Blog

Três riscos de segurança cibernética para o setor varejista

Jeans or Denim pants (trousers) hanging on rack in clothes shop. Fashion product collection in clothing store for selling.

As mudanças nos hábitos de consumo, bem como os momentos de compra do consumidor, impactaram drasticamente o setor varejista nos últimos anos. Cada vez mais, as marcas procuram melhorar a experiência de compra personalizando a oferta com base nas preferências dos seus usuários. Isso representa um grande desafio para a indústria em termos de risco cibernético, privacidade e infraestrutura tecnológica disponível.

Para personalizar o processo de compra, as empresas devem analisar grandes quantidades de dados: de lojas online, de gerenciamento de estoque em tempo real, de processos logísticos automatizados ou de dados gerados por dispositivos de medição em pontos físicos. Um desafio para qualquer organização, bem como um risco iminente e crescente.

De acordo com o Global Risks Report 2022, a falha de segurança cibernética é um dos riscos que mais se agravou em todo o mundo durante a pandemia de COVID-19. Prova disso é que os casos de ransomware aumentaram 435% em 2020.

Por que o varejo é atraente para os cibercriminosos?

O primeiro risco detectado é que o setor varejista lida não apenas com um grande volume de dados, mas também gera e armazena dados confidenciais de usuários.

O levantamento do Estado do Risco Cibernético na América Latina em tempos de COVID-19 pela Marsh em parceria com a Microsoft, revelou que uma em cada três empresas de varejo na América Latina percebe um aumento nos ataques cibernéticos como resultado da pandemia.

Essa realidade é uma grande motivação para os cibercriminosos que desejam invadir os sistemas de empresas que fazem parte do setor e sua cadeia de suprimentos.

Em vez de roubar dinheiro ou mercadorias das lojas, os criminosos se concentram em acessar as informações confidenciais dos usuários. Eles não procuram apenas acessar hábitos de compra, mas também acessar dados de métodos de pagamento, que são transmitidos entre clientes e empresas.

O que torna o setor de varejo tão vulnerável?

O segundo risco muito comum é que as empresas administrem e gerenciem o negócio, combinando tecnologias antigas, como sistemas de ponto de venda (POS), e novas tecnologias, como dispositivos IoT (que utilizam sistemas baseados em nuvem que suportam as plataformas de e-commerce).

Esse ecossistema misto torna as empresas tremendamente vulneráveis. Por um lado, os sistemas baseados em nuvem produzem e armazenam uma grande quantidade de dados valiosos. Por outro lado, essa coexistência entre tecnologia obsoleta e dispositivos IoT não é muito segura e pode abrir a porta não apenas para intrusos, mas também para novos riscos.

·        Por outro lado, o setor também é muito vulnerável devido ao alto índice de rotatividade de pessoal, com acesso privilegiado e sem protocolos claros para mitigar esses riscos.

·        Fornecer treinamento adequado de segurança cibernética para funcionários temporários é fundamental, mas raramente medido, e os criminosos estão aproveitando essas lacunas, bem como o despreparo da equipe.

·        A sensibilização dos colaboradores não deve ser encarada de ânimo leve e é fundamental repensar o risco cibernético como pilar fundamental da estratégia corporativa, desde a liderança.

Consequências de um ataque cibernético no varejo

O terceiro risco mais comum é que tanto as lojas físicas quanto o e-commerce dependem criticamente da tecnologia e da conexão em tempo real de diferentes fontes de dados para funcionar corretamente.

Um ataque cibernético pode prejudicar a integridade, disponibilidade e/ou confidencialidade das informações. Por exemplo, para comprometer a integridade das informações, os cibercriminosos podem danificar os sistemas da empresa e alterar os preços de seus itens.

No caso de disponibilidade de informações, os criminosos podem atacar a empresa por meio de ransomware, o que impedirá que a organização acesse suas informações. No caso de comerciantes, esse ataque os impedirá de vender mercadorias (por algumas horas ou por dias inteiros) até que uma recompensa seja paga.

Por fim, para comprometer a confidencialidade das informações, os hackers podem invadir os sistemas da empresa, copiando o conteúdo dos bancos de dados de clientes e fornecedores. Além disso, podem acessar informações confidenciais, como análises de mercado, projeções financeiras, fusões, patentes, entre outras.

Algumas das consequências de um ataque cibernético para uma empresa varejista são:

 ·        Perda de receita devido à interrupção dos negócios

 ·        Despesas extras que devem ser incorridas para restaurar os sistemas

 ·        Despesas extras de responsabilidade civil em que seja necessário incorrer para indenizar os afetados pela filtragem

 ·        Multas e sanções dos organismos correspondentes

 ·        Danos a reputação da empresa e, portanto, diminuição da confiança do  cliente

 ·        Fraude por roubo de dinheiro da empresa e/ou clientes

 ·        Danos materiais e desativação de equipamentos

Algumas soluções de mitigação para a indústria

O risco cibernético é iminente e sua criticidade continuará aumentando. No entanto, ações podem ser tomadas para mitigá-lo. Embora o setor varejista não deixe de ser atraente para os cibercriminosos, as empresas podem trabalhar em planos para serem menos vulneráveis ​​possíveis.

Portanto, é essencial que toda a tecnologia dentro do sistema da empresa tenha as versões mais atualizadas dos patches de segurança e que tenham soluções de detecção de malware (incluindo sistemas POS e dispositivos IoT)

Para combater a dependência da tecnologia, é essencial ter planos de resposta a incidentes continuamente testados e aprimorados que incluam:

·        Processos para gerenciar, relatar e recuperar incidentes

·        Guia de respostas para ransomware

·        Tenha uma estrutura de equipe de resposta definida

·        Estabeleça processos para classificar e priorizar incidentes

·        Tenha uma lista de nomes e informações de contato das autoridades         relevantes

·        Estabelecer revisões periódicas do plano e do cronograma de atualização

É importante que os planos de resposta a incidentes estejam alinhados com o plano de recuperação de desastres (DRP) e o plano de continuidade de negócios (BCP) da empresa.

Desta forma, através da segurança da informação e da transferência do risco remanescente com o seguro de risco cibernético, as empresas poderão inovar e enfrentar a transformação digital com a confiança de que essa exposição pode ser planejada.

Artigos Relacionados

Autora

Image placeholder

Susana Munoz

Regional Cyber Broker Marsh Latin America