, чтобы увидеть, где им может повезти», — сказал Кларк.
«Со своей стороны, продавцы должны исправлять свои системы, проверять разрешенный сторонний контент и, что наиболее важно, обеспечивать безопасное управление своим сайтом, чтобы не допустить злоумышленников», — предложил он.
Двухфакторная аутентификация, ведение журнала, оповещение и круглосуточный мониторинг оповещений имеют решающее значение. Остерегайтесь фишинговых писем и не думайте, что каждое сообщение является подлинным. Он заключил, что если вы получили сообщение, которое может серьезно повлиять на вас или компанию, возьмите трубку и проверьте его. 
