A questão da segurança de TI no segmento de Varejo tem feito varias manchetes de notícias ao longo dos últimos dois anos. A pesar de muitos terem apelidado 2014 o ano do megabreach, o número de vazamentos de dados de alto nível continua a crescer. De acordo com recente pesquisa da NTT Group, a indústria de varejo é um alvo particularmente popular, experimentando 2,7 vezes mais número de ataques do que o sector dos serviços financeiros.
Grandes trechos de dados pessoais
Prover segurança no Varejo tem a sua complexidade devido à grande quantidade de dados que as organizações tendem a processar e armazenar, incluindo dados de cartão de crédito e informações pessoais relacionadas a contas de fidelidade. Eles também costumam operar ambientes altamente distribuídos, com muitos sistemas de ponto-de-venda (PDV).
De acordo com a NTT, os ataques contra o setor de varejo se ampliaram para os setores de hotelaria, lazer e entretenimento, com várias das principais violações vistas em 2015. Estes sectores também recolhem grandes quantidades de informação e os tamanhos de transação tendem a ser relativamente grandes. No entanto, em muitas destas violações, os alvos não foram atacados diretamente, mas sim através de prestadores de serviços e operadores de varejo que trabalham nesses locais, principalmente via malwares nos sistemas de PDV.
A mudança para cartões com chip ajuda.
Na maioria das violações registadas, ss ataques contra sistemas de PDV se concentram em procurar roubar informações de pagamentos via cartão, aproveitando-se de terminais vulneráveis, bem como pelo sistema de pagamento por cartão de tarja magnética que é menos seguro. De acordo com o “2016 Data Breach Investigations Report” da Verizon, 64% das violações com a divulgação confirmada no setor de varejo foram por causa de intrusões nos sistemas de PDV.
A maioria dos países em todo o mundo já fizeram a transição para o sistema mais seguro Europay, MasterCard e Visa (EMV) tecnologia de chip-and-PIN. Os EUA estão um pouco atrasados nesta transição, mesmo sabendo que a partir de outubro de 2015, a responsabilidade por fraude via pagamento com cartão passou a ser do varejista que aceite pagamentos feitos usando tecnologias menos seguras como a de tarja magnética e não mais do emissor do cartão.
Para aumentar a sua segurança, os varejistas precisam abraçar o sistema EMV modernizando os seus terminais de PDV e exigindo que os clientes informem o seu PIN para fazer a transação. Isso fará muito para melhorar a segurança, mas não é por si só suficiente. Todos os dados do cartão de pagamento devem ser criptografados ou tokenizados para protegê-los em seus sistemas de back-end. Isso também garante que estejam em conformidade com os requisitos da norma PCI para proteger os dados do portador do cartão.
Phishing continua a prevalecer
Lançar ataques de phishing também são predominantes no setor de varejo – e eles estão em ascensão. Em muitos casos, estes são direcionados ao pessoal do varejo e executivos. Estes ataques estão muitas vezes ligados a fraudes financeiras, tais como a tentativa de obter a autorização para pagar contas falsas.
Alguns podem tomar um caminho diferente, na tentativa de convencer os usuários a clicar em links contaminados em e-mails ou abrir anexos maliciosos para roubo de informações ou download de malwares, o que pode ter consequências financeiras ou de reputação graves para os varejistas.
Ataque via canais on-line
Muitas empresas tradicionais também operam como varejistas multicanais, combinando as vendas através de lojas físicas com vendas on-line via e-commerce. Como o número de canais prolifera e os ataques se tornam mais avançados, as preocupações com segurança cibernética também aumentaram. De acordo com a BDO International, 100% dos varejistas analisados manifestaram ter esse tipo de preocupação.
Em 2015, as vendas de e-commerce foram responsáveis por 7,3% de todas as vendas do varejo norte americano, ao mesmo tempo existe a tendência de que as vendas via dispositivos móveis cresçam exponencialmente nos próximos anos. Como resultado, 57% dos varejistas enxergam como risco para seus negócios as questões ligadas à cibersegurança e as novas tendências de negócios digitais, este número mais do que dobrou com relação aos 28% citados em 2013.
Como resultado, uma estratégia holística é necessária para uma segurança bem-sucedida no varejo. Todos os terminais de rede devem estar adequadamente protegidos, desde os terminais de ponto-de-venda a sites de e-commerce assim como os pontos de acesso de funcionários e até mesmo dispositivos conectados como impressoras e câmeras de segurança. Cada terminal de rede deve ser considerado um potencial ponto de quebra.
Priorizando a segurança no varejo
O setor de varejo oferece uma farta colheita para os cibercriminosos, isto se deve ao alto número de violações que acontecem neste segmento. Segurança de varejo é um problema real e crescente, e está estendendo-se para outros setores que dependem de vendas de varejo, tais como o de hotelaria.
Para ser bem-sucedido neste mercado competitivo, os varejistas devem ter muitos pontos de contato para seus clientes que por natureza precisam estar abertos ao publico. Eles também devem ser capazes de lidar com enormes áreas de informação e múltiplas transações. Mas todos esses fatores tornam o segmento de varejo um ímã para os criminosos. A responsabilidade recai sobre os varejistas para redobrar os seus esforços se esperam evitar tornar-se a próxima manchete.
Clique no link para baixar e ler o relatório: IBM X-FORCE RESEARCH REPORT ON SECURITY TRENDS IN THE RETAIL INDUSTRY
Traduzido do texto escrito por Fran Howarth, Senior Analyst, Bloor Research no site Security Intelligence . Para ver o conteúdo na íntegra (em inglês) clique aqui