În câteva cuvinte
Companiile din sectorul de distribuție sunt din ce în ce mai vizate de atacuri cibernetice, deoarece dețin o cantitate mare de date personale și financiare ale clienților. Pandemia a accelerat digitalizarea și a crescut vulnerabilitatea acestor companii. Este esențial ca acestea să investească în măsuri de securitate și să responsabilizeze angajații cu privire la amenințările cibernetice, precum și să se asigure că și furnizorii respectă standardele de securitate.
15 euro pentru un act de identitate. 50 de euro pentru utilizatorul și parola unui portal de internet. 100 de euro pentru un card de credit valid.
Într-un context în care criminalitatea cibernetică înregistrează recorduri în fiecare an, căutarea oricărui tip de date personale a devenit o pradă prețioasă. Conform ultimelor date disponibile de la Institutul Național de Securitate Cibernetică (Incibe), trei din 10 incidente detectate în Spania în 2023, peste 26.600, au avut ca scop furtul de informații personale. În același an, 22.000 de companii private au înregistrat un anumit tip de incident de securitate.
Cifrele cresc în fiecare an, iar în căutarea lor de tot mai multe date, infractorii cibernetici au găsit în sectorul distribuției o țintă clară. Companii precum El Corte Inglés, Tendam sau Alcampo au confirmat în ultimele luni breșe de securitate care au afectat informațiile clienților lor sau sistemele lor de bază de funcționare. Ultimul caz a fost cel al El Corte Inglés, care a recunoscut săptămâna aceasta clienților săi un atac informatic care a reușit să acceseze datele lor personale, după ce a spart apărarea unuia dintre furnizorii săi.
Nu este o coincidență. Sectorul retail a urcat în poziții în ultimii ani printre sectoarele care suferă cel mai mult incidente de securitate. Conform ultimului raport al agenției europene de securitate cibernetică Enisa, acesta se află încă în spatele sectoarelor strategice precum cel bancar, cel sanitar sau chiar administrația publică în număr de cazuri, dar este deja înaintea apărării sau educației.
„Sectorul retail este un obiectiv foarte clar, deoarece are foarte multe date despre clienți și, istoric, a fost protejat mai puțin decât alte sectoare”, explică Jordi Juan, partener în domeniul consultanței tehnologice și de securitate cibernetică la EY. Acesta subliniază că acest sector de afaceri operează cu marje mai mici decât, de exemplu, băncile, companiile de asigurări, companiile de telecomunicații sau energetice, care au putut investi „mult mai mult” de-a lungul anilor în sisteme de protecție.
Scopul final al infractorilor cibernetici nu este altul decât să câștige bani vânzând pe piața neagră datele pe care le sustrag. Și printre acestea, există unele cu mai mult sau mai puțină valoare. Cele financiare sunt bijuteria coroanei, de aceea băncile sunt o țintă prioritară pentru aceste mafii. „Sectorul sanitar are, de asemenea, date de mare valoare pentru infractorul cibernetic. Și, în al treilea rând, este retailul, deoarece gestionează multe tranzacții, multe informații financiare relevante, cu carduri, coduri de securitate, care sunt vândute pe piața neagră”, spune Marc Martínez, responsabil pentru riscuri tehnologice și securitate cibernetică la KPMG în Spania.
Pentru a pune în context, El Corte Inglés are 11 milioane de utilizatori ai cardului său de cumpărături. Tendam, proprietarul Cortefiel și atacat în septembrie, a recunoscut că infractorii cibernetici au accesat date precum actul de identitate al membrilor cluburilor sale de fidelizare, în care adună peste 30 de milioane de utilizatori pe toate piețele sale.
„Creșterea comerțului electronic și digitalizarea au transformat companiile din sectorul retail într-o țintă atractivă pentru exploatarea vulnerabilităților în sistemele de plată, bazele de date și rețelele interne”, explică Santiago Bayo, responsabil pentru securitatea informațiilor (CISO, pentru inițialele în engleză) al Dia. Directorul companiei de supermarketuri confirmă tendința ascendentă a amenințărilor, atât în frecvență, cât și în sofisticare. „Focalizarea interesului este pe datele personale și financiare pe care o companie le poate avea, datorită tranzacțiilor pe care le gestionează sau a bazei sale de clienți loializați”.
Amenințări pe care, în cazul său, le observă ca pe o „oportunitate de a ne consolida securitatea și de a crește măsurile de supraveghere pentru a preveni și gestiona cu agilitate orice incident”. Pandemia a fost un punct de inflexiune pentru sector. Izolarea a obligat toți distribuitorii, în special cei alimentari, să dezvolte în câteva luni sisteme de comerț electronic pentru care, în condiții normale, ar fi avut nevoie de ani de zile.
„Acest proces a făcut ca perimetrul lor de expunere la risc să crească. Și, făcând-o în grabă, de multe ori securitatea a fost lăsată deoparte în favoarea funcționalității afacerii”, spune Jordi Juan, de la EY.
Tipuri de atacuri
Atacurile asupra companiilor de distribuție urmează aceleași tehnici ca și asupra celorlalte. Cele mai obișnuite sunt, pe de o parte, așa-numitele ransomware: atacatorul blochează datele unei companii, le criptează și cere o răscumpărare sub amenințarea că le va face publice. „Sunt cele care au cel mai mare succes”, spune Marc Martínez, care reamintește că plata răscumpărării este ilegală, deși recunoaște că „multe companii o fac”. Acest lucru le permite să recupereze informațiile sustrase, dar, făcând acest lucru, sunt înregistrate printre companiile care plătesc prețul cerut de infractori.
Dar grosul incidentelor, explică Jordi Juan, vine prin phishing și, de regulă, prin intermediul angajaților prin e-mailuri frauduloase. „Cu progresele în inteligența artificială, este din ce în ce mai dificil să le diferențiezi”.
După cum explică Marc Martínez, de la KPMG, „securitatea nu este niciodată 100%”, și, deși companiile investesc din ce în ce mai mult în ea, multe încă nu au unele elemente de bază de protecție: de la un responsabil de securitate care să cunoască principalele amenințări, până la investiții în copii de siguranță sau în controale mai mari ale identității.
În cazul Dia, Santiago Bayo descrie că au un plan strategic multianual, instrumente avansate de detectare și răspuns, procese de gestionare a riscului, planuri de continuitate sau sisteme specifice de monitorizare și alertare. Deși directorul pune accent pe prevenire și anticipare, ceea ce necesită „investiții în tehnologie, să aibă profesioniști adecvați, să facă diseminare internă și externă a riscurilor și amenințărilor și să urmărească îndeaproape tendințele și reglementările pentru a adapta strategia în mod proactiv”.
Acesta adaugă că securitatea cibernetică ar trebui să fie o „responsabilitate comună”, lucru pe care îl împărtășește Jordi Juan, de la EY. „Un număr mare de atacuri intră printr-un e-mail care include un link malițios. Această conștientizare are un cost redus și impactul este foarte mare”.
Responsabilitate
Asta, când atacul îl primește compania însăși. Dar, uneori, ca și în cazul raportat de El Corte Inglés, acesta îl primește un furnizor. „Este foarte obișnuit să se întâmple, deoarece au acces la aceste date, dar poate nu același grad de securitate ca și clientul lor”, spune Marc Martínez, de la KPMG. Cu toate acestea, reamintește că responsabilitatea, așa cum stabilește Regulamentul general privind protecția datelor, revine proprietarului datelor, și este cel care înfruntă potențiale sancțiuni economice din partea Agenției pentru Protecția Datelor, care intră din oficiu atunci când are loc o scurgere de date personale și poate impune amenzi de milioane de euro. Acesta poate transfera anumite responsabilități furnizorului său în contract, prin clauze care conțin, de exemplu, o despăgubire în caz de breșă de securitate.
Și clientul final, ce marjă are? În general, puțin. „Să ceară companiei să-și șteargă datele. Sau să meargă la Protecția Datelor și să depună o cerere”, adaugă Martínez.
