É a época das compras natalícias e os retalhistas de todo o mundo estão a preparar-se para a avalanche de encomendas que recebem durante as semanas até ao Natal. É também a altura do ano que os retalhistas se devem preparar para estar extra vigilantes com os seus dados, incluindo os dados dos seus colaboradores, clientes e parceiros, de hackers e impostores online.
Um novo inquérito do Cyber Readiness Institute revelou que três quartos dos consumidores dos EUA apresentam menos probabilidades de efetuar compras online a pequenas empresas que sofrem ciberataques. Os compradores online também acreditam ser mais provável que os retalhistas de grande dimensão invistam na proteção da sua segurança e privacidade, mas os pequenos retalhistas devem oferecer as mesmas proteções.
Os retalhistas enfrentam desafios únicos relativamente à tecnologia e pessoas, mas a chave para a preparação cibernética reside na educação da sua força de trabalho. Estes desafios são reais e complexos, mas algumas soluções muito eficazes e fáceis não são. Seguem-se algumas sugestões básicas para ajudar a tornar a quadra natalícia um período festivo para os retalhistas:
Desafios de cibersegurança dos retalhistas
Quando pensamos sobre os inúmeros desafios que os retalhistas enfrentam, é importante dar prioridade aos riscos de cibersegurança. Os retalhistas lidam com um grande número de fornecedores, assumem a responsabilidade pelas ações dos colaboradores e recolhem as informações confidenciais dos consumidores. Como ponto de interseção entre fornecedores, colaboradores e consumidores, os retalhistas estão associados a muitos intervenientes e devem considerar as vulnerabilidades e consequências em todas as direções.
Do lado da oferta, o retalhista é uma via de entrada para todos os membros da sua cadeia de fornecimento. Seja qual for o tamanho, cada elo da cadeia é uma potencial porta de entrada para os hackers. Os pequenos retalhistas locais podem ser alvos de agentes mal-intencionados para obtenção de acesso a grandes fornecedores. Do mesmo modo, os pequenos fornecedores podem ser utilizados para aceder ao sistema de uma empresa de maiores dimensões.
Os comerciantes devem procurar no seio das suas organizações para identificar ameaças internas. Para se prepararem para os clientes de férias, é habitual que os comerciantes contratem funcionários a tempo parcial/sazonal. Embora aliviem o stress devido à correria das férias, este tipo de funcionários pode representar um risco considerável, dependendo da extensão da sua formação e do acesso que têm dentro da organização. Os empregadores devem continuar diligentes na formação de todos os funcionários, porque todos são membros da força de trabalho cibernética e qualquer pessoa pode ser responsável, consciente ou inconscientemente, por um ciberataque.
Do ponto de vista do consumidor, as transações online geram uma quantidade significativa de informações pessoais e, muitas vezes, de pagamento. É importante que os comerciantes administrem o armazenamento e o acesso a estes dados de forma segura. Os comerciantes que oferecem serviços de entrega podem ser facilmente vítimas devido à transferência e partilha predominante de informações confidenciais. Estes tipos de transações servem como portas de acesso adicionais que os hackers podem utilizar para conseguir entrar. A proteção dos dados dos clientes deve ser uma prioridade máxima para um comerciante de qualquer dimensão, uma vez que os hackers tendem a concentrar os seus ataques neste tipo de informações.
Palavras-passe seguras
Os comerciantes têm normalmente um grande número de fornecedores, tanto diretos como indiretos. Com uma cadeia de abastecimento de qualquer dimensão, existem elos fracos e pontos de acesso para cibercriminosos. À medida que os hackers desenvolvem técnicas mais avançadas, a Account Takeover (ATO) apresenta-se como uma ameaça emergente para a indústria do comércio eletrónico.
Novas técnicas, como o enchimento de credenciais, permitem aos hackers ou bots tirar partido de dados roubados em massa para forçar a sua entrada em contas de clientes com código que extrai de nomes de utilizador e palavras-passe que são, provavelmente, reutilizados em múltiplos sítios. Uma vez comprometido um ponto de acesso, os hackers assumem essencialmente a identidade online do utilizador e podem cometer fraude ou roubo em nome do mesmo
Este tipo de ameaça é único na medida em que o ónus recai igualmente sobre o consumidor e o comerciante. Os consumidores podem salvaguardar a sua identidade através de um protocolo de palavra-passe forte: Frases de acesso de 15 caracteres, autenticação de dois fatores e evitar a reutilização de palavras-passe em múltiplas contas. Uma quebra deixa os consumidores a sentirem-se violados e vulneráveis, prejudicando assim a experiência do utilizador e a reputação da empresa. É da responsabilidade do comerciante assumir o domínio de tais violações de segurança, educar os consumidores, aplicar as melhores práticas para a configuração da conta do utilizador, permitir que os alertas de atividade da conta detetem os ataques mais cedo e partilhar experiências/conhecimentos com outros no setor.
Dica de palavras-passe seguras: A melhor palavra-passe consiste numa frase de acesso com 15 caracteres. As frases de acesso podem ser mais fáceis para as pessoas recordarem e apenas necessitam de ser alteradas se/quando forem violadas. Além disso, as pessoas podem guardar a frase de acesso no seu porta-chaves, para que não precisem de a digitar sempre.
Para mais informações sobre a ATO: https://rhisac.org/blog/how-to-mitigate-account-takeover-in-retail/; https://rhisac.org/wp-content/uploads/2018-Holiday-Guidance_ATO-Quick-Wins.pdf
Atualizações de Softwar
Com o comércio eletrónico e as compras online em constante crescimento, os comerciantes recolhem uma enorme quantidade de Informações Pessoais Identificáveis (IPI) e detalhes de cartões de crédito de cada transação. Esta abundância de dados atrai cibercriminosos para participarem no skimming, uma séria ameaça aos comerciantes com consequências nocivas.
Os ataques de skimming podem ser inseridos secretamente em sistemas de comércio vulneráveis e muitas vezes contornar medidas básicas de segurança, tornando-os assim praticamente indetetáveis tanto por compradores como por vendedores. Uma vez dentro de um portal de comércio eletrónico, o atacante pode obter acesso e retirar informações pessoais e de pagamento de transações online durante o checkout.
Embora seja importante detetar um potencial ataque antes que cause estragos, é ainda melhor evitar que o ataque se fixe no seu sistema online. Para proteger o seu negócio, a sua estratégia de defesa precisa de ser multifacetada e deve utilizar atualizações automáticas para assegurar que os últimos patches de segurança são instalados no seu sistema.
Dica de atualizações de software: A automatização (ligar a atualização automática) é uma excelente forma de ficar a par de novos patches e programar a sua instalação num momento conveniente. Reiniciar o seu computador é também outra forma de garantir que os patches são instalados.
Para mais informações sobre boas práticas, consulte o seguinte: https://rhisac.org/blog/the-threat-of-online-skimming-to-payment-security/; https://rhisac.org/blog/detecting-and-responding-to-pos-skimmers-and-shimmers/
Parar os “phishers”
Muitos comerciantes têm uma grande proporção de funcionários que podem estar a utilizar dispositivos pessoais para aceder a informações da empresa, nomeadamente se a empresa integrar funcionários a tempo parcial. É importante promover um protocolo seguro de “Traga o seu próprio dispositivo” (BYOD: Bring-Your-Own-Device).
A tendência do BYOD é rentável, não só em termos de aquisição do dispositivo no início, mas também porque os funcionários estão mais inclinados a manter e a atualizar os dispositivos pessoais do que os dispositivos empresariais. Incentivar os funcionários a utilizar dispositivos pessoais no trabalho também reduz a curva de aprendizagem e o tempo normalmente associado à formação/orientação para dispositivos fornecidos pela empresa e, como resultado, pode aumentar a produtividade dos mesmos.
No mundo pós-perímetro atual, as organizações têm menos controlo sobre os dispositivos que os seus funcionários utilizam, o conteúdo que é acedido nesses dispositivos e as redes em que esse conteúdo é acedido. Para aproveitar os benefícios associados ao movimento BYOD, é ainda mais crucial que os funcionários sejam instruídos sobre as ameaças de “phishing”. Com um dispositivo a fazer a ponte entre o trabalho e as utilizações pessoais, um “phisher” pode provocar o dobro dos danos se lhe for concedido o acesso.
Dica para parar os “phishers”: As organizações devem instruir os seus funcionários sobre o que procurar num e-mail para determinar se se trata de uma tentativa de “phishing”. Se um colaborador tiver alguma preocupação, deve contactar o especialista em TI da empresa. As empresas devem realizar regularmente formação básica em “phishing”.
Para mais informações sobre o BYOD: https://risnews.com/why-retailers-should-embrace-byod-revolution#close-olyticsmodal
Manter as USB longe
Muitos comerciantes participam em feiras comerciais ou conferências para se relacionarem com outros profissionais do setor. As empresas fornecem frequentemente produtos gratuitos para promover os seus negócios, tais como autocolantes, garrafas de água ou USB. Embora a maioria destes artigos sejam inofensivos, as USB comportam enormes riscos. Podem ser portadores de vírus e, quando inseridas num computador, têm o potencial de causar danos graves. Uma USB infetada pode destruir o seu dispositivo, bem como colocar em risco os dados privados dos seus clientes.
Como a maioria dos ciberataques, um ataque USB é oportunista. Os hackers infetam os dispositivos USB com software malicioso, como vírus, spyware, rootware e outros. Todos estes podem causar danos irrevogáveis na sua rede assim que forem instalados. Os ataques USB dependem do comportamento humano para terem sucesso.
Na maioria dos casos, os fornecedores de USB não sabem se a USB está infetada. Muitas pessoas ligam uma USB desconhecida ao respetivo computador.
Dica para manter longe as USB: Adotar um sistema de partilha de ficheiros online ou baseado na nuvem que esteja protegido por acesso, para que não necessite de utilizar uma USB.
Pode encontrar mais informações sobre o lançamento de programas de segurança cibernética para pequenas empresas e inscrever-se emhttps://www.cyberreadinessinstitute.org/sign-up. Questões? Envie um e-mail para info@cyberreadinessinstitute.org.
