Cyberbezpieczeństo w branży retail

laptop noc

Rok 2017 okazał się przełomowy pod względem podniesienia świadomości w obszarze cyberpezpieczeństwa. W maju byliśmy świadkami największego w historii ataku zwanego WannaCry, który zainfekował ponad 300 tys. komputerów w 99 krajach, w tym szpitale w Wielkiej Brytanii i znane korporacje, takie jak hiszpański operator Telefónica, FedEx czy Deutsche Bahn. Niedługo po tym, w czerwcu, zaatakował inny ransomware zwany Petya. Ogromne straty odnotowano na Ukrainie (infrastruktura krytyczna państwa – banki, poczta, metro, instytucje państwowe, a także odłączenie od sieci elektrowni w Czarnobylu) oraz w globalnych firmach, takich jak: Mondelez, Reckitt Benckiser, Beiersdorf czy TNT.

Współcześnie na stałe podłączone do sieci są już nie tylko komputer czy telefon, ale także całe obiekty oraz infrastruktura. Korzystając w sposób powszechny z sieci informatycznych musimy być świadomi, że wprost proporcjonalnie do rozwoju technologii rozwija się cyberprzestępczość. W dobie tzw. rewolucji cyfrowej dane osobowe są jednym z najcenniejszych zasobów przedsiębiorstw. Natomiast zautomatyzowane cyberataki stają się normą. Najbardziej charakterystyczne dziś cyberprzestępstwa to ransomware – polegający na szyfrowaniu danych w celu uzyskania okupu oraz phishing – czyli metody oszukiwania, wyłudzania za pomocą socjotechnik (czy inaczej inżynierii społecznej).

Badania globalnego dostawcy rozwiązań cyberbezpieczeństwa Fortinet wskazują, że w ostatnim kwartale 2017 r. niemal 80 proc. organizacji odnotowało poważne naruszenie bezpieczeństwa. Według danych statystycznych firmy F-Secure w Polsce dochodzi do około 21 tys. prób cyberataków dziennie[1]. Natomiast hasła około 30 proc. CEO na świecie zostały wykradzione przez hakerów.

Po ponad 20 latach od uchwalenia, dyrektywa i tym samym polska ustawa o ochronie danych osobowych z 1997 roku ulegają dezaktualizacji. Zastąpi je RODO – Ogólne Rozporządzenie o Ochronie Danych Osobowych. Nowe prawo ma na celu nie tylko zwiększenie ochrony prywatności, ale przede wszystkim zwiększenie poziomu cyberbezpieczeństwa systemów, w których przetwarza się dane osobowe. Przedsiębiorstwa muszą się do niego dostosować do maja 2018, a za brak aktywności w tym zakresie będą narażone na karę w wysokości do 20 milionów EUR lub 4% całkowitego rocznego światowego obrotu organizacji.

Dane konsumentów w branży retail

Przetwarzanie danych osobowych na szeroką skalę jest jedną z domen branży retail. Wystarczy wymienić takie kanały i narzędzia jak: sklepy online, aplikacje sprzedażowe i marketingowe, programy lojalnościowe, wprowadzenie elementów gamingu w proces sprzedażowy, technologia RFID, narzędzia związane z koncepcją Smart Retail, służące do zliczania klientów, analizy zachowań (profilowania), inteligentnej analizy wyników sklepu. Mogą one gromadzić olbrzymie ilości danych osobowych – dane geolokalizacyjne klientów, historie transakcji, dane kart kredytowych. Jakość zebranych informacji przesądza o utrzymaniu się na rynku.

Im cenniejsze dane, tym pilniej strzeżone powinno być bezpieczeństwo systemów informatycznych, gdzie przetrzymywane są wartościowe analizy. Cyberprzestępcy mogą celować w branże dla zysku. Nie są odosobnione przypadki nieczystych działań konkurentów, a nawet byłych pracowników (tzw. insider attack).

Rozwojowi technologii informacyjno-komunikacyjnych w branży retail powinna zawsze towarzyszyć również troska o konsumenta i respektowanie jego prywatności. RODO wprowadza nowe uprawnienia dla konsumentów, np. prawo do bycia zapomnianym, prawo przenoszenia danych osobowych (np. do konkurencji), prawo dostępu do swoich danych czy sprzeciwu. Branża powinna przygotować się do wzmożonej komunikacji z coraz to bardziej świadomym polskim konsumentem oraz przygotować swoje systemy do sprawnej realizacji uprawnień konkurentów. W branży retail, charakteryzującej się bardzo wysoką konkurencyjnością, ogromne znaczenie odgrywają ryzyka wizerunkowe, polegające na utracie renomy, zaufania klientów, przejęciu rynku przez konkurencję.

Jak uchronić się przed cyberzagrożeniami?

Jak mówi jeden z najsłynniejszych hakerów na świecie, Kevin Mitnick: „Łamałem ludzi, nie hasła”. Inżynieria społeczna wciąż okazuje się skuteczna w omijaniu zabezpieczeń. Nieświadomi pracownicy firm zapisują hasła na karteczkach post-it przyklejonych do monitora, pracownicy administracyjni z braku wyobraźni wpuszczają do pomieszczeń włamywaczy udających konserwatorów, w piątkowe popołudnie z nawyku otwierają maile mimo ich podejrzanego wyglądu. Rozmówcom podającym się za IT help desk podają hasła dostępu do najbardziej chronionych systemów. Nieczujny asystent działu księgowości, widząc maila z dyspozycją od szefa, dokonuje natychmiastowego przelewu żądanej sumy na podane konto.

Eksperci z dziedziny bezpieczeństwa twierdzą, że dużej części najpoważniejszych dotychczasowych ataków dało się zapobiec. Dlatego tak istotne są szkolenia, warsztaty dla personelu, aktualizacja ich wiedzy, rozliczanie naruszeń polityki bezpieczeństwa firmy.

Zapewnienie bezpieczeństwa danych już nigdy nie będzie stanem, który można osiągnąć. Teraz jest to ciągły proces, obejmujący: korzystanie z oprogramowania wspieranego przez producenta, instalowanie na bieżąco aktualizacji, korzystanie z aktualnego, wysokiej jakości programu antywirusowego, prawidłowe tworzenie kopii zapasowych, rozważenie stosowania dwuskładnikowego uwierzytelniania. Należy zbudować dobrą politykę bezpieczeństwa organizacji, politykę reakcji na incydenty, zdecydować się na wpisanie zarządzania bezpieczeństwem do agendy i budżetu Zarządu, wyznaczyć osobę odpowiedzialną za ten obszar w firmie. A następnie powyższe środki ochrony należy stale monitorować, testować i korygować.

Opracowanie: Wioletta Kulińska, adwokat, kancelaria Magnusson Tokaj

[1]     Dane z października 2017