Ochrona fizyczna w handlu detalicznym od lat stanowi fundament bezpieczeństwa. To właśnie ona zapewnia sklepom ochronę przed kradzieżami, wandalizmem czy nieuprawnionym dostępem. Jednak współczesne realia i rosnące znaczenie technologii powodują, że równie ważnym, a coraz bardziej ważniejszym elementem staje się cyberbezpieczeństwo. Wystarczy drobna nieuwaga, aby cyberprzestępcy znaleźli „otwarte drzwi” do firmy i przeprowadzili atak typu ransomware, którego konsekwencje mogą być nieporównywalnie poważniejsze niż straty spowodowane tradycyjną kradzieżą sklepową.
Jak duże jest dziś zagrożenie dla handlu stacjonarnego i e-commerce? Jakie ryzyka dotyczą konsumentów i w jaki sposób możemy się przed nimi chronić? O tym rozmawiam z Danielem Kamińskim, ekspertem w dziedzinie cyberbezpieczeństwa.
Cześć, Danielu. Coraz częściej słyszymy o cyberatakach na firmy z różnych sektorów. Jak często ich celem staje się handel detaliczny i z jakimi typami ataków spotyka się ona najczęściej?
Daniel Kamiński: Cześć, z mojej perspektywy można wyróżnić trzy główne rodzaje cyberataków, są to: phishing, DDoS i malware (złośliwe oprogramowanie). Najpowszechniejszy jest phishing, który stanowi ok. 45% wszystkich ataków i służy do wyłudzania danych logowania użytkowników. Drugi rodzaj, stanowiący ok 20%, to ataki wolumetryczne DDoS, nakierowane na strony internetowe oraz aplikacje użytkowników – ich celem jest zakłócenie pracy tych narzędzi.
Uwaga! Nawet największe usługi online, jak Netflix czy Spotify, uległy tego typu atakom. Trzeci rodzaj to malware (złośliwe oprogramowanie), stanowiące ok 15% ataków, w tym ransomware (atak mający na celu wymuszenie okupu). Sieci handlowe są stosunkowo rzadko atakowane za pomocą ransomware (ok. 4% ataków), ponieważ posiadają wiele różnych, rozproszonych systemów informatycznych.
Jakie konkretne zagrożenia mogą dotyczyć typowego sklepu stacjonarnego? Czy właściciele takich punktów rzeczywiście muszą obawiać się cyberataków np. na system sprzedażowy lub firmową sieć Wi-Fi?
W przypadku sklepu stacjonarnego największe zagrożenia to oszustwa phishingowe, fałszywe zamówienia i spreparowane faktury. Przestępcy wysyłają wiadomości z fałszywymi linkami prowadzącymi do stron banków, dostawców lub przewoźników. Do tego dochodzą oszustwa dotyczące opłat za media. Wiele firm przekonało się już, że w wezwaniach do zapłaty lub fakturach znajdują się podmienione numery kont bankowych. Konta te zarejestrowane są na tzw. “słupy” (osoby), które często nie mają wiedzy, że ich tożsamość jest w ten sposób wykorzystywana.
Pieniądze z takich kont szybko przelewane są na kolejne rachunki, aż wychodzą za granicę, gdzie są wypłacane. Namierzenie przepływu pieniędzy jest w praktyce trudne i czasochłonne. Najlepszym sposobem obrony jest uzgadnianie numerów kont z zaufanymi dostawcami. Jeśli zmienił się numer lub osoba kontaktowa, to powinno być to traktowane jako podejrzana sytuacja, wymagająca sprawdzenia.
Sklepy internetowe od początku działają w świecie cyfrowym, gdzie cyberzagrożenia to codzienność. Wydaje się, że są lepiej przygotowane na takie zagrożenia niż sklepy stacjonarne. Jakie są obecnie największe wyzwania dla e-commerce?
Sklepy internetowe to duża wygoda dla kupujących, ale dla hakerów, to furtka do wejścia do systemu. Wiele stron nie jest aktualizowana na bieżąco, co umożliwia proste wejście i np. zmianę cen sprzedawanych produktów. Niestety, problem jest tak powszechny, że w sieci są filmy pokazujące, jak wyszukać niezabezpieczony sklep i się “zabawić” – co skrzętnie wykorzystuje młodzież. Dużo złego dla branży robią wycieki danych z e-commerce. To problem prawny od strony RODO, ale również problem społeczny. Dane klientów są potem wykorzystywane do kolejnych ataków, a właściciele skompromitowanych serwisów tracą reputację. Atak często zaczyna się od przeciążenia strony (DDoS), po czym przestępcy przejmują kontrolę nad witryną. Dlatego największym wyzwaniem jest regularne aktualizowanie systemów, monitorowanie ruchu i ochrona danych klientów.
Jakie mogą być konsekwencje udanego cyberataku dla sklepu zarówno stacjonarnego, jak i internetowego?
Na całkowity koszt ataku składa się kilka składników: koszty przestoju, brak przychodów, kary umowne, naprawa szkód wizerunkowych, koszty odbudowy, itp. Przy ataku ransomware przerwa w funkcjonowaniu zajmuje średnio 2-3 tygodnie. Łatwo policzyć ile to kosztuje. W tym czasie firma nie tylko traci sprzedaż, ale też wiarygodność i zaufanie klientów.
Co powinna zrobić firma, gdy odkryje, że padła ofiarą cyberataku? Jakie działania zarówno techniczne, jak i organizacyjne, są ważne w pierwszych godzinach po incydencie?
Jeśli firma przeprowadziła analizę zagrożeń i stworzyła plan ciągłości działania, ma kopie zapasowe i wie, kto za co odpowiada, to wtedy jest znacznie prościej. Zwykle jednak pierwsza reakcja to szok i panika. Brakuje komitetu kryzysowego, który przejmuje nadzór nad niwelowaniem incydentu. Na początku trzeba się upewnić, co działa, a co nie (jaka jest skala ataku). Zweryfikować, kto zaatakował i jakie ma żądania. Znaleźć lukę, która została wykorzystana i ją załatać. Koniecznie zmienić hasła, bo przestępcy są w firmie średnio na pół roku przed szyfrowaniem danych.
Gdy w firmie brakuje osób, które mogą to sprawdzić, sugeruję wtedy, żeby skontaktować się z doświadczonymi osobami, które poprowadzą za rękę. Trzeba jednak liczyć się z kosztami takiego wsparcia.
Coraz więcej urządzeń w sklepach – od kas, przez magazyn, po systemy IoT, działa dziś w sieci. Jak w praktyce zabezpieczyć taką infrastrukturę, aby uniknąć cyberataku i jego konsekwencji?
Systemy OT, IoT, IIoT są obecnie na celowniku hakerów. Nie były tworzone z myślą o cyberbezpieczeństwie, tylko o zapewnieniu ciągłości działania. Oczywiście w tym przypadku to nie hakerzy atakują te systemy bezpośrednio, ale tzw. boty – czyli zainfekowane urządzenia, które przeszukują sieć i infekują kolejne. Koniecznie trzeba odseparować sieć IT od sieci IoT/OT. To pierwsza główna wskazówka. Druga to jak najszybciej wykonywać aktualizacje. Jeśli to możliwe, nie podłączać urządzeń bezpośrednio do internetu. Takie praktyczne działania potrafią znacząco ograniczyć ryzyko infekcji i paraliżu systemów.
Spójrzmy na cyberzagrożenia z perspektywy klienta. Coraz częściej słyszymy o fałszywych sklepach internetowych, phishingu czy SMS-ach o rzekomych promocjach. Na co zwykły konsument powinien dziś najbardziej uważać?
Zdrowy rozsądek i myślenie krytyczne to podstawa. Uwaga! Koszt fałszywej strony lub aplikacji to ok 50zł – gotowe “skórki” są dostępne w internecie. Przekazywane komunikaty przez oszustów mają wywołać konkretne emocje: strach, presję czasu i obawę, że zostanie np. odłączony prąd, że paczka nie dojdzie lub że dziecko zgubiło telefon.
W efekcie ma to zachęcić do nieprzemyślanego działania: kliknięcia w link, zalogowania się lub przelania pieniędzy. Można się uodpornić na te manipulacje, regularnie ćwicząc i szkoląc się z rozpoznawania metod przestępców. Dziś dodatkowo można się wspomagać narzędziami, które filtrują podejrzany ruch.
Okresy wzmożonych zakupów, jak Black Friday czy święta, to szczególnie intensywny czas dla branży retail. Czy faktycznie wtedy rośnie liczba ataków i jak przygotować się na to z wyprzedzeniem?
Tak, to wyjątkowo trudny okres. Sklepy przygotowują się do tych dni przez cały rok. Jest szał przecen i chęć skorzystania z najlepszych okazji. Wtedy ludziom trudniej odróżnić promocję od oszustwa. Dodatkowym problemem są automaty, które próbują tworzyć sztuczne konta, aby np. zwiększyć szanse w organizowanych konkursach.
Dla przykładu, jeden z zaprzyjaźnionych sklepów zauważył 380 tys. kont wygenerowanych w ciągu godziny z jednego adresu IP. Aby to wyłapać trzeba monitorować aktywność i zachowania kupujących, żeby wyłapywać anomalie.
Trzeba mieć wyszkolonych specjalistów i odpowiednie narzędzia np. oprogramowanie SIEM (Security Information and Event Management). Takie rozwiązania są kosztowne, dlatego coraz bardziej popularne jest korzystanie z całodobowego SOC (Security Operation Center).
Cyberprzestępcy stale zmieniają swoje metody. Jakie nowe zagrożenia dostrzegasz na horyzoncie?
Zmienia się sposób przeprowadzania ataków – pojawiły się tzw. łańcuchy ataków. Polega to na tym, że ktoś pozyskuje hasło i login, ale sam nie potrafi z nich skorzystać, więc wystawia dane na “aukcję” i sprzedaje dalej przestępcom.
Dzieje się to nie tylko w DarkWebie, ale również na Telegramie, platformie X czy Discordzie. Dlatego w ramach Threat Intelligence tam również szuka się informacji o wyciekach oraz aukcjach. Doszły też ataki na zamówienie jako usługa: Ransomware-as-a-service czy DDoS-as-a-service. Ich koszty są niewielkie, a wyłapanie zamawiającego trudne, bo rozliczenia są w kryptowalucie.
Na zakończenie, jaka jest Twoja najważniejsza rada dla klientów, którzy chcą robić zakupy bezpiecznie w dobie cyfrowych zagrożeń?
Powtórzę – zdrowy rozsądek to podstawa. Jeśli coś wygląda jak wyjątkowa okazja, to może być pułapką. Dodałbym jeszcze dwuskładnikowe uwierzytelnianie – jest ono jedyną skuteczną próbą obrony przed wyciekami danych.
Można korzystać z rozwiązań programowych, jak i sprzętowych autentykatorów rekomendowanych firm. Jeśli jeszcze nie masz, to koniecznie uruchom!
BIO
Daniel Kamiński: Wykładowca w Centrum Szkoleniowym Polskiej Izby Systemów Alarmowych. Absolwent kierunku Radiokomunikacja w Wojskowej Akademii Technicznej oraz Zarządzania Systemami Teleinformatycznymi w Akademii Obrony Narodowej. Posiada znajomość europejskich norm bezpieczeństwa. Projektant systemów alarmowych, audytor wiodący norm ISO27001 (bezpieczeństwo informacji) i ISO22301 (ciągłość działania).
Od 1995 roku związany z sektorem bezpieczeństwa technicznego, ze specjalizacją w monitoringu alarmowym.
Od ponad 25 lat dzieli się swoją wiedzą w czasopismach branżowych. Regularnie uczestniczy w konferencjach i szkoleniach.
Od 2010 roku kieruje firmą konsultingową Alertcontrol, specjalizującą się w doradztwie w zakresie bezpieczeństwa. Firma wspiera swoich klientów w projektowaniu innowacyjnych systemów bezpieczeństwa technicznego oraz wdrażaniu najnowszych usług stosowanych w Europie Zachodniej i Stanach Zjednoczonych, umożliwiając im szybkie zdobycie przewagi konkurencyjnej.
Autor bloga o bezpieczeństwie w handlu.
Tworzę treści z pasji i doświadczenia.
Wszelkie prawa zastrzeżone.