Množstvo výhod digitalizácie v maloobchode a distribúcii sa prekonáva len ťažko. Elektronický obchod, big data a AI umožnili personalizované nákupné zážitky, ktoré si získavajú lojalitu zákazníkov, ale je to práve kombinácia IT, prevádzkových technológií (OT) a systémov internetu vecí (IoT), ktorá transformovala logistiku. Inteligentné regály znamenajú menej výpadkov zásob. Point-of-Sale (POS) zariadenia znamenajú rýchlejšie pokladne. Integrované dodávateľské reťazce typu just-in-time (JIT) znamenajú menej odpadu.
Ako to však často býva, postupy kybernetickej bezpečnosti nedržia krok s týmito inováciami, čo vystavuje maloobchodníkov novým kybernetickým rizikám spojeným s rozšírenou plochou útoku. Tento článok preskúma, ako často zraniteľné OT siete a IoT zariadenia prestupujú každým aspektom maloobchodných operácií, aké riziká prinášajú a ako ich môžete spravovať.
Úniky zákazníckych údajov nie sú jedinou hrozbou
Začiatkom tohto roka zasiahla séria útokov kyberkriminálnej skupiny Scattered Spider popredných maloobchodníkov v Spojenom kráľovstve a USA. Skupina využila sociálne inžinierstvo na získanie údajov zo zákazníckych vernostných programov s cieľom ich následného predaja na čiernom trhu. (Na získanie prístupu sa útočníci vydávali za zamestnancov spoločnosti a oklamali personál IT helpdesku, aby zresetovali prihlasovacie údaje (credentials), čím obišli bezpečnostné mechanizmy.) Vďaka silnému šifrovaniu vyžadovanému normou PCI DSS (Payment Card Industry Data Security Standard) je prekonanie údajov o finančných transakciách náročné a pri týchto incidentoch k nemu nedošlo. Napriek tomu môžu byť lukratívne údaje o zákazníkoch zneužité na širokú škálu podvodných aktivít.
Skupina Scattered Spider je známa tým, že sa zameriava vždy na jeden sektor – do povedomia sa dostala v roku 2023 útokmi na MGM Resorts a Caesars Entertainment v Las Vegas – a odvtedy prešla na poisťovne a letecké spoločnosti. Maloobchodníci si možno vydýchli, ale riziko prekvapivého útoku v inej oblasti pretrváva. Kybernetické útoky na inteligentné regály, automatizovanú logistiku skladov a dátové centrá nemusia plniť titulky novín tak ako ukradnuté údaje zákazníkov, ale ako zneužiteľné vstupné body (entry points) môžu zastaviť prevádzku rovnako rýchlo, pričom čas na obnovu (recovery time) býva exponenciálne dlhší.
Kyberneticky prepojený maloobchodný reťazec
Moderné maloobchodné reťazce sú komplexné prevádzky, ktoré sa spoliehajú na IT, IoT a OT, aby fungovali efektívne a zabezpečili bezpečnosť a komfort zákazníkov. Medzi systémami riadenia budov (BMS) a systémami maloobchodnej automatizácie môže mať veľký predajca stovky alebo dokonca tisíce zariadení a systémov, ktoré by v prípade manipulácie mohli narušiť prevádzku. Tu je niekoľko príkladov.
Systémy riadenia budov (BMS)
Maloobchodníci sa výrazne spoliehajú na BMS, aby udržali predajne efektívne, bezpečné a ziskové. BMS v maloobchodnom prostredí je celkový dozorný systém, ktorý monitoruje a spravuje kľúčovú infraštruktúru všetkých budov vrátane HVAC (klimatizácia, ventilácia, vykurovanie), osvetlenia, napájania, požiarnej bezpečnosti, zabezpečenia, výťahov a vody. Dobre riadený BMS ovplyvňuje zákaznícku skúsenosť udržiavaním optimálnej teploty, osvetlenia a kvality vzduchu. Spravuje tiež energetickú a prevádzkovú efektivitu, kontrolu nákladov a ochranu majetku.
Rastúca kriticita BMS v maloobchode viedla k zvýšenej konektivite so štandardnou IT infraštruktúrou a cloudovými systémami pre energetický manažment a prediktívnu údržbu, ako aj k integrácii pokročilých funkcií smart budov a IoT. Táto konvergencia so sebou prináša značné riziká, pretože OT a IoT sieťam často chýbajú bezpečnostné funkcie bežné v IT prostrediach. Napríklad:
Môžu používať predvolené alebo hardcoded credentials, ktoré sa dajú ľahko prelomiť útokom hrubou silou (brute-force).
Legacy protokoly nie sú šifrované a nevyžadujú autentifikáciu.
Nasadenie opráv (patching) zraniteľností na OT zariadeniach (ak vôbec existujú) sa často musí odložiť až na najbližšie servisné okno.
Dodávatelia a výrobcovia (OEM) sa neustále prihlasujú na správu a údržbu zariadení, pričom často používajú vlastné nezabezpečené nástroje na vzdialený prístup, čo vnáša do systému riziko tretích strán.
Siete POS terminálov
POS siete – pokladničné a samoobslužné zóny – sú chrbticou maloobchodného predaja. Dnes akceptujú rôzne digitálne platobné metódy, pričom hotovosť je čoraz vzácnejšia. Tradičné POS terminály vyžadujúce potiahnutie karty sú pripojené k zabezpečenému, vyhradenému kanálu k platobnému procesorovi. Novšie bezdrôtové, bezkontaktné platobné metódy sú menej bezpečné. Spoliehajú sa na technológiu NFC (Near-Field Communication) s dosahom len niekoľkých centimetrov a transakčné údaje sa prenášajú cez rádiofrekvenčný signál.
Inteligentné regály a mobilné digitálne skenery
Inteligentné regály spôsobili revolúciu v maloobchode. Automatizujú všetko od tvorby cien až po dopĺňanie zásob, pričom každý komponent bezdrôtovo komunikuje s centrálnym riadiacim systémom. Senzory detegujú nízky stav zásob a spúšťajú procesy dopĺňania. Elektronické cenovky umožňujú maloobchodníkom meniť ceny a aktivovať promo akcie hromadne.
Ak ste všetky svoje investície do kybernetickej bezpečnosti naliali do IT systémov, nemáte takú úroveň kybernetickej zrelosti, ako si myslíte. Vaša IT sieť je zmenšujúcou sa časťou vašej celkovej plochy útoku a tá rastúca časť je práve tá, ktorej rozumiete najmenej.
Napriek všetkej tejto automatizácii nie sú ľudia zatiaľ nahraditeľní. Zamestnanci priamo na ploche používajú mobilné digitálne skenery na označenie vypredaného tovaru, overovanie cien a pomoc zákazníkom. V skladoch sa skenery používajú na príjem tovaru, párovanie objednávok a evidenciu zásob. Zástupcovia výrobcov prichádzajú s vlastnými skenermi, aby získali presné počty zásob a sledovali výkonnosť produktov.
Systémy riadenia budov a maloobchodnej automatizácie opísané v tomto texte sa spoliehajú na technológiu IoT. Mnohé z týchto zariadení využívajú staršie, proprietárne alebo neštandardné embedded operačné systémy a postrádajú pokročilé kybernetické funkcie moderných IT zariadení. Často sú inštalované bez základnej ochrany, ako je povolenie šifrovania alebo vyžadovanie autentifikácie. To ich robí ľahšie kompromitovateľnými než štandardné IT zariadenia a mnohé majú dokonca priamy prístup do internetu. Či už ide o káblové alebo bezdrôtové pripojenie, IoT zariadenia komunikujú pomocou neštandardných protokolov a vyžadujú špeciálny monitoring, ktorý im „rozumie“.
Robotika a drony v skladoch
Robotické systémy sú kľúčové pre efektívnu distribúciu, či už pri vychystávaní alebo presúvaní tovaru. Automatizované systémy skladovania a vyhľadávania (AS/RS) umožňujú vertikálne škálovanie a pohyb v užších uličkách, než zvládne človek. Robotické ramená sa používajú na presné vychystávanie (picking). Autonómne riadené vozidlá (AGV) sa pohybujú po vopred definovaných dráhach, zatiaľ čo sofistikovanejšie autonómne mobilné roboty (AMR) využívajú senzory, kamery a AI na navigáciu v dynamickom prostredí. Všetky tieto roboty sa spoliehajú na programovateľné logické automaty (PLC) a iné OT na bezpečný pohyb a manipuláciu s tovarom. IoT senzory spolupracujú s OT na zbere a prenose dát v reálnom čase za účelom optimalizácie pracovných tokov a prediktívnej údržby.
Hoci nie sú také nezabezpečené ako staršie (legacy) OT zariadenia, roboty v skladoch sú stále zraniteľné voči rizikám tretích strán. Podobne ako pri HVAC a iných systémoch BMS, aj tu musia byť do údržby zapojení OEM dodávatelia, čo si vyžaduje vzdialený alebo fyzický prístup. Nezabezpečené vzdialené pripojenie poskytuje vstupný bod pre útočníka a zlomyseľný interný používateľ (vrátane autorizovaného dodávateľa) môže zneužiť príkazy na narušenie prevádzky.
V porovnaní s robotmi sú drony v skladoch novinkou, ale rýchlo sa stávajú bežnými, pretože sa dostanú tam, kam ľudia ani roboty nie. Drony môžu lietať uličkami a pomocou kamier a RFID skenerov počítať zásoby na vysokých regáloch. Na rozdiel od vonkajších dronov sú zvyčajne riadené centrálnym systémom správy skladu (WMS) a komunikujú cez proprietárne protokoly, vďaka čomu sú menej náchylné na útok než drony lietajúce vo voľnom priestranstve.
Integrácia dodávateľského reťazca
Riziko dodávateľského reťazca (supply chain risk) je všade. Pre maloobchodníkov často znamená JIT objednávanie, čo je kľúčové pre elimináciu odpadu, najmä pri tovare podliehajúcom skaze. Prepojené dodávateľské reťazce zahŕňajú inventarizačné systémy s automatickým dopĺňaním, integrované prepravné siete a plynulé úpravy cien.
Nedávny kybernetický útok poukázal na riziko JIT reťazca pri čerstvých potravinách. United Natural Foods Inc. (UNFI), najväčší distribútor potravín v USA, musel po kybernetickom útoku v júni prejsť na manuálnu distribúciu. Dodávatelia ako UNFI sú hlboko integrovaní do systémov zákazníkov, od predpovedania zásob až po plánovanie dodávok.
Dátové centrá
Moderné maloobchodné operácie generujú obrovské množstvo dát, ktoré musia byť bezpečne uložené a spravované. Veľkí hráči ako Walmart, Target alebo Amazon si budujú vlastné dátové centrá. Vzhľadom na ich kriticitu sa stali cieľom sofistikovaných útokov. Okrem priamych útokov na servery za účelom krádeže duševného vlastníctva môžu byť terčom aj prepojené inteligentné zariadenia (chillery, generátory, CCTV), ktoré zabezpečujú chod centra. Ich napadnutie môže spôsobiť rozsiahle výpadky.
IT je čoraz menšou časťou plochy útoku maloobchodníka
Naprieč odvetviami tvoria OT a IoT zariadenia rastúce percento celkových digitálnych aktív. Prieskum z roku 2024 ukázal, že OT, IoT a špecializované systémy tvoria 42 % podnikových aktív – a sú zodpovedné za 64 % stredne až vysoko rizikových hrozieb. Bezpečnosť OT a IoT si vyžaduje iné nástroje než IT prístupy, preto úroveň zabezpečenia v tejto oblasti často zaostáva.
Ak ste všetky investície vložili len do IT, vaša celková kybernetická odolnosť nie je dostatočná. Musíte vedieť, aké OT a IoT aktíva v prostredí bežia, čo robia, s kým komunikujú a či sú pripojené do internetu.