Konference Digitech 2022: Na retail míří čtvrtina kyberútoků, nízká ochrana může položit i zdravé firmy 

Svět nakupování se už dlouho dělí na online platformy a klasické kamenné prodejny. A i když se tyto dva světy hodně liší, letošní konference Retail in Detail – Digitech 2022 ukázala, kde jsou si podobné. Propojení panuje nejen v práci se zákazníky, ale i v oblasti kybernetické bezpečnosti

Konference Retail in Detail – Digitech 2022 proběhla 4. října v prostorách O2 Universum v Praze. Desítky řečníků z řad českého byznysu mluvily hlavně o moderních technologiích využitelných ve světě e-commerce a kamenných prodejen. Mluvilo se o plánování směn, samoobslužných pokladnách i 360stupňovém pohledu na zákazníky.  

Využití zákaznických dat i propojení retailu s e-shopy 

V dopoledním i odpoledním bloku proběhlo vždy pět přednášek. Dopoledne mluvil například Pavel Špryňar z Deloitte o tom, že když zákazníci sdílí s obchodníkem svá data, očekávají, že je patřičně (ideálně ve formě personalizované nabídky a slevy) využije. A když ne, ztrácí zákazník k takovému obchodníkovi důvěru.  

Konference ukázala, že i kamenné prodejny se dnes neobejdou bez pokročilé digitální techniky. A že i díky tomu je propojení retailu a e-shopů intenzivnější, než se může zdát. Zapojení digitálních vychytávek s sebou samozřejmě nese i rizika kybernetických útoků. Na ta se ve své přednášce soustředil ředitel pro bezpečnost v O2 Radek Šichtanc. 

Kolik stojí kyberbezpečnost v retailu? 

Radek Šichtanc zdůraznil, že kybernetická rizika se netýkají jen velkých hráčů, ale i malých prodejců. A to hlavně díky univerzálním řešením, která všichni prodejci používají.  

Letos se takhle ocitlo pod útokem na 280 tisíc webových stránek, které jsou vystavěné na redakčním systému WordPress, využívaném i v e-commerce. Stejně tak mohou hackeři napadnout pokladní systém velkému řetězci i malé prodejně. A to kvůli tomu, že oba prodejci využívají shodná řešení se stejnými bezpečnostními nedostatky.  

„Podle údajů společnosti Fortinet cílí na retail téměř čtvrtina všech kyberútoků,“ varuje Radek Šichtanc. Proto je podle jeho slov důležitá prevence. Na obranu před kyberútoky dnes firmy vydávají asi 5 % ročních výdajů, doporučení experta je ale zhruba 10 %.  

I firmy, které dnes tyto výdaje ignorují, k nim stejně budou muset sáhnout. „Chystá se změna legislativy, nová evropská směrnice určí, že některé povinnosti v oblasti kyberbezpečnosti dopadnou na daleko širší spektrum firem a obchodníků,“ říká Šichtanc a chystanou novinku přirovnává třeba k procesu zavádění GDPR. „Firmy se mohou připravovat už teď, kdy teprve legislativa získává obrysy,“ dodává expert O2 na kyberbezpečnost. Ochranu si podle něj nemusí budovat samy, nejjednodušším řešením je ji outsourcovat. „Nakoupit si drahou techniku, se kterou neumím pracovat a nemám lidi na její provoz, nedává v tomto případě smysl,“ říká Radek Šichtanc. 

Po přednášce jsme Radka Šichtance pro náš Modrý Blog vyzpovídali. 

Radek Šichtanc na konferenci Retail in Detail

Říkáte, že v oblasti kyberbezpečnosti je důležitá prevence. Proč by měly firmy začít něco dělat už teď a nečekat třeba na změnu legislativy?

Hrozba kyberútoků je zcela reálná a k útokům dochází neustále, i v oblasti retailu. I když si to prodejci nemyslí, statisticky patří k nejohroženějším sektorům. Je to dáno charakterem tohoto podnikání. Retail pracuje s velkým objemem zákaznických údajů. I ti nejmenší obchodníci zpracovávají platební údaje, které útočníky lákají. Proto rozhodně není vhodné se zabezpečením čekat na to, až ho povinně zavede legislativa. Ona chystaná změna, která se v Česku promítne do zákona o kybernetické bezpečnosti, se nově bude místo stovek subjektů týkat odhadem asi šesti tisíc firem, možná i více. I tak ale zdaleka nedopadne na všechny. To ale neznamená, že by se ostatní neměli bezpečností zabývat. Naopak, chránit před kybernetickými by se měli všichni. 

Platí, že zejména menší firmy a drobní podnikatelé rizika podceňují nebo je mají za vyřešená?

Svým způsobem ano. Když se podíváme třeba na menšího prodejce, který má ve svém obchodě nějaký ověřený pokladní systém, tak prodejce věří, že systém je bezpečný. Ono to platí jen do jisté míry, časem se v každém systému může objevit zranitelnost, kterou mohou útočníci zneužít, a pak je otázkou, jak k tomu dodavatel systému i samotný podnikatel přistupují. Zda své systémy a technologie pravidelně aktualizují a aplikují bezpečnostní „záplaty“. Ale i tak tu další rizika zůstávají a zmíněný příklad je jedním z řady opatření, kterými by se firmy měly zabývat. Samozřejmě je logické, že zabezpečení u malých podniků nebude tak robustní jako u firem velkých. I zde platí, že výdaje na bezpečnost by měly odpovídat hodnotě aktiv, která chci chránit. 

Jak se mají malé i velké firmy bránit? 

Základem je vědět, co potřebuji chránit a zda v tomto ohledu dělám dost. Což ale často nedovedu posoudit sám. Takže doporučuji vyhledat pomoc specializované firmy, která bezpečnost prověří, odhalí potenciální rizika a nastaví systém řízení bezpečnosti. Důležitý je v tomto ohledu systematický přístup. Je třeba identifikovat, jaké hrozby jsou pro můj byznys relevantní, na jaké kanály mohou útoky cílit, a ty primárně zabezpečit. Jde o zabezpečení technické i organizační. Samozřejmě pro řadu firem a podnikatelů nedává smysl, aby zaměstnávali vlastní bezpečnostní experty, tady je řešením najít správného partnera, který zabezpečení dodá jako službu. 

Jak může v tomto ohledu firmám pomoci O2?

Z pohledu velikosti a zaměření firem dovedeme bezpečnost doručit a nastavit jak pro jednotlivce a malé firmy, tak pro větší firmy i velké korporace. Máme specifická řešení a postupy pro určité sektory, třeba pro výrobní firmy nebo právě pro retail. Zákazníkům poskytujeme vícevrstvý bezpečnostní model, kdy bezpečnost nezávisí jen na jednom kusu zařízení, na jedné vrstvě infrastruktury a technologie. Odpovídající bezpečnost umíme zajistit od úrovně fyzické infrastruktury až po aplikační vrstvu. Nabízíme i služby bezpečnostního monitoringu, dohledu, řízení incidentů, umíme provést bezpečnostní audit, vytvořit akční plán bezpečnosti a de facto zavést bezpečnost na míru dané firmě. To jsou řešení, která vznikají ve spolupráci s konkrétními zákazníky. Vedle toho máme i řešení ve formě konkrétních produktů, ať už hardwaru, nebo služeb, která nabízíme plošně. 

Co si z článku odnést:

  • Kybernetická rizika se nevyhýbají ani oblasti retailu, míří do něj čtvrtina útoků 
  • Cílem mohou být pokladní terminály a další „standardizovaná“ řešení 
  • Nová legislativa zvýší nároky na firmy stran zavedení opatření v oblasti kyberbezpečnosti 
  • Zabezpečení si nemusí firmy budovat samy, lze jej i outsourcovat 
Související článek Jiří Sedlák: V O2 SEC dokážeme připravit obranu i proti útoku, který ještě nepřišel
Nahoru