I cyber risk nell’ambito della vendita al dettaglio sono molto diffusi. La vendita al dettaglio è uno dei settori più a rischio attacchi informatici. In effetti, oltre il 50% dei rivenditori è stato vittima di cyber attack nell’ultimo anno. Sono i dati sensibili dei clienti – come le informazioni sulle carte di credito e quelle di identificazione personale (PII) – che interessano particolarmente i pirati informatici.
Shopping natalizio e cyber risk
La stagione dello shopping natalizio può aumentare i cyber risk, con gli hacker che cercano di trarre vantaggio dall’ondata di acquisti prima e durante le feste. È importante che i retailer siano consapevoli che non bisogna solo preoccuparsi della propria rete, ma dell’intero sistema web: dalla catena di approvvigionamento, ai distributori di spedizione e ai partner di produzione alle tecnologie dei punti vendita.
Cyber risk: le conseguenze
Prendiamo ad esempio il famigerato attacco NotPetya del 2017 che ha preso di mira grandi utenze elettriche, ma come conseguenza ha finito per arrestare le operazioni di molti rivenditori.
Questo attacco provocò una reazione a catena, gettando nel caos compagnie di navigazione come FedEx e Maersk responsabili della consegna di molti ordini al dettaglio.
Le operazioni di FedEx furono ridotte a processi manuali per il ritiro, l’ordinamento e la consegna e Maersk vide attacchi in parte della sua rete aziendale che paralizzò alcuni sistemi nella sua attività di container e impedì ai clienti al dettaglio di prenotare navi e ricevere preventivi.
Per i rivenditori, un’interruzione cibernetica nella catena di approvvigionamento può arrestare le operazioni, causando danni catastrofici alla reputazione del brand, alle prestazioni finanziarie e alle ripercussioni normative – e la posta in gioco è ancora più elevata durante il periodo delle festività.
Ecco alcuni passaggi importanti che si possono adottare per mitigare il cyber risk della catena di approvvigionamento durante le festività natalizie.
Quali sono le misure da adottare per prevenire i cyber risk
Step 1: inventario della catena di fornitura
Oggi un’azienda fa affidamento su una media di 89 fornitori a settimana che hanno accesso alla propria rete per svolgere diverse attività cruciali.
Poiché l’outsourcing e l’adozione del cloud continuano a crescere nelle organizzazioni di vendita al dettaglio, è fondamentale mantenere un catalogo aggiornato di ogni fornitore di servizi nella catena di fornitura digitale (o brick-and-morta) e dei loro punti di accesso alla rete.
Questi ecosistemi della catena di approvvigionamento possono essere enormi, ma quello di un catalogo aggiornato è un impegno indispensabile poichè i problemi di sicurezza che incidono su ogni singola organizzazione possono potenzialmente interrompere il sistema più ampio.
Un inventario dei fornitori e dei sistemi a cui hanno accesso consente ai team di sicurezza di tenere traccia di tutti i percorsi possibili verso i criminali informatici che possono sfruttare e possono aiutare a identificare meglio le vulnerabilità e migliorare i tempi di risposta in caso di incidente.
Passaggio 2: assumere il controllo degli account di terzi
Una volta raggiunta la piena conoscenza della catena di approvvigionamento, bisogna identificare e gestire tutti gli account di rete detenuti da queste organizzazioni. Mentre alcuni fornitori potrebbero aver bisogno dell’accesso per completare le loro attività quotidiane, ciò non dovrebbe significare consegnare loro un set completo di chiavi di accesso al sistema.
I rivenditori dovrebbero assicurarsi che ogni venditore abbia un account e-mail e le credenziali dovrebbero essere gestite dal rivenditore, non dal fornitore e certamente non dall’utente stesso.
Facendo questo passo, il rivenditore può assicurarsi di essere il primo punto di notifica se e quando si verifica un incidente e di avere il pieno controllo del processo di riparazione.
Passaggio 3: valutare la posizione di sicurezza dei fornitori
I team di sicurezza al dettaglio effettuano spesso audit interni regolari per valutare la propria posizione di sicurezza, ma non riescono a farlo in modo efficace quando si tratta delle relazioni della catena di fornitura.
Mentre la posizione di sicurezza di un fornitore non indica necessariamente che i suoi prodotti e servizi contengono difetti di sicurezza, nel mondo cibernetico, scarse procedure di sicurezza possono essere indicative di cattive abitudini che potrebbero portare a una maggiore vulnerabilità ed esposizione al rischio.
Avere una chiara visibilità delle procedure di sicurezza dei fornitori può aiutare i rivenditori a individuare rapidamente le vulnerabilità della rete, accelerando in modo significativo le comunicazioni e le azioni per affrontare le problematiche legate alla sicurezza.
Passaggio 4: monitorare continuamente le modifiche
La valutazione dei sistemi di sicurezza di terzi non deve essere considerata come un elemento unico nell’elenco di controllo per la gestione della catena di approvvigionamento.
Il panorama delle minacce informatiche è instabile e in continua evoluzione, con nuove vulnerabilità e nuovi cyber risk che spuntano praticamente ogni giorno.
Ciò significa che i retailer hanno bisogno di soluzioni e strategie che forniscano un controllo in tempo reale, continuo e misurabile della posizione di sicurezza dei fornitori per garantire che siano al riparo dalle potenziali minacce.
Proprio come i rivenditori tengono traccia di miliardi di pacchi e spedizioni in tempo reale per garantire che non vi siano errori o ostacoli nelle consegne, il loro programma di gestione dei rischi dei fornitori dovrebbe essere trattato con la stessa diligenza.
In definitiva è indispensabile che durante le festività natalizie i rivenditori investano nella gestione della sicurezza della catena logistica per ridurre il rischio di violazioni dei dati, rallentamenti e interruzioni, nonché i costi e i danni alla reputazione che ne derivano.
