הצרכנים של היום רגישים למחיר המוצר, דורשים חווית קניה נוחה ופשוטה ומחוברים עשרים וארבע שעות ביממה לאוטוסטרדת המידע. הם מחפשים מוצרים במנועי חיפוש, משווים את מחירם ברשתות החברתיות ומזמינים סחורה באינטרנט. הסחורה מגיעה עד פתח ביתם, בדרך כלל במחיר זול יותר מאשר בחנויות הפיזיות. השימוש הנרחב במכשירים הניידים מאפשר להם לבצע כל זאת במהירות ובפשטות בכל מקום ובכל עת. הקמעונאים מגיבים למגמות אלה על ידי רתימת העוצמה של הפלטפורמות הדיגיטליות על מנת להציע חווית לקוח המתאימה לדרישות אלה.
המעבר של עולם הקמעונאות לחזית הדיגיטלית הביא עמו סיכונים חדשים ובראשם פגיעה בפרטיות ואבטחת המידע. איומי הסייבר תופסים היום מקום מכובד בדוחות השנתיים של החברות הקמעוניות ברחבי העולם. חברות אלו זכו בשנים האחרונות לכותרות לא מחמיאות בשל תקריות סייבר מסיביות, והן מודעות היטב להשלכות הפיננסיות והפגיעה במוניטין הנגזרים מאירועים מסוג זה.
הסקר השנתי בנושא מגמות הסיכון, שאנו עורכים ברשת BDO העולמית מזה עשר שנים, מצא כי כל הקמעונאים, בלי יוצא מן הכלל, ציינו את נושא הסייבר כסיכון פוטנציאלי משמעותי לעסק שלהם. הדבר משקף שינוי ניכר מ-55 האחוזים שציינו נושא זה בשנת 2011 ו-26 האחוזים בשנת 2007.
למעלה מחצי מהארגונים שסקרנו במגזר הקמעונאי הגדילו השנה את תקציבם בנושא הגנת הסייבר תוך אימוץ מגוון רחב של אסטרטגיות כולל רכישת טכנולוגיות, העסקת מומחים בנושא, הדרכת צוות העובדים ויצירת תכניות תגובה.
אופיר זילביגר, מנהל מרכז הגנת הסייבר של BDO, מדגיש: "למרות שהתקפות הסייבר שמוצאות את דרכן לעיתונות מתמקדות בארגוני ענק בינלאומיים, הסיכון לפריצת סייבר גדול במיוחד בארגונים קטנים שאינם מודעים לסיכוני אבטחת המידע, הן כמטרה בפני עצמה והן כשער כניסה לארגונים גדולים יותר. כל ארגון, קטן כגדול, צריך לראות עצמו כמטרה לתקיפה ולהיערך בהתאם".
מרבה חנויות – מרבה סיכונים
למרות המגמה של מעבר ספקים ולקוחות רבים לפלטפורמה הדיגיטלית, עדיין רוב העסקאות מתבצעות בחנויות הפיזיות. חנויות בכל גודל שהוא, החל במכולת השכונתית ליד הבית, חיות בעידן הדיגיטלי וחשופות בשל כך לאיומי הסייבר.
ברוב רובן של החנויות בעולם מתבצע התשלום עבור הסחורה באמצעות מערכות נקודת מכירה (Point of Sale - POS). זוהי הרחבה של הקופות הרושמות הזכורות לטוב. מערכות אלה מחוברות לרשת על מנת לאפשר להן לתקשר עם חברות האשראי וכן, במקרים רבים, למערכות אחרות כמו מערכת לתכנון משאבי הארגון (Enterprise Resource Planning - ERP). ריבוי ותפוצת ה-POS בחנויות הופך אותן לנקודות גישה אטרקטיביות במיוחד לפושעי סייבר.
הפריצה שהתרחשה לענק הקמעונאות האמריקאי TARGET היוותה, ללא ספק, קריאת ההשכמה לעולם הקמעונאי להתמודד עם סיכוני הסייבר. נוזקה מתוחכמת תקפה את נקודות המכירה של TARGET, דבר שאפשר להאקרים לגנוב מידע על כרטיסי אשראי של 70 מיליון איש. זמן קצר לאחר מכך נפרצו Home Depot ו-eBay ונגנבו מהם 53 מיליון ו-70 מיליון רשומות בהתאמה.
במטרה להעניק לקוניהן את חווית הקניה אותה הם דורשים, מתחילות הרשתות הקמעוניות לתכנן וליישם פתרונות חדשניים. כך, למשל, חדרי הלבשה יאפשרו סיוע וירטואלי דרך מראת פלאים אשר תציע ותציג לקונה ביגוד אלטרנטיבי ותאפשר לו לשתף בחוויה את חבריו ברשתות החברתיות. הסגנון, האופי והמחיר של המוצרים יותאמו לפרופיל המשתמש שייאסף מהיסטורית הקניות ומן המידע ברשתות החברתיות. חיבור פתרונות אלה לרשת עלול לאפשר לנצלם לרעה כמו, למשל, "הצצה מן המראה" על המתלבשים, גניבת הזהות ברשתות החברתיות, שימוש בפתרונות אלה כבסיס לשיגור התקפות על מוקדי תקיפה אחרים ועוד.
הסיכונים הגלומים במעבר לחנויות מקוונות
המשבר הכלכלי העולמי שהתרחש ב-2008 גרם לשינוי בדפוסי הצריכה של הציבור ברחבי העולם. דבר זה גרם לחברות הקמעוניות לחשוב מחדש על הרכב נכסיהם, היחידות העסקיות שלהם ואסטרטגיות המכירה. אחת מהתוצאות של מהלך זה הייתה צמצום הפריסה והשטח של החנויות הפיזיות שלהם וגידול משמעותי בהיצע המכירות והשירותים הזמינים באינטרנט. המכירות באינטרנט מהוות השנה 8.7% מכלל המכירות הקמעוניות בעולם.
המעבר מן החנויות הפיזיות למסחר אלקטרוני דרש מן הקמעונאים להשקיע סכומים גדולים בטכנולוגיות מידע, תשתיות ורשתות. מעבר זה גרם לכך כי סיכונים הקשורים למערכות המידע הפכו לאחד מגורמי הסיכון המשמעותיים ביותר במהלך שלוש השנים האחרונות. ככל שהערוצים הדיגיטליים מתרחבים, כך גדל הצורך להגן על מידע הצרכנים והמידע העסקי השמור בהם.
רגולציות חדשות דורשות מן הסוחרים ליישם באופן יעיל מערכות ותהליכים חדשים כדי להבטיח מסגרת ניהול סיכוני סייבר איתנה ויציבה תוך דגש על הגנת הפרטיות. מצאנו כי שבעה מכל עשרה סמנכ"לי כספים מצפים כי הדרישות הרגולטוריות בנושא זה ימשיכו ויתרחבו במהלך השנים הקרובות.
התקנה האירופאית החדשה בנושא הגנת הפרטיות, GDPR, דורשת מגופים המחזיקים מידע של לקוחות לנקוט בצעדים רחבים להגנת המידע ומטילים קנס אדיר בן 100 מיליון יורו או חמישה אחוז מהכנסות הארגון (הגבוה בין השניים) על מי שלא ינקוט בצעדים אלה.
כיצד מתמודדים עם סיכוני סייבר במגזר הקמעונאי
על מנת שלא תהפכו ל-TARGET הבא, עליכם לפעול בשתי חזיתות בעת ובעונה אחת. יש לנקוט בפעולות למניעת התקיפה. אך מניעה הינה רק רכיב אחד במוכנות סייבר. זילביגר מציע: "הנחת היסוד של כל ארגון צריכה להיות שהוא נמצא תחת התקפת סייבר. צפו להיות מותקפים ודעו כיצד להגיב ולהמשיך לספק את שירותיכם תחת אש".
אמצו מסגרת לניהול סייבר: מכון הסטנדרטים הבינלאומי, NIST, פרסם מסגרת לניהול סיכוני סייבר. מסגרת זו מתווה את הדרך לקמעונאים להערכת מוכנותם להתמודדות עם הסיכונים, לזיהוי ולתעדוף פגיעויות וליישום פעולות התומכות בהמשך אספקת השירותים העסקיים תחת התקפה. גם בארץ נעשה מאמץ לבנות מסגרת המתאימה למציאות והאיומים שלנו. רשות הסייבר הישראלית שוקדת בימים אלה על הכנת תורה להגנת סייבר לארגונים בישראל.
הגנו על נקודות המכירה: נקודות המכירה (POS) היו ועודן נקודות הכניסה הנפוצות ביותר לפושעי סייבר. כרטיס אשראי המכילים שבב חכם מסוג EMV מאפשרים ביצוע תהליך מאובטח יותר לאימות הכרטיס באמצעות יצירת קוד עסקה חד פעמי שלא ניתן להשתמש בו שוב. יחד עם זאת, על הקמעונאים להוסיף הגנות נוספות לאחר שהתנועות נקלטו במערכת. יישמו חומות אש (firewalls) להפרדה בין ה POS ממערכות הארגון ונטרו כל גישה אל אזור זה. הגנו על מערכות ההפעלה של ה-POS והקפידו על אבטחת התכנה המורצת בהם.
התכוננו לאירוע: תכננו את הפעולות אותן יש לנקוט בעת אירוע סייבר. קיימו "תרגילי שולחן" לבחינת תכנית התגובה וזיהוי פערים העלולים לפגום ביעילות ההתאוששות. הבטיחו כי כל העובדים מבינים את תפקידם. ניתן, וכדאי, לבצע גם תרגילים "על רטוב" המדמים התקפות סיבר תוך שימוש בצוותי תקיפה המתמחים בחשיבה התואמת לדרך חשיבתו של התוקף.
בחנו את אבטחתה של שרשרת האספקה: פריצה אחת עלולה לגרור השלכות לכל אורך שרשרת האספקה. לדוגמא, הפריצה ל-Home Depot החלה בגניבת המשתמש והסיסמה למערכות הליבה של החברה מאחד הספקים הטכנולוגיים שלה. חשוב לנטר ולהעריך באופן סדיר את סיכוני הסייבר שמקורם בגורמים בשרשרת האספקה, במיוחד בעלי גישה לרשת הארגון, ולהגדיר היטב את האחריות שלהם להגנה על המידע.
בחנו פתרונות טכנולוגיים פרואקטיביים להגנת הסייבר: מגוון של טכנולוגיות חדשות, כולל בינה מלאכותית, למידת מכונה וניתוח נתונים מתקדם, מציעים יכולת טובה יותר לזיהוי דפוסי התנהגות של הלקוחות, העובדים והקבלנים. ניהול יעיל של אירועי סייבר הינו אתגר מורכב, צורך משאבים רבים וצוות בעל כישורים ייחודיים שלא קל לגייס ולשמר. ארגונים רבים מעדיפים לעשות שימוש בשירותים חיצוניים לניהול וניטור אירועי הסייבר שלהם (Managed Security Services).
ירון פלד, מנהל קבוצת הייעוץ של BDO ישראל, מסכם: "הסקר שערכנו מצביע על החשיבות הרבה שמייחסים ארגונים במגזר הקמעונאי לסיכוני הסייבר ומצביע על החשיבות בהערכות מתאימה להתמודדות עם סיכונים אלה. ארגונים קמעונאיים בכל הגדלים צריכים ליישם מסגרת לניהול סיכוני סייבר תוך נקיטת צעדים ארגוניים וטכנולוגיים ולהיות ערוכים בכל עת להתמודדות עם אירועים אשר עלולים להתרחש בארגונם".
הירשם לניוזלטר של BDO זיו האפט
Please fill out the following form to access the download.