Perakendeciler saldırganlar için hedef yönünden zengin bir ortam sunmayı sürdürdükçe büyük ölçekli veri ihlalleri yaşamaya devam ediyorlar. Kendi ağları üzerinde yer alan büyük miktarda finansal, kişisel ve hatta tıbbi bilgilerle, perakende sektörü daha uzun yıllar boyunca saldırganlar için cazip bir hedef teşkil etmeye devam edecek.
Son on yıldır hem perakende hem de güvenlik sektörleri uygunluk (PCI, HIPAA, SOX, vb.) ve güvenlik konularından bahsetse bile, veri ihlalleri devam ediyor. Bununla birlikte, uygunluk her zaman güvenlik anlamına da gelmiyor. 2014 yılında PCI DSS 3.0’da yapılan değişikliklere rağmen, uygunluk gereklilikleri her zaman saldırı sürecine (saldırı sırasına, öncesine ve sonrasına) kesin bir şekilde değinmiyor. Bunlardan çoğu saldırı öncesine yönelik teknolojiler ve kontroller uygulamaya odaklanıyor. Fakat içinde yaşadığımız tehdit odaklı devirde artık odak noktası kontroller ve zayıf noktalardan, saldırı sırasında ve sonrasında analiz ve iyileştirme yapabilme yeteneğine kayıyor. Dayanıklılık kavramı, saldırı öncesi, esnası ve sonrasındaki tüm aşamaları ele alıyor.
Günümüzde perakendeciler, siber güvenlik için verilen savaşın en ön saflarındalar, ödeme güvenliği ise temel öncelik olmayı sürdürüyor. Perakende sektöründe güvenlik ihlalleri oldukça ağır sonuçlar doğuruyor. Müşteri verilerinin çalınması, müşterileri sahtecilik riskiyle karşı karşıya getirmekle kalmıyor, aynı zamanda marka itibarını zedeliyor, müşterilerin güvenini kırıyor ve hisse fiyatlarını olumsuz yönde etkiliyor. Bu zararlara ek olarak, bir güvenlik ihlalinden sonra sistemlerin incelenmesi, temizlenmesi, onarılması ve gelecekteki potansiyel saldırıları önlemek amacıyla yürütülen diğer süreçler nedeniyle telafi süreci milyonlarca dolara mal olabiliyor. Tüm bunlar hem saldırı esnasında hem de sonraki dönemlerde nihai sonuçlara büyük bir darbe indiriyor.
Perakende Teknoloji Trendleri – Müşteri ne ister?
Günümüzde tüketiciler mobilite ve uygulamaları hızla benimsediklerinden, perakendeciler de 1990’ların sonu ve 2000’lerin başında yükselişe geçen e-ticaret ile benzer bir şekilde, tüketicilerin alışveriş alışkanlıklarını değiştiren dijital bir dönüşüme uğruyorlar. Artık, tüketiciler kişiye özel hizmetin ötesinde, istediklerini istedikleri zaman ve istedikleri şekilde kendilerine sunan mağaza içi ve dışı hiper bağlantılı bir hizmet deneyimi arıyorlar.
Kimi teknoloji trendleri, günümüz perakende sektörünü önemli ölçüde etkiledi:
• Hiper bağlantılı bir deneyim yaratma ve Her Şeyin İnterneti: Perakendeciler artık müşterilerine bu yeni hiper bağlantılı deneyimi sunabilmek için inovasyon yapmaya ve Her Şeyin İnterneti (IoE) gibi yeni teknolojilerin sektöre getirebileceği değerleri keşfetmenin baskısı altındalar. Tıpkı internet üzerinden alışveriş yapan kullanıcıların çevrimiçi yolculuklarının web analitiği yardımıyla incelenmesi gibi, perakendeciler de bu seviyede gerçek zamanlı hizmet sağlayabilmek için çeşitli IoE teknolojileri, sensörler, Wi-Fi, işaretçiler, mobil cihazlar ve radyo frekansıyla tanımlama (RFID) etiketlerini giderek daha çok kullanmaya başlayacaklar.
• Artık modası geçen POS sistemleri yerlerini hızla mobil POS sistemlerine bırakıyor: Mevcut perakende satış noktası terminallerinin ve yazılımlarının yaklaşık %40’ı beş yılı aşkın süredir kullanılmakta ve bu sistemleri güncellemek veya onarmak genellikle çok zor olduğundan, bu durum perakendecileri saldırıya açık hale getiriyor. Günümüz tüketicisinin taleplerini karşılamak için POS sistemlerinin, müşteri verilerini hızlıca değerlendirmesi ve etkili ve güvenli bir deneyim sağlaması gerekiyor.
• Müşteri her yanlış adımı kolayca görebilir: Güvenlik faktörü yeni teknolojilerin benimsenmesi için teknolojide itici bir faktör olmanın yanı sıra, sektörde de müşteri güvenini kazanmak için kritik bir faktör halini aldı. Perakendeciler mevcut sistemleri güncelleyip, bahsi geçen hiper bağlantılı hizmetleri sağlayabilmek için gereken yeni IoE teknolojileri benimsediklerinde, başarıları da şüphesiz teknolojiden daha fazlasına bağlı olacak: perakendeciler tüketicinin güvenini kazanmalı ve bu güveni sürdürmelidirler.
Perakende Sektöründe Tehditler: Bilinmeyeni Bilmek
Her güvenlik ihlali farklı olsa da, saldırganların genel olarak izledikleri ortak yollar bulunuyor. Bu tarz izinsiz erişimlerin nasıl engelleneceğini anlamak için, saldırganların perakende sistemlerine nasıl erişim sağladıklarını incelemek gerekli. Tipik bir POS saldırısı, şu şekilde gerçekleşir:
1. Saldırganlar ilk olarak sisteme giriş yolu elde ederler. Bunu, sistemdeki bir zayıflıktan yararlanarak, kimlik avı yoluyla ya da üçüncü parti bayiler ve hatta çalışanlar sayesinde elde edebilirler.
2. Sisteme erişim sağladıktan sonra saldırganlar sistemin zayıf noktalarından faydalanıp, sistem üzerinde tam bir kontrol elde ederler.
3. Saldırganlar daha sonra ihlalin kapsamını daha da genişleterek daha fazla sistemin kontrolünü elde etmek ve nihayetinde POS sistemine erişmenin yollarını bulmak için içi ağı taramaya başlarlar.
4. Saldırganlar için sonraki adım, yine sistemin hassas noktalarını keşfederek veya imkan dahilinde sistemin güncelleme fonksiyonunu bozarak POS sistemi üzerinde kötü amaçlı yazılım kurmaktır.
Saldırılara Dayanıklı Ortam Yaratmak: Saldırı Öncesinde, Esnasında ve Sonrasında Güvenlik
Günümüzün en büyük güvenlik problemleriyle başa çıkmak ve POS (ve diğer) sistemlerini saldırılara karşı daha iyi koruyabilmek için perakendeciler, saldırı öncesi, sırası ve sonrası olmak üzere tüm saldırı sürecinde ölçeklenebilir ve tehdit odaklı bir yaklaşıma ihtiyaçları vardır.