تحول سریع کانال‌های آنلاین و استفاده از تلفن‌ همراه، بازارهای جدیدی را به وجود آورده و فرصت‌های بزرگی را هم برای سازمان‌های نوظهور و هم شرکت‌های تثبیت‌شده، فراهم کرده است. با این حال، متأسفانه، در دهه گذشته شاهد اختلال قابل‌توجهی در فرآیندهای پرداخت و تجارت الکترونیک بودیم. ماهیت به هم پیوسته و ناشناس این کانال‌ها منجر به ایجاد عدم امنیت سایبری و تهدیدات مخربی شده که شرکت‌های تجارت الکترونیک و خرده‌فروشی‌ها، افراد و مشتریان آن‌ها را هدف قرار داده است.

این تهدیدهای جرایم الکترونیک و کلاهبرداری دیجیتال، به سرعت در حال تکامل هستند. تهدیدهای جرایم الکترونیک می‌توانند خدمات دیجیتال را تضعیف کرده و باعث وارد شدن خسارت قابل توجهی به اعتبار برند شده و منجر به آسیب‌های مالی و عملیاتی بسیاری برای سازمان‌ها و مشتریان آن‌ها شوند.

در سراسر جهان، تنظیم‌‌کنندگان مقررات با بررسی دقیق مقاومت سازمانی و معرفی دقیق الزاماتی، توجه خود را به این تهدیدها معطوف کرده‌اند. چالشی که شرکت‌های خدمات تجارت الکترونیک با آن روبه‌رو هستند، ارائه خدمات غنی‌تر و یکپارچه از طریق چند کانال دیجیتال، همراه با مهار هزینه‌های تحمیل‌‌شده در مواجهه با تهدیدات پیچیده جرایم الکترونیک است. حملات سایبری اخیر، ضرورت اقدام سازمان‌های خرده‌فروشی برای مقابله با خطرات روزافزون را نشان می‌دهد.

برای دستیابی به این اهداف امنیتی، باید پذیرفت که امنیت خدمات و محافظت از اطلاعات مشتریان ضروری است. بدین منظور و برای پشتیبانی از امنیت فعلی، باید یک مدل امنیتی مشتری با هدف‌گیری کل سازمان داشته باشید. این مدل باید به گونه‌ای طراحی شود که قابلیت‌های امنیتی ارتباط با مشتری و بخش پشتیبان در سازمان و به ویژه دفاع امنیتی موجود در کانال‌های بانکی آنلاین، تلفنی و از راه دور را تقویت کند.

تحول درجه تهدیدات

چشم‌انداز این تهدید همواره رو به رشد بوده و به طور فزاینده‌ای چالش‌برانگیز است. داده‌های مشتریان خرده‌فروش‌ها و شرکت‌های تجارت الکترونیک با سرعت بسیار زیادی در حال افزایش است. با ارائه خدمات بیشتر در تجارت الکترونیک، داده‌های بیشتری طی ۲ سال آینده تولید خواهد شد. دسترسی به همه این داده‌ها، صنعت خرده‌فروشی را به یکی از اهداف اصلی حمله‌های سایبری تبدیل کرده است. برخی از تهدیدهای اصلی که سازمان‌های امروزی در معرض آسیب آن قرار دارند، عبارتند از:

  • تسلط بر حساب کاربر از طریق حمله‌های روباتیک، حدس‌زدن رمز عبور، تزریق HTML و حمله شخص میانی (Man-in-the-Middle) یا حمله شخص به مرورگر (Man-in-the-Browser). دزدی حساب کاربری یک رفتار بسیار رایج توسط کلاهبرداران است، زیرا به آن‌ها اجازه می‌دهد اطلاعات هویتی برای ورود به سیستم را تأیید کنند، حساب‌های با ارزش بالاتر را شناسایی کرده و کنترل معامله‌های غیرمجاز آینده را در دست بگیرند.
  • سوءاستفاده از برنامه منطق تجارت (Business Logic Abuse) یا استفاده از قابلیت‌های پورتال برای اهداف مخرب (به‌عنوان مثال سوء استفاده از برنامه‌های وفاداری یا قابلیت سبد خرید، تنظیم حساب کاربری تقلبی و …).
  • حمله توزیع شده محروم‌سازی از سرویس یا DDOS به لایه‌های برنامه.
  • کاوش سایت یا معماری برای جمع‌آوری هرچه بیشتر اطلاعات در مورد ساختار سایت و آسیب‌پذیری‌های امنیتی، برای آماده‌سازی حمله به آن.
  • شناسایی اطلاعات سایت، موجودی آن یا سرقت داده‌ها با کپی‌کردن مقادیر زیادی از داده‌ها، معمولاً به وسیله اسکریپت‌های خودکار.

واضح است که با تکامل این تهدیدها، تکنیک‌های سنتی قادر به جلوگیری از تمام آن‌ها نیستند. امنیت لایه‌ای مضاعف و دید تخصصی در این حملات مورد نیاز است.

مسائل مربوط به امنیت سایبری

مسائل مربوط به امنیت سایبری منجر به تخریب برند و تغییر در رفتار مصرف‌کننده می‌شوند. حملات سایبری از نقاط ضعف در کنترل‌های سنتی بهره می‌برند و برخی از آن‌ها بسیار مخرب هستند. کنترل‌های سنتی در پایانه فروش و سایر سیستم‌های فناوری اطلاعات ضروری بوده اما کافی نیستند؛ باید روی کنترل‌های پیشگیرانه، تشخیص سریع و واکنش سریع، تأکید بیشتری شود. نوآوری‌های خرده‌فروشی که باعث رشد اقتصادی می‌شوند (مانند دیجیتال، خرده‌فروشی اومنی ‌چنل (Omni Channel)، اجتماعی و غیره) نیز ریسک سایبری ایجاد می‌کنند. استراتژی مدیریت ریسک سایبری باید جزئی از استراتژی کسب‌وکار باشد و نمی‌تواند به سادگی به فناوری اطلاعات واگذار شود.

  • عدم وجود کنترل و شفافیت مناسب، خطر امنیت سایبری را افزایش می‌دهد

با وجود تکرار فزآینده و پیشرفته‌بودن حمله‌های سایبری به صنعت تجارت الکترونیک، توافق‌نامه‌های پرداخت بین شبکه‌های کارت اعتباری، بانک‌ها و بازرگانان همچنان به صورت یک راز، مخفی نگه داشته شده است. نه دولت و نه هیچ بانک اطلاعاتی، فهرست متخلفین را با مردم به‌اشتراک نمی‌گذارند. جریمه‌ها و دلایل آن‌ها مهروموم شده است. به دلیل این عدم شفافیت، اکثر مشتریان از هیچ‌گونه نقض امنیت سایبری آگاه نیستند و در مقابل مهاجمین سایبری آسیب‌پذیر باقی می‌مانند.

  • شرکت‌های تجارت الکترونیک و خرده‌فروشان در جهت افزایش تلاش‌ها برای اطمینان بیشتر از امنیت سایبری، فعالیت می‌کنند.

خرده‌فروشان مجبور شدند در پی نقض امنیت داده‌ها در شرکت‌های بزرگ خرده‌فروشی، برای تضمین امنیت داده‌های مشتری، هزینه بیشتری خرج کنند. در حالی که خرده‌فروشان سنتی، میلیون‌ها دلار برای رقابت با خرده‌فروشان آنلاین سرمایه‌گذاری کرده‌اند، تهدیدهای سایبری امنیتی، هزینه‌های عملیاتی آن‌ها را چند برابر کرده است.

  • ریسک سایبری شخص ثالث

از آنجایی که شرکت‌ها به دنبال بهره‌برداری از اطلاعاتی هستند که در مورد مشتریان خود به دست می‌آورند، به طور فزاینده‌ای از تخصص اشخاص ثالث مانند متخصصین تجزیه‌وتحلیل و بازاریابان اجتماعی استفاده می‌کنند. این امر همراه با زنجیره‌های تأمین طولانی و پیچیده باعث شده تا سازمان‌های خرده‌فروشی در زنجیره‌های ارزش بسیار پیچیده و به هم پیوسته‌ای درگیر شوند که داده‌های حساسی در آن‌ها به‌اشتراک گذاشته می‌شوند. همچنین بین سیستم‌های مهم اقتصادی، وابستگی ایجاد شده است. شرکت‌ها متوجه شده‌اند که اغلب در این زمینه، قدرت دید بسیار کمی داشته، خبر ندارند ‌که اطلاعات مربوط به مشتریانشان به کجا می‌رود و نمی‌دانند چه خطراتی در این زمینه وجود دارد. ما باید روی نقشه‌برداری از این به هم پیوستگی‌ها متمرکز شویم، چارچوب‌های قدرتمند مدیریت ریسک را توسعه داده و به شرکت‌ها اطمینان دهیم که آن‌ها از ریسک ارتباط با هر شریک آگاه بوده و فعالانه آن ‌را مدیریت کرده‌اند.

  • ناکافی‌بودن تلاش‌های تیمی بانک‌ها و خرده‌فروشان برای مقابله با تهدیدهای امنیت سایبری

در حالی که انتظار می‌رود تلاش‌های مشترک برای تضمین امنیت سایبری بیشتر شود، بانک‌ها و خرده‌فروشان از نظر تقسیم مسئولیت متفاوت هستند. بانک‌ها می‌خواهند خرده‌فروشی‌ها پس از وقوع تخلفات، هزینه‌های تعویض کارت را بپذیرند، در حالی که خرده‌فروشان می‌گویند بانک‌ها نسبت به اتخاذ فناوری جدید و ایمن‌تر کارت‌های اعتباری، کند عمل کرده‌اند.

توصیه‌ها

سرعت تغییر فناوری، فرصت‌های زیادی را برای سازمان‌ها فراهم کرده است تا مدل‌های کسب‌وکار، خدمات و محصولات جدیدی را توسعه دهند. در حالی که انقلاب دیجیتال، شیوه انجام کسب‌وکار را دگرگون ساخته، مسائل امنیتی پیشرفته و پیچیده‌ای را هم ایجاد کرده است. دارایی‌ها و اطلاعاتی که زمانی در این سازمان محافظت می‌شدند، اکنون به صورت آنلاین در دسترس هستند، کانال‌های مشتری در معرض آسیب اختلال قرار دارند و مجرمین فرصت‌های جدیدی برای سرقت و کلاهبرداری در اختیار دارند. با رشد سازمان‌ها به صورت اساسی و غیراساسی، پیچیدگی مدیریت کسب‌وکارها و عملیات امنیتی نیز پیچیده‌تر می‌شود.

برای رفع حمله‌های هدفمند چه باید کرد؟

چگونه می‌توانید نسبت به این حمله‌ها، قدرت دید بیشتری داشته باشید و جلوی صدمه‌های بیشتر آن‌ها را بگیرید؟ امروزه سازمان‌ها با چشم‌اندازی از تهدیدهای مداوم رو‌به‌رو هستند که سرعت و شدت حمله در حال افزایش بوده و زمان پاسخگویی به آن‌ها کاهش یافته است. در نتیجه، سازمان‌ها باید قابلیت تشخیص و پاسخ سریع را داشته باشند که امکان اطلاع‌‌ به ‌موقع از تهدیدهای داخلی و خارجی را فراهم می‌کند. این «دانش موقعیتی» یک مولفه لازم از وضعیت امنیت کلی سازمان است و برای حفظ محرمانه‌بودن، یکپارچگی و در دسترس‌بودن دارایی‌های اطلاعاتی آن بسیار مهم می‌باشد. برخی توصیه‌های کلیدی برای یک سازمان جهت قدم‌گذاشتن در یک معادله امنیتی موثر عبارتند از:

  • ریسک‌پذیری را تبیین کنید و توجه خود را بر نکات مهم متمرکز سازید. هدف و جهت را تعیین کنید. ریسک‌پذیری و استراتژی سایبری خود را به روشنی بیان کنید. با اقدام لازم از طریق سرمایه‌گذاری و تأمین منابع، از آن پشتیبانی کنید.
  • تعادل مناسب بین برنامه‌های تهدیدمحور را در مقابل برنامه‌های تبعیت‌محور تعیین کنید. مدیریت ریسک سایبری را در رشته‌های فناوری اطلاعات، کاملاً ادغام کنید.
  • ارتباط بین بخش‌ها را قطع کنید. ریسک سایبری یک مسئله در سطح سازمانی است. عدم به‌اشتراک‌گذاری اطلاعات، مولفه اصلی برای مدیریت موثر ریسک است.
  • در مورد آگاهی از خطر سایبری خلاق باشید. ضعیف‌ترین پیوند شما، عامل انسانی است. قابلیت کافی برای انجام هرکاری در خانه وجود ندارد، بنابراین برای تصمیم‌گیری‌ها در مورد منابع، یک تصمیم استراتژیک بگیرید.
  • پذیرابودن تجربه‌های جدید و همکاری را تشویق کنید. با همکاران، مجریان و تنظیم‌کنند‌گان قوانین و فروشندگان، روابط مستحکمی برقرار کنید.
  • با انجام بازی‌های جنگی، آزمایش‌های نفوذ و تمرین برنامه‌های واکنش به حوادث سایبری برای مقابله با این حمله‌ها آماده شوید.
  • مکانیسم اطلاعاتی تهدید را در اختیار داشته باشید. روی بازسازی داده‌های امنیتی متنوع و غیرساختاریافته و اطلاعات جمع‌آوری‌شده از کلیه نهادهای امنیتی (رویدادهای اخیر و گذشته) تمرکز کنید.