Жижиглэн худалдааны компаниуд Apple, Google Pay эсвэл бусад төлбөрийн платформоор дамжуулан төлбөр тооцоогоо хийдэг болсноор кибер аюулгүй байдлын аюул заналхийлж байна. 2005 оноос хойш жижиглэн худалдаачид үүнийг харсан 10,000 мэдээллийн зөрчил, голчлон төлбөрийн систем дэх дутагдал, сул талуудтай холбоотой.
Борлуулалтын цэгийн систем (POS) нь ихэвчлэн гадаад техник хангамж, програм хангамж, үүлэн дээр суурилсан бүрэлдэхүүн хэсгүүдийг ашигладаг.
"Наад зах нь жижиглэнгийн худалдаачид гэрээ байгуулсан тал нь тэдний шаардлагыг дагаж мөрдөж байгаа эсэхийг баталгаажуулах ёстой бөгөөд компанийн өөрийнхтэй ижил аюулгүй байдлын шаардлагыг дагаж мөрдөх ёстой. Шийдэл гаргаж буй борлуулагчийн эх үүсвэр эсвэл технологийг газар дээр нь байршуулсан эсэхээс үл хамааран кибер гэмт хэрэгтнүүдэд системийн давуу талыг ашиглах олон боломж байдаг. ПОС төхөөрөмж дээр (эсвэл бүр арын үүлэн үйлчилгээнд) ашигладаг програм хангамжийн эмзэг байдлыг ашиглах нь кибер гэмт хэрэгтэнд POS төхөөрөмж дээр хортой програм байрлуулах боломжийг олгоно. Энэ нь тэдэнд санхүүгийн мэдээлэл цуглуулах, ransomware гэх мэт хортой програмын халдлага хийх, эсвэл төхөөрөмжийг бусад дотоод системд холбоход ашиглах боломжийг олгоно” гэж ESET-ийн Аюулгүй байдлын ахлах евангелист Тони Анскомб хэлэв.
Жижиглэн худалдаалагчдад кибер халдлагын нөлөөлөл нь их хэмжээний торгууль, торгууль, мэдээллийн алдагдал, санхүүгийн алдагдал, нэр хүндэд хохирол учруулж болзошгүй.
Мөн түүнчлэн IoT төхөөрөмжийг ашиглах үед хэрэглэгчид тулгардаг аюулгүй байдлын аюул жижиглэнгийн худалдаанд. Байгууллагуудын 84 гаруй хувь нь ашигладаг IoT төхөөрөмжүүд. Гэсэн хэдий ч 50 хүрэхгүй хувь нь кибер халдлагын эсрэг аюулгүй байдлын хатуу арга хэмжээ авсан байна. Жишээлбэл, ихэнх байгууллагууд ижил нууц үгийг удаан хугацаагаар ашигладаг бөгөөд энэ нь харгис хүчний халдлагыг нэмэгдүүлж, хакерууд өгөгдлийг хулгайлах, удирдах боломжийг олгодог.
IoT төхөөрөмжийг үйлчлүүлэгчдийн хөдөлгөөн, худалдан авалтын түүхийг хянахад ашиглаж болох бөгөөд хакерууд энэ мэдээлэлд нэвтрэх боломжтой. Нэмж дурдахад хэрэглэгчид Apple Pay гэх мэт төлбөрийн платформыг ашиглахдаа залилан мэхлэх эрсдэлтэй байж болно. Эдгээр заль мэх нь хувийн мэдээллийг хулгайлдаг хуурамч програмууд эсвэл үйлчлүүлэгчдийг кредит картынхаа мэдээллийг оруулахад хууран мэхлэх вэбсайтууд гэх мэт олон хэлбэртэй байж болно.
“Эдгээр төлбөрийн шинэ механизмыг нэвтрүүлсэн нь шинэ технологи нэвтрүүлэх мөчлөг эхэлж байгааг харуулж байна. Аюулгүй байдлын үүднээс авч үзвэл энэ нь ихэвчлэн хамгийн эмзэг байдаг. Нэмж дурдахад, энэ өөрчлөлтийг удирддаг холбогдсон төхөөрөмжүүд нь бусад илүү боловсронгуй байршуулалтын хувилбаруудын хамгийн сул холбоос гэж тооцогддог. Бусад салбаруудын нэгэн адил жижиглэнгийн худалдаанд бид эдгээр төхөөрөмжүүдийг сүлжээний байнгын оролцоог олж авах, нууц мэдээллийг илчлэх, дижитал залилан мэхлэх гэх мэт зорилгоор ашиглахыг харах болно гэдэгт би итгэж байна. Хэдийгээр шинэ төхөөрөмжүүд нь өөрөө маш найдвартай байсан ч гэсэн энэ бол том IF - тэдгээрийг өөрсдийн хамгаалалтыг тойрч гарахад ашиглаж болох IoT-ээр дүүрэн орчинд нэвтрүүлсээр байна. Муу жүжигчдийн өнцгөөс харахад бидэнд байгаа зүйл бол довтолгооны гадаргуугийн асар том тэлэлт бөгөөд энэ нь өмнө нь бай байсаар ирсэн олон шинэ өндөр үнэ цэнэтэй "боломж"-ыг нэмж өгдөг" гэж Натали Цшува хэлэв. Кодгүй, төхөөрөмжид оршин суудаг IoT аюулгүй байдал, ажиглалт, аналитик компанийн Sternum-ийн гүйцэтгэх захирал, үүсгэн байгуулагч.
IoT төхөөрөмж бүр өөрийн гэсэн програм хангамжийн хангамжийн сүлжээтэй байдаг. Учир нь уг төхөөрөмжийг ажиллуулдаг код нь үнэндээ хэд хэдэн хаалттай болон нээлттэй эхийн төслүүдийн нэгдэл юм. Иймээс хамгийн нэн даруй тулгарч буй аюулын нэг бол үйлчлүүлэгчдийн нууц, тэр байтугай хувийн мэдээллийг кибер залилан мэхлэх явдал юм. "Энэ нь фишинг болон бусад төрлийн нийгмийн инженерчлэл гэх мэт бусад дижитал луйвраас ялгаатай" гэж Цшува хэлэв.
"Энд бай нь сонор сэрэмжтэй байх эсвэл ямар нэгэн зүйл болж байна гэж сэжиглэх замаар халдлагаас урьдчилан сэргийлэх сонголт байхгүй - мэдээжийн хэрэг хэтэрхий оройтох хүртэл биш".
"Бид өөрсдийгөө холбогдсон төхөөрөмжүүдээр хүрээлдэг, гэхдээ тэдгээр нь бидний хувьд "хар хайрцаг" бөгөөд дотор нь юу болж байгааг бид хэзээ ч мэдэхгүй - эсвэл мэдэх арга замгүй".
Tshuva-ийн хэлснээр, ихэнх IoT төхөөрөмжүүд өнөөдөр хэд хэдэн (магадгүй хэдэн арван) өөр өөр програм хангамжийн үйлчилгээ үзүүлэгчдийн код дээр ажилладаг бөгөөд тэдгээрийн заримыг нь та хэзээ ч сонсож байгаагүй. Ихэвчлэн эдгээр гуравдагч талын бүрэлдэхүүн хэсгүүд нь шифрлэлт, холболт болон бусад эмзэг функцуудыг хариуцдаг. Тэр ч байтугай үйлдлийн систем нь хэд хэдэн өөр өөр үйлдлийн системүүдийн холимог байж болно."
“Энэ нь IoT-ийн аюулгүй байдлын томоохон сорилтуудын нэгийг илчилж байгаа бөгөөд энэ нь дахин халдлагын гадаргууг өргөжүүлэх санаатай холбоотой юм. Учир нь таны системд нэвтрүүлж буй төхөөрөмж болгонд таны нэмж байгаа зүйл бол хэд хэдэн програм хангамжийн үйлчилгээ үзүүлэгчдийн кодын зохиомол бөгөөд тус бүр өөрийн гэсэн эмзэг талтай байдаг" гэж Цшува дүгнэв.
Жижиглэн худалдаачид өөрсдийгөө болон үйлчлүүлэгчдээ кибер аюулгүй байдлын аюулаас хамгаалахын тулд хэд хэдэн арга хэмжээ авах шаардлагатай. Тэд өөрсдийн системээ хамгийн сүүлийн үеийн аюулгүй байдлын засваруудаар шинэчилж байгаа эсэхийг баталгаажуулж, аюулгүй байдлын цогц төлөвлөгөөтэй байх ёстой. Ажилчдыг аюулгүй байдлын заналхийллийг хэрхэн олж илрүүлэх, хариу арга хэмжээ авах талаар сургаж, IoT төхөөрөмжийг жижиглэнгийн худалдаанд ашиглах эрсдэлийг хэрэглэгчдэд ойлгуулах ёстой.
“Жижиглэн худалдаачид IoT-ийг хэрэглэгчдийнхээ байршлыг хянахын тулд ашигладаг тул хэрэглэгчдийн хөдөлгөөн, худалдан авалтын зуршлын талаар баялаг мэдээллийн багцыг бүрдүүлдэг. Хөдөлгөөнтэй хамт мэдээлэл худалдаж авах нь маш хувийн зуршлыг илрүүлж болох тул эдгээр бүртгэлүүд нь маш болгоомжтой хамгаалах ёстой мэдээллийн мөрөөр бий болгодог. Худалдан авалт хийх үедээ жижиглэнгийн худалдаачид руу чиглэсэн олон тооны дайралтуудыг бид харсан бөгөөд хэрвээ үүнийг үйлчлүүлэгчид дэлгүүр, худалдааны төв, тэр ч байтугай хот, тив даяар дамждаг замтай хослуулж чадвал хэрэглэгчид хохирлоо барагдуулахгүй байх болно. жижиглэн худалдааны сүлжээнүүд” гэж Yale Privacy Lab-ийг үүсгэн байгуулагч Шон О'Брайен хэлэв.
Аюул заналхийллийг ойлгохын тулд байгууллагууд жижиглэн худалдааны бизнесүүд дижитал шийдлүүдийг нэвтрүүлэх нь програм хангамжаас хамааралтай шийдлүүдийг нэвтрүүлэх, кибер гэмт хэрэгтнүүдийн халдлагын гадаргууг нэмэгдүүлэх гэсэн үг гэдгийг ойлгох хэрэгтэй.
"Өмнө нь механик кассын машин байсан нь одоо үйлчлүүлэгчдийн төлбөрийн мэдээллийг боловсруулж, цуглуулдаг "ухаалаг" худалдааны цэг болж, тэднийг хүссэн зорилт болгож байна. Эдгээр системүүд нь ихэвчлэн онлайн дэлгүүр/төлбөр тооцоо/бараа материал гэх мэт цахим худалдааны томоохон шийдэлтэй холбогддог бөгөөд энэ нь тэднийг илүү чухал системүүдэд нэвтрэх цэг болгож болзошгүй юм. Ухаалаг шийдлүүдээс хамааралтай жижиглэн худалдааны бизнесүүд гүйлгээ хийх боломжийг хааж, ransomware болон үйлчилгээ үзүүлэхээс татгалзах халдлагад өртөмтгий байдаг. Мөн PoS төхөөрөмжүүд нь жижиг компьютер учраас том ботнет халдлагад ашиглагдах боломжтой" гэж Checkmarx-ийн үүсгэн байгуулагч, CTO Мэти Симан хэлэв.
Цахим худалдааны компаниуд үйл явцдаа олон янзын борлуулагчдыг ашигладаг. Техник хангамж, програм хангамжаас эхлээд үйл ажиллагаа, санхүүгийн үйлчилгээ хүртэл бүх үйлдвэрлэгчид гуравдагч талын програм хангамж, бүрэлдэхүүн хэсгүүдийг ашигладаг бөгөөд энэ нь эргээд гуравдагч талын бүрэлдэхүүн хэсгүүдээс хамаардаг.
"Хэрэв хорлонтой этгээд замдаа ямар нэгэн бүрэлдэхүүн хэсэг рүү "арын хаалга"-г ашиглаж эсвэл нэвтрүүлж чадвал тэд үндсэндээ жижиглэн худалдааны бизнест хожим олж болох эцсийн шийдлүүдэд хандах боломжтой болно. Өнөө үед бүх зүйл програм хангамж дээр тулгуурладаг бол нээлттэй эхийн програм хангамжид найдах нь эдгээр асуудлыг улам хурцатгаж байна" гэж Симан хэлэв.
Симаны хэлснээр, ажилтнууддаа аюулгүй байдлын шилдэг туршлагыг сургах нь чухал юм. "Мэдээллийг байнга нөөцлөх шаардлагатай бөгөөд жижиглэнгийн худалдаачид хүчтэй нууц үг, MFA ашиглах ёстой. Гүйлгээнд ашиглагдаж буй сүлжээг бусад сүлжээнээс тусгаарлаж, төхөөрөмж болон тэдгээрийн программ хангамжийг тогтмол шинэчилж, засварлаж байх шаардлагатай” гэв.
"Оптив" компанийн IoT/OT аюулгүй байдлын удирдагч Шон Тафтс "Хүмүүс хамгийн их аюул заналхийлсээр байна" гэж хэлэв. “Борлуулалт ба/эсвэл шалгах цэг дээр цөөн ажилтантай эсвэл нүүр тулан харьцах нь илүү их биет хулгайд хүргэдэг ч дэлгүүрийн давуу талыг ашиглахыг эрэлхийлж буй ухаалаг заналхийлэгчид эдгээр жижиглэнгийн худалдаачдад илүү их нөлөөллийг нээж өгдөг. итгэл. Эдгээр машиныг хараа хяналтгүй орхих тусам илүү олон интерфэйсүүд, тухайлбал, скимер суулгаж, портуудад хандах боломжтой болно."
Эх сурвалж: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/