Cyberaanvallen op onder andere MediaMarkt, Casa International en Metro haalden de pers vorig jaar, en dat is geen toeval. In 2022 was retail immers de op vier na meest geviseerde industrie door cybercriminelen.
Aantrekkelijk voor hackers
Eind 2021 werd elektroketen MediaMarkt het slachtoffer van een internationale cybergijzeling, waardoor onder andere de kassasystemen in de winkels moesten worden afgekoppeld: hackers eisten een losgeld van meer dan 40 miljoen euro. In de zomer van vorig jaar was Casa International aan de beurt: de IT-systemen werden versleuteld en bepaalde persoonsdata werden gelekt. Een grootschalige cyberaanval op Metro afgelopen najaar veroorzaakte gedurende weken aanslepende IT-problemen, waardoor onder andere de kassasystemen en de elektronische prijsetiketten uitvielen en de uitverkoop bij de failliete Belgische dochter Makro forse hinder ondervond.
Het zijn slechts drie voorbeelden die illustreren in welke mate ook retailers geviseerd worden door hackersbendes. Bovendien komen veel incidenten niet eens in de media. Retail was in 2022 de vijfde meest geviseerde industrie door cybercriminelen, goed voor 8,7% van alle aanvallen in de top-10 industrieën, berekende IBM. Dat is een forse stijging tegenover de 7,3% van in 2021, blijkt uit de nieuwste X-Force Threat Intelligence Index. Met een totaalbedrag van 2720 miljard euro aan online retailtransacties – een stijging van 20% ten opzichte van het voorgaande jaar – is retail nu eenmaal een aantrekkelijke sector voor cybercriminelen, zeker gezien de grote hoeveelheden gevoelige data.
Achterdeuren openen
De meest voorkomend type aanvallen op retailers was het sturen van gerichte phishing e-mails met een kwaadaardige link (33%). De belangrijkste gevolgen van deze aanvallen waren afpersing (50%), het stelen van gegevens (25%) en financieel verlies (25%). Hackers viseren niet alleen klantendata om retailers af te persen, maar richten zich ook vaker op het verstoren van de dienstverlening, waardoor retailers niet meer in staat zijn om handel te drijven, zegt Eben Louw, die aan het hoofd staat in Europa van X-Force, de cyberbeveiligingsdivisie van IBM.
In 2021 zag IBM vaker de inzet van ransomware. Vorig jaar veranderde dat: “Na de uitbraak van de oorlog in Oekraïne zagen we een toename van aanvallen vanaf eind april. Het doel van die aanvallen was vooral om achterdeuren te openen, en vervolgens heel traag en heimelijk de systemen binnen te dringen om data te stelen.”
In retail zijn het vaak de applicatieservers en de onlineactiviteiten die kwetsbaar zijn. Zodra cybercriminelen erin slagen de systemen binnen te dringen, hebben ze vrij spel, gezien de vertrouwensrelaties tussen de applicatieserver en de back-end databases. “Vaak hoeven ze niet eens accounts te kraken. Er zitten bijvoorbeeld geen firewalls tussen de applicaties. Ook krijgen accounts vaak teveel administratieve rechten. Ontwikkelaars nemen vaak shortcuts omdat ze onder tijdsdruk staan.”
Geen garanties
Wanneer retailers na een gerapporteerde cyberaanval snel weer operationeel geraken, kan je je afvragen wat er achter de schermen is gebeurd: hebben ze losgeld betaald? Het probleem is, dat je cybercriminelen nooit kan vertrouwen. “Ze zeggen wel: betaal ons en we zullen alle data vernietigen die we van jullie hebben gestolen. Wij worden nooit betrokken in die onderhandelingen, maar we begrijpen uit ons onderzoek wel dat je nooit echte garanties krijgt.”
En het gaat niet alleen om de gestolen data, ook om de credentials: hackers kunnen binnendringen via een lek in het systeem, maar ook via gestolen gebruikersnamen en paswoorden. In de tijdsdruk om de systemen heel snel weer operationeel te brengen, blijft die achterdeur vaak openstaan en kunnen de hackers opnieuw toeslaan als ze dat willen. “Een systeem waarin hackers aan het werk zijn geweest, kan je niet meer vertrouwen. Je moet het opnieuw installeren en je backups herstellen. Dat doen bedrijven vaak niet, omdat de hardware, de opslagcapaciteit, de mensen en de tijd niet voorhanden zijn. Soms hebben ze zelfs de paswoorden niet meer van oude netwerksystemen, omdat die geconfigureerd werden door leveranciers waar ze niet meer mee werken.”
Kwetsbare kassasystemen
Is het wel mogelijk om je systemen perfect te beveiligen? “100% veilig zal je nooit zijn. We adviseren om je systemen in die mate te beveiligen, dat het zo moeilijk wordt voor de criminelen, dat ze liever ergens anders gaan proberen. Het zijn opportunisten met een verdienmodel. Ze zullen misschien één of twee dagen pogen om je systeem binnen te dringen, maar als dat niet lukt, dan verleggen ze hun poging naar een volgend bedrijf.”
Breng je external attack surface in kaart, adviseert Louw: wat kunnen cybercriminelen van buitenaf zien en hoe kunnen ze je aanvallen? “Dat moet je begrijpen en verbeteren. Vervolgens ga je intern kijken naar de kwetsbaarheden in je systemen. Kassa’s bijvoorbeeld draaien vaak nog op oude operationele systemen. Als hackers die kunnen platleggen, komt de retailer tot stilstand. Je moet ook al je lokale gebruikersaccounts en domeinaccounts frequent doorlichten.” Paradoxaal genoeg is het antivirussysteem vaak de ideale achterpoort, omdat het vlot toegang geeft tot alle systemen zonder enige drempel. Voor back-up servers geldt hetzelfde.
User awareness is ook kritiek, zegt Louw. “Die is toegenomen, want we zien dat phishing e-mails minder prominent zijn geworden.” Maar ook het management moet beseffen hoe groot de commerciële en financiële impact van een incident kan zijn. Dat blijkt niet altijd het geval. “Een Portugese retailer die getroffen werd door een cyberaanval, reserveerde een budget om de veiligheid te verbeteren. Maar enkele weken na het incident, toen het team wilde starten met de implementatie van de afgesproken maatregelen, bleek het budget verdwenen…”
