В нескольких словах
Ритейл-сектор все чаще становится жертвой киберпреступников из-за большого объема данных клиентов и недостаточной защиты. Компании страдают от утечек данных, фишинга и программ-вымогателей. Эксперты подчеркивают необходимость усиления мер безопасности, инвестиций в защиту и повышения осведомленности сотрудников, а также разделения ответственности между компаниями и их поставщиками для защиты персональных данных пользователей. А конечным пользователям советуют требовать удаления своих данных и обращаться в Агентство по защите данных в случае утечки.
15 евро за удостоверение личности. 50 евро за логин и пароль к интернет-порталу. 100 евро за действующую кредитную карту.
В условиях, когда киберпреступность с каждым годом бьет рекорды, поиск всевозможных персональных данных стал ценным трофеем. По последним данным Национального института кибербезопасности Испании (Incibe), три из десяти инцидентов, выявленных в Испании в 2023 году (более 26 600), были направлены на кражу личной информации. В том же году 22 000 частных компаний зарегистрировали те или иные инциденты безопасности.
Цифры растут с каждым годом, и в поисках все большего количества данных киберпреступники нашли в секторе розничной торговли четкую цель. Такие компании, как El Corte Inglés, Tendam или Alcampo, в последние месяцы подтвердили утечки данных, которые затронули информацию об их клиентах или их основные операционные системы. Последним случаем стал El Corte Inglés, который на этой неделе признал перед своими клиентами факт кибератаки, которая позволила получить доступ к их личным данным после взлома защиты одного из их поставщиков.
Это не случайно. В последние годы сектор розничной торговли поднялся в рейтинге секторов, наиболее подверженных инцидентам безопасности. Согласно последнему отчету Европейского агентства по кибербезопасности Enisa, он по-прежнему уступает стратегическим секторам, таким как банковский, здравоохранение или государственное управление, по количеству случаев, но уже опережает оборону или образование.
«Сектор розничной торговли является очень четкой целью, потому что он располагает огромным количеством данных о клиентах и исторически был защищен меньше, чем другие секторы», — объясняет Хорди Хуан, партнер направления технологического консалтинга и кибербезопасности EY. Он подчеркивает, что этот сектор бизнеса работает с более узкой маржой, чем, например, банки, страховые компании, телекоммуникационные или энергетические компании, которые годами могли инвестировать «гораздо больше» в системы защиты.
Конечная цель киберпреступников — не что иное, как заработать деньги, продавая украденные данные на черном рынке. И среди них есть данные с большей или меньшей ценностью. Финансовые данные — жемчужина короны, поэтому банки являются приоритетной целью этих мафий. «В здравоохранении также есть данные, представляющие большую ценность для киберпреступников. А на третьем месте находится розничная торговля, потому что она обрабатывает много транзакций, много важной финансовой информации с картами, кодами безопасности, которые продаются на черном рынке», — говорит Марк Мартинес, руководитель отдела технологических рисков и кибербезопасности KPMG в Испании.
Для справки, у El Corte Inglés 11 миллионов пользователей карт лояльности. Tendam, владелец Cortefiel, подвергшийся атаке в сентябре, признал, что киберпреступники получили доступ к таким данным, как удостоверения личности участников клубов лояльности, в которых насчитывается более 30 миллионов пользователей на всех рынках.
«Рост электронной коммерции и цифровизация превратили компании розничного сектора в привлекательную цель для эксплуатации уязвимостей в платежных системах, базах данных и внутренних сетях», — объясняет Сантьяго Байо, руководитель отдела информационной безопасности (CISO) Dia. Руководитель компании супермаркетов подтверждает тенденцию к увеличению угроз, как по частоте, так и по изощренности. «В центре внимания находятся персональные и финансовые данные, которыми может располагать компания, из-за транзакций, которые она обрабатывает, или из-за своей базы постоянных клиентов».
Угрозы, которые в его случае рассматриваются как «возможность укрепить нашу безопасность и усилить меры наблюдения для предотвращения и оперативного управления любыми инцидентами». Пандемия стала переломным моментом для сектора. Изоляция заставила всех дистрибьюторов, особенно продовольственных, разработать в течение нескольких месяцев системы электронной коммерции, на которые в нормальных условиях потребовались бы годы.
«Этот процесс увеличил их периметр подверженности риску. И, делая это в спешке, во многих случаях безопасность отходила на второй план по сравнению с функциональностью бизнеса», — говорит Хорди Хуан из EY.
Типы атак
Атаки на дистрибьюторские компании следуют тем же методам, что и на остальные. Наиболее распространенными являются, с одной стороны, так называемые программы-вымогатели: злоумышленник блокирует данные компании, шифрует их и требует выкуп под угрозой их обнародования. «Они наиболее успешны», — говорит Марк Мартинес, который напоминает, что выплата выкупа является незаконной, хотя и признает, что «многие компании это делают». Это позволяет им восстановить украденную информацию, но, делая это, они регистрируются среди компаний, которые платят цену, которую требуют преступники.
Но основная масса инцидентов, объясняет Хорди Хуан, происходит через фишинг и, как правило, через сотрудников посредством мошеннических электронных писем. «С развитием искусственного интеллекта их становится все труднее различать».
Как объясняет Марк Мартинес из KPMG, «безопасность никогда не бывает на 100%», и, хотя компании все больше инвестируют в нее, многим все еще не хватает некоторых основных элементов защиты: от ответственного за безопасность, который знает об основных угрозах, до инвестиций в резервные копии или в усиление контроля идентификации.
В случае Dia, Сантьяго Байо описывает, что у них есть многолетний стратегический план, передовые инструменты обнаружения и реагирования, процессы управления рисками, планы обеспечения непрерывности или специальные системы мониторинга и оповещения. Хотя руководитель подчеркивает важность предотвращения и упреждения, что требует «инвестиций в технологии, наличия подходящих специалистов, распространения внутренней и внешней информации о рисках и угрозах, а также внимательного отслеживания тенденций и правил для упреждающей адаптации стратегии».
Он добавляет, что кибербезопасность должна быть «общей ответственностью», что разделяет Хорди Хуан из EY. «Большое количество атак происходит через электронное письмо, которое содержит вредоносную ссылку. Эта осведомленность имеет небольшую стоимость, а эффект очень велик».
Ответственность
Это когда атака получает сама компания. Но иногда, как сообщила El Corte Inglés, ее получает поставщик. «Это очень распространено, потому что у них есть доступ к этим данным, но, возможно, не такой уровень безопасности, как у их клиента», — говорит Марк Мартинес из KPMG. Однако он напоминает, что ответственность, как это установлено Общим регламентом по защите данных, лежит на владельце данных, и именно он сталкивается с потенциальными экономическими санкциями со стороны Агентства по защите данных, которое начинает расследование, когда происходит утечка личных данных, и может наложить многомиллионные штрафы. В договоре он может переложить определенные обязанности на своего поставщика посредством пунктов, которые содержат, например, компенсацию в случае нарушения безопасности.
А какие возможности у конечного потребителя? В общем, мало. «Попросить компанию удалить ваши данные. Или обратиться в Агентство по защите данных и подать иск», — добавляет Мартинес.
