O setor de varejo é um alvo significativo e crescente para os cibercriminosos. Que novos métodos estamos vendo surgindo e como os varejistas podem se defender melhor contra formas cada vez mais complexas de ataque?
Foi um período incrivelmente desafiador para o setor de varejo, com uma série de eventos sísmicos interrompendo significativamente as operações e os hábitos de consumo em rápida mudança, forçando os varejistas a buscar a transformação digital em velocidade.
Essas mudanças se tornaram ainda mais difíceis devido ao aumento concomitante do crime cibernético – tanto na indústria como no varejo. No Reino Unido, estima-se que, em média, os varejistas enfrentem um ataque a cada oito dias. No Relatório de Censo de Segurança Cibernética mais recente, 77% dos varejistas pesquisados esperavam um aumento adicional na taxa de ataque.
Para lidar com essas ameaças, e como os varejistas podem se preparar melhor para esses ataques, a Sohpos publicou recentemente Segredos da indústria: segurança cibernética para varejo. Especialistas de segurança cibernética da Sophos, analisando o aumento dos ataques digitais e não físicos; ataques físicos de engenharia social; e ataques híbridos, e os novos requisitos que a crescente complexidade de cada um está fazendo da estratégia de segurança cibernética.
Ciberataques e comportamento humano
“Engenharia social” é a manipulação do comportamento humano para enganar um indivíduo alvo a divulgar informações que eles escolheriam não se soubessem a verdadeira identidade ou intenções do destinatário. Segundo especialistas, foi identificado como precursor de mais de 95% de todos os ciberataques.
“Você precisa investir em uma operação robusta de segurança cibernética com defesas em camadas que incluem táticas de engenharia anti-social”, aconselha. “Muitas empresas investem recursos em softwares impressionantes que parecem bons no papel e fazem as pessoas se sentirem seguras, mas não fazem nada sobre o elemento humano, que foi identificado repetidamente como o elo mais fraco em uma cadeia de segurança.”
“Infelizmente, o setor de varejo é muito visado”, acrescenta o especialista. “Esses ataques podem não ser de grande escala, podem ser indicadores muito precoces de comprometimento ou alguém que tentou a sorte para entrar nesses ambientes. Mas para que eles aconteçam com uma frequência tão alta significa que, realisticamente, o setor de varejo deve levar isso o mais a sério possível, sejam ataques diretos a infraestruturas ou ataques de engenharia social”.
O consultor da Sophos aponta os ataques de 2021 à Spar e Sainsbury como exemplos recentes de alto perfil em que os varejistas foram atingidos por meio de sua cadeia de suprimentos, indicações claras de que as empresas são tão fortes quanto seu elo mais fraco.
“As organizações precisam treinar todos os funcionários, contratados e fornecedores sobre os prós e contras de como ser ‘cibermente’ responsável”, aconselha Salgado. “Isso deve incluir engenharia social e como e quando denunciar ações ou comportamentos cibernéticos e físicos suspeitos. As empresas precisam implementar retreinamentos e garantir que suas políticas venham com força. Já vi corporações construírem uma política estipulando que as pessoas precisam fazer treinamento. E então os funcionários apenas apertaram o botão ‘lembre-me mais tarde’. Semanas podem passar sem que o treinamento seja realizado e não há repercussões.
“Além disso, sua cadeia de suprimentos deve ser incorporada a este programa. A segurança de seus fornecedores pode não ser tão rígida quanto a sua, mas eles podem ter acesso aos seus sistemas e, portanto, representam um grande ponto fraco.”
Principais etapas para combater ataques cibernéticos no varejo
Para ajudar os varejistas e outras empresas nesses esforços, a Sophos identificou seis etapas principais que as organizações devem adotar ao adotar um plano de proteção. Isso começa com a garantia de que você tenha defesas de alta qualidade em seu ambiente. Em seguida, caçando ameaças em potencial e investigando-as. O terceiro conselho é fortalecer seu ambiente de TI, usando várias ferramentas para identificar pontos fracos.
Garantir que você tenha um plano de relatório de incidentes cibernéticos em vigor quando ou se um ataque acontecer é essencial. A recuperação em caso de ataque também é acelerada, garantindo que você faça backup de tudo e pratique a restauração de arquivos periodicamente. A sexta e última orientação é nunca perder de vista os fundamentos que impulsionam uma cultura segura, como educação de funcionários e políticas de acesso e autenticação.
“No final das contas, trata-se de garantir que você tenha uma defesa em camadas”, diz Salgado. “Crucialmente, você precisa garantir que seja muito fácil para os funcionários. Quanto mais barreiras forem criadas, maior a probabilidade de os funcionários encontrarem atalhos que tornem sua segurança ineficaz.”