Интернет-покупатели и операторы веб-сайтов электронной коммерции сталкиваются с большими шансами стать жертвами кибер-хакерских атак по мере приближения 2021 года. Список технических и логистических проблем, охватывающих несколько отраслей, дает как покупателям, так и розничным торговцам повод удвоить усилия, чтобы избежать взлома в этом году.
Список возглавляют два фактора: безудержная инфляция и рост кибератак. И те, и другие доводят до предела покупательную способность и цифровую безопасность во время сезона праздничных покупок.
К этим двум важным событиям добавляется целый ряд событий, которые делают этот сезон покупок еще более напряженным, чем обычно. Цепочки поставок более забиты, чем когда-либо, и задержки отгрузки являются мировой дилеммой.
По мнению Колина Кларка, вице-президента компании Payment Software Company ( PSC), входящая в состав NCC Group NCC Group.
«Если это слишком хорошо, чтобы быть правдой, то, вероятно, так оно и есть. Нехватка рабочей силы означает, что техническое обслуживание системы с большей вероятностью будет упущено из виду. Сделайте это приоритетом номер один, чтобы вы могли проводить больше отпускных сезонов в бизнесе », — предупредил он.
Кларк руководит операциями PSC в Европе, на Ближнем Востоке и в Азии; с более чем 30-летним опытом проведения платежей с точки зрения продавца, прежде чем присоединиться к сообществу оценщиков. NCC Group работает с ведущими организациями, чтобы защитить свой бизнес, ценность бренда и репутацию от киберугроз.
Он призывает как потребителей, так и компании, покупающие товары в Интернете, избегать двух основных угроз, с которыми они, скорее всего, столкнутся в этом сезоне: плохо настроенные платформы электронной коммерции и сторонние угрозы.
«Многие продавцы внедрили платформы электронной коммерции во время пандемии. Некоторые из них могли некорректно обслуживаться или проверяться на безопасность. Это, вероятно, означает, что значительное количество уязвимостей активно эксплуатируется в дикой природе », — сказал он E-Commerce Times.
Сторонние угрозы связаны с программными компонентами или сторонним контентом. Любые внешние материалы, загружаемые на платформу электронной коммерции или получающие доступ к ней, следует рассматривать с подозрением и проверять, добавил Кларк.
Содержание статьи
Проблемы с затратами и предложением
США. потребительские цены растут самыми быстрыми темпами за 31 год. Рынок труда сужается, разжигая пожары в цепочке поставок.
Инфляция остается главной проблемой для ритейлеров в этом году. По словам Мэтта Павича, старшего директора по инновациям в розничной торговле Revionics, в сочетании с трудностями, связанными с рабочей силой и цепочкой поставок, а также с растущей конкуренцией, розничные торговцы сталкиваются с реальным риском для своей прибыли и доли, если не найдут правильный баланс.
РЕКЛАМА
Инфляция по своей сути является проблемой ценообразования. Для этого требуется продуманная, аналитически информированная и ориентированная на клиента ценовая политика. Такой подход обеспечивает защиту розничной наценки, предлагая потребителям лучшие цены на самые важные товары.
«При наличии правильных стратегий, аналитики и платформ ценообразования лучшие розничные торговцы смогут выдержать инфляционный шторм и фактически увеличить долю и прибыль в чрезвычайно трудное время», — сказал Павич в интервью E-Commerce. Times.
Потребители все чаще сталкиваются с пустыми полками с ограниченным выбором наиболее востребованных товаров с более высокими, чем ожидалось, ценами. Грузовые суда застревают в море, фабрики закрываются, задержки доставки здесь вероятны на долгое время, а пандемия продолжает преследовать и серьезно нарушать глобальную цепочку поставок.
«Учитывая текущее состояние неопределенности в глобальных цепочках поставок, для маркетологов как никогда важно обеспечить гибкость своих маркетинговых планов и кампаний», — сказал Питер Махони, генеральный директор и соучредитель Plannuh, компании, занимающейся искусственным интеллектом. платформа для маркетинга, бюджетирования и планирования.
«Маркетинговые лидеры должны быть готовы увеличивать или уменьшать формирование спроса в зависимости от соотношения между спросом и предложением. По словам Махони, им также необходима видимость и контроль в режиме реального времени, чтобы ускорить реализацию возможностей или быстро сократить их объем, если поставки недоступны ».
Испытанный и истинный обман
сверхурочные, чтобы они хорошо проводили время за чужой счет. Им удается использовать в основном старые тактики без необходимости приобретать новые высокотехнологичные хакерские уловки.
По словам Кларка, киберугрозы, используемые в этот праздничный сезон, не сильно отличаются от прошлого сезона. Но тот факт, что некоторые из этих сайтов электронной коммерции работают уже 18 месяцев, означает, что риск отсутствия исправлений значительно вырос.
«Количество атак через стороннее программное обеспечение и продукты тоже не новость, но увеличивается», — сказал он.
Атаки в первую очередь нацелены на розничных торговцев. По его наблюдениям, для получения информации об одном держателе карты требуется не намного меньше усилий, чем для работы с розничным продавцом. Между тем, успешное проникновение на платформу ритейлера означает получение всех данных о его клиентах.
Стратегии атак, такие как фишинг, использование повторно используемых паролей, использование незащищенных систем и уязвимостей SQL-инъекций, не новость. Они испытаны и испытаны.
РЕКЛАМА
Пока они работают, они будут продолжать доминировать в окружающая обстановка. "Что изменилось, так это рост числа атак на сторонних поставщиков с целью обхода мер безопасности", — отметил Кларк.
«Автоматическое доверие к стороннему контенту обходит любые хорошие протоколы безопасности, которые вы встроили в свои собственные системы, поскольку вы полагаетесь на неизвестное, чтобы защитить себя», — сказал он.
Несмотря на то, что в последнее время серьезных нарушений кредитных карт не произошло, взломы, несомненно, были у значительного числа мелких торговцев. Это стало смертью из-за тысячи сокращений, и именно поэтому отрасль стремится обучать более мелких розничных торговцев методам обеспечения безопасности.
Cybersecurity Rundown
Опросы отрасли, проведенные в последние месяцы, подтвердили, что ключевыми проблемами кибербезопасности, влияющими на электронную коммерцию, являются конфиденциальность, утечка данных и раскрытие свойств объектов с помощью внутреннего или внешнего интерфейса программирования приложений (API ).
Недавний отчет Cloudentity, основанный на исследовании Pulse Q&A, показал, что 97 процентов предприятий столкнулись с задержками в выпуске новых приложений и усовершенствованных сервисов из-за проблем с идентификацией и авторизацией API и сервисов.
Некоторые выводы Cloudentity совпадают с тем, что мы также раскрыли в отчете Salt Security State of API Security. По словам Майкла Исбицки, технического евангелиста Salt Security, многим организациям пришлось замедлить или приостановить выпуск выпусков из-за проблем с безопасностью API, что часто не дает возможности использовать методы DevOps и инициативы по цифровой трансформации.
«Организационные группы ИТ и безопасности находятся между камнем и наковальней, когда дело доходит до выпуска новых функций приложений и безопасного выполнения этих задач. Традиционные подходы к безопасности API, которые часто сосредоточены исключительно на контроле доступа или фильтрах защиты от угроз, обеспечиваемых шлюзами и брандмауэрами веб-приложений, недостаточны для удовлетворения потребностей современной архитектуры и доставки приложений », — сказал он E-Commerce Times.
Лучшие практики безопасности всегда способствовали аутентификации и авторизации для любой системы или приложения. К сожалению, в мире API очень сложно реализовать надежную и эффективную аутентификацию и авторизацию. Эта реальность является побочным эффектом обширных экосистем или цифровых цепочек поставок, которые созданы для соединения разрозненных партнеров, поставщиков, приложений и хранилищ данных.
Организация может владеть только определенными элементами управления доступом, а полная сквозная последовательность API или поток приложений проходит через многие сети и системы. В результате даже простые основы безопасности, такие как знание полной инвентаризации API и точек доступа к данным, могут оказаться иллюзорными для организаций, объяснил Исбицкий.
Он видит атаки и злоупотребления API во всех типах архитектур и технологических стеков, будь то устаревшие монолиты или современные облачные разработки. Злоумышленники часто атакуют API-интерфейсы через клиентские интерфейсы и API-интерфейсы, которые организации должны предоставлять для обеспечения функциональности и данных.
«Как устроена заданная серверная часть, включая то, является ли она монолитом или набором микросервисов, часто не имеет значения в зависимости от конечных целей злоумышленника», — предупредил он
Советы по защите для потребителей и розничных торговцев
Потребители должны убедиться, что продавец является законным, — предположил Кларк из PSC. Например, не переходите по ссылкам в электронных письмах; Www [dot] walmort [dot] com »очень похоже на настоящее, но это не так.
Если вы хотите что-то купить в Интернете, введите URL-адрес самостоятельно. Используйте разные пароли для каждого сайта, независимо от того, насколько он раздражает.
Если ваш банковский пароль совпадает с паролем, который вы используете для своего местного бегового клуба, то даже самая лучшая безопасность в вашем банке будет настолько хороша, насколько хороша самая маленькая ошибка на веб-сайте вашего бегового клуба. «Плохие парни украдут данные с сайтов с низким уровнем риска, а затем будут использовать эти учетные данные повсюду, чтобы увидеть, где им может повезти», — сказал Кларк.
«Продавцы, со своей стороны, должны исправлять свои системы, проверять разрешенный сторонний контент и, что наиболее важно, обеспечивать безопасное управление своим сайтом, чтобы не допустить злоумышленников», — предложил он.
Двухфакторная аутентификация, ведение журнала, оповещение и круглосуточный мониторинг оповещений имеют решающее значение. Остерегайтесь фишинговых писем и не думайте, что каждое сообщение является подлинным. Он заключил, что если вы получите сообщение, которое может серьезно повлиять на вас или компанию, возьмите телефон, чтобы проверить его.
