15 євро за копію ID-картки. 50 євро за логін і пароль до онлайн-порталу. 100 євро за дійсну кредитну картку. У світі, де кіберзлочинність щороку б'є рекорди, викрадення будь-яких персональних даних перетворилося на цінний трофей. За даними Національного інституту кібербезпеки Іспанії (Incibe), три з десяти інцидентів, виявлених в Іспанії у 2023 році (понад 26 600), мали на меті крадіжку особистої інформації. Того ж року 22 000 приватних компаній зафіксували інциденти з безпекою.

Кількість атак зростає з кожним роком, і в пошуках більшої кількості даних кіберзлочинці знайшли в секторі дистрибуції чітку ціль. Такі компанії, як El Corte Inglés, Tendam або Alcampo, останніми місяцями підтвердили порушення безпеки, які вплинули на інформацію про їхніх клієнтів або їхні основні системи. Останнім випадком була атака на El Corte Inglés, яка цього тижня повідомила клієнтам про кібератаку, внаслідок якої зловмисники отримали доступ до їхніх особистих даних, зламавши захист одного зі своїх постачальників.

Це не випадково. Ритейл останніми роками піднявся вгору в переліку секторів, які найбільше страждають від інцидентів безпеки. Згідно зі звітом Європейського агентства з кібербезпеки (Enisa), він все ще відстає від стратегічних секторів, таких як банківський, медичний або державне управління, за кількістю випадків, але вже випереджає оборону та освіту.

«Ритейл є дуже чіткою ціллю, оскільки має багато даних про клієнтів і історично захищався менше, ніж інші сектори», – пояснює Жорді Хуан, партнер з технологічного консалтингу та кібербезпеки EY. Він наголошує, що цей бізнес-сектор працює з меншими прибутками, ніж, наприклад, банки, страхові компанії, телекомунікаційні або енергетичні компанії, які могли роками інвестувати «набагато більше» в системи захисту.

Кінцевою метою кіберзлочинців є заробіток грошей шляхом продажу викрадених даних на чорному ринку. І серед них є дані з більшою чи меншою цінністю. Фінансові дані – це перлина в короні, тому банки є пріоритетною ціллю цих мафій. «Охорона здоров'я також має дані, які мають велику цінність для кіберзлочинця. І на третьому місці – ритейл, оскільки він обробляє багато транзакцій, багато важливої фінансової інформації, з картками, кодами безпеки, які продаються на чорному ринку», – говорить Марк Мартінес, керівник відділу технологічних ризиків і кібербезпеки KPMG в Іспанії.

Для контексту, El Corte Inglés має 11 мільйонів користувачів своєї картки покупця. Tendam, власник Cortefiel і зазнала атаки у вересні, визнала, що кіберзлочинці отримали доступ до таких даних, як номери ID-карток членів клубів лояльності, в яких налічується понад 30 мільйонів користувачів на всіх її ринках.

«Зростання електронної комерції та цифровізація перетворили компанії роздрібного сектора на привабливу ціль для експлуатації вразливостей у платіжних системах, базах даних і внутрішніх мережах», – пояснює Сантьяго Байо, керівник відділу інформаційної безпеки Dia. Він підтверджує тенденцію до збільшення кількості загроз, як за частотою, так і за складністю. «Основна увага зосереджена на особистих і фінансових даних, які може мати компанія, через транзакції, які вона обробляє, або через свою базу лояльних клієнтів».

Ці загрози в їхньому випадку розглядаються як «можливість посилити нашу безпеку та збільшити заходи спостереження для запобігання та швидкого реагування на будь-які інциденти». Пандемія стала переломним моментом для сектора. Карантин змусив усіх дистриб'юторів, особливо харчових продуктів, розробити за лічені місяці системи електронної комерції, на які в нормальних умовах знадобилися б роки.

«Цей процес підвищив їхній периметр ризику. І роблячи це поспіхом, часто безпекою нехтували заради функціональності бізнесу», – говорить Жорді Хуан з EY.

Типи атак

Атаки на дистриб'юторські компанії використовують ті ж методи, що й на інші. Найпоширенішими є, з одного боку, так звані програми-вимагачі: зловмисник блокує дані компанії, шифрує їх і вимагає викуп під загрозою їх оприлюднення. «Вони є найуспішнішими», – говорить Марк Мартінес, який нагадує, що сплата викупу є незаконною, хоча й визнає, що «багато компаній роблять це». Це дозволяє їм відновити викрадену інформацію, але, роблячи це, вони реєструються серед компаній, які платять ціну, яку вимагають злочинці.

Але більшість інцидентів, пояснює Жорді Хуан, відбувається через фішинг і, як правило, через співробітників за допомогою шахрайських електронних листів. «З огляду на досягнення в галузі штучного інтелекту, їх стає все важче розрізнити».

Як пояснює Марк Мартінес з KPMG, «безпеки ніколи не буває на 100%», і хоча компанії все більше інвестують у неї, багатьом все ще не вистачає деяких основних елементів захисту: від відповідального за безпеку, який знає основні загрози, до інвестицій у резервні копії або більший контроль ідентифікації.

У випадку Dia Сантьяго Байо описує, що вони мають багаторічний стратегічний план, передові інструменти виявлення та реагування, процеси управління ризиками, плани безперервності або конкретні системи моніторингу та оповіщення. Хоча керівник наголошує на запобіганні та передбаченні, що вимагає «інвестицій у технології, наявності відповідних фахівців, поширення внутрішньої та зовнішньої інформації про ризики та загрози, а також уважного стеження за тенденціями та правилами для проактивного адаптування стратегії».

Він додає, що кібербезпека має бути «спільною відповідальністю», з чим погоджується Жорді Хуан з EY. «Велика кількість атак відбувається через електронний лист, що містить шкідливе посилання. Таке усвідомлення має низьку вартість, а вплив дуже великий».

Відповідальність

Це коли атака відбувається на саму компанію. Але іноді, як повідомляв El Corte Inglés, її отримує постачальник. «Це дуже поширене явище, оскільки вони мають доступ до цих даних, але, можливо, не мають такого рівня безпеки, як їхній клієнт», – говорить Марк Мартінес з KPMG. Однак він нагадує, що відповідальність, як зазначено в Загальному регламенті захисту даних, лежить на власнику даних, і саме він стикається з потенційними економічними санкціями від Агентства із захисту даних, яке втручається, коли відбувається витік особистих даних і може накласти багатомільйонні штрафи. Цей може перекласти певні обов'язки на свого постачальника в контракті, через положення, які містять, наприклад, компенсацію в разі порушення безпеки.

А що клієнт? Як правило, небагато. «Попросити компанію видалити свої дані. Або звернутися до органу із захисту даних і подати позов», – додає Мартінес.