Spotlight on Detail: Informationssikkerhed og databeskyttelse

Ifølge Office for National Statistics, i november 2023, 30 % af alt detailsalg i Storbritannien foregik onlinee. I mellemtiden fandt en rapport fra sikkerhedsvirksomheden Sophos det to ud af tre virksomheder i detailsektoren rapporterede ransomware-angreb i 2022. Med så mange forbrugere, der handler online, er kundedata en fristende præmie for hackere, der kan tjene på at sælge eller misbruge disse data.

Ud over de voksende cybertrusler skal detailhandlere overholde flere cybersikkerhedsregler. Disse regler og risikoen for angreb fra trusselsaktører betyder, at detail-cybersikkerhed bør være i højsædet hos brands.

Hvordan kan du imødekomme bedste praksis inden for cybersikkerhed i detailhandlen i lyset af teknologiske fremskridt, strenge regler og cybertrusler?

De cybertrusler, som detailsektoren står over for

Det første skridt i at sikre modstandsdygtighed over for informationssikkerhed er at forstå de cybersikkerhedsudfordringer, som din virksomhed kan stå over for. Detail-cybersikkerhed har en række trusler, der omfatter alt fra forsætlige cyberangreb til utilsigtede sikkerhedsbrud.

Phishing

I et phishingforsøg udgiver cyberkriminelle sig som betroede personer eller virksomheder for at overbevise ofret om at afsløre personlige oplysninger, såsom adgangskoder, som derefter kan bruges til at få adgang til konti og følsomme kundedata. En rapport fra Zscaler ThreatLabz fandt, at detailbranchen oplevede en stigning på 436 % i phishing-angreb fra 2020 til 2021.

Point-of-Sale-angreb

I point-of-sale (POS)-angreb udnytter angribere svag netværkssikkerhed ved at installere skadelig malware på systemer, der bruges til at udføre finansielle transaktioner. Ved at bruge denne malware kan cyberkriminelle nemt stjæle kundebetalingsdata, herunder kreditkortdata, fra betalingssystemer.

ransomware

Ransomware er malware designet til at forhindre en organisation i at få adgang til dens systemer ved at kryptere dens data og kræve løsesum.

Sophos's Status for ransomware i detailhandlen 2023 rapporten viste, at 69 % af detailorganisationerne stod over for ransomware-angreb i 2023, et fald fra 77 % i 2022. 71 % af disse organisationer anførte dog, at angribere havde krypteret deres data med succes, og kun hver fjerde (26 %) af forhandlerne stoppede angreb, før deres data blev krypteret.

Supply Chain Angreb

Supply chain angreb målrette detailhandlere ved at fokusere på sårbarheder i deres forsyningskæder, normalt gennem leverandører med svag sikkerhed, som har adgang til detailhandleres software eller systemer. Ved at bruge disse tredjeparter infiltrerer cyberkriminelle målforhandlerens system eller netværk for at få adgang til følsomme data.

Hvad er de kritiske informationssikkerhedsstandarder og -forskrifter i detailhandlen

Når du først forstår de risici, detailorganisationer står over for, er næste skridt at gå gennem de mange standarder og regler, som din organisation skal være opmærksom på og overholde. Afhængigt af hvor du opererer og hvilke kunder du betjener, kan der være meget at overveje; nedenfor er en oversigt over de vigtigste, som forhandlere skal overveje.

Den generelle databeskyttelsesforordning (GDPR)

Forhandlere og e-handelsvirksomheder skal følge EU's generelle databeskyttelsesforordning (GDPR) ved indsamling og håndtering af europæiske kundedata, uanset om de er en EU-baseret organisation eller ej. GDPR påbyder, at virksomheder får klart, bekræftende samtykke, når de indsamler personlige oplysninger som navne, kontaktoplysninger, købshistorik og alle data, der bruges til adfærdsprofilering eller målrettede reklameformål.

Specifikt kræves der gennemsigtig meddelelse og udtrykkeligt tilvalgssamtykke for at behandle kunders personlige data til adfærdsbaseret annoncering. Dette omfatter opbygning af profiler, der analyserer eller forudsiger personlige præferencer, interesser, forbrugsvaner og andre karakteristika. Virksomheder skal tydeligt forklare, at denne form for behandling finder sted, og give kunderne mulighed for at vælge, om de er enige.

Virksomheder skal også give kunderne adgang til deres gemte personlige oplysninger og give dem mulighed for at rette eller slette fejl efter anmodning. Letforståelige privatlivspolitikker skal forklare, hvilke data en forhandler indsamler, og hvordan de bruger dem. Strenge regler regulerer også overførsel af kundedata internationalt uden for EU. Desuden skal større virksomheder udpege databeskyttelsesansvarlige til at overvåge GDPR-overholdelse på tværs af operationer.

Skulle en forhandler opleve et databrud, der sandsynligvis vil risikere kundernes rettigheder og friheder, skal forhandlere underrette deres databeskyttelsesmyndighed uden unødig forsinkelse. I nogle tilfælde kan de også være nødt til at kommunikere detaljer om bruddet direkte til berørte personer. Derfor er etablering af robuste procedurer for opdagelse, undersøgelse og offentliggørelse af brud en kritisk GDPR-forpligtelse for detailhandlere.

California Consumer Privacy Act (CCPA)

CCPA dækker for-profit-virksomheder, der opfylder visse tærskler, såsom at have over $25 millioner i årlig omsætning eller at købe/sælge personlige data fra 50,000+ californiske forbrugere årligt.

For detailhandlere og onlinebutikker, der opfylder disse tærskler, kræver CCPA yderligere gennemsigtighed, afsløringer og rettigheder omkring californiske forbrugeres personlige data. Virksomheder skal oplyse, hvilke typer personoplysninger de indsamler, og hvordan de bruges. Forbrugere skal have lov til at fravælge at få deres data solgt til tredjepart.

Detailhandlere skal også implementere rimelige sikkerhedsprocedurer som kryptering, adgangskontrol, indtrængen detektering og regelmæssig test for at beskytte disse data mod brud eller misbrug. Hvis en virksomhed oplever et brud, der påvirker over 500 indbyggere i Californien, skal de straks underrette forbrugerne. Undladelse af at have rimelig sikkerhed eller korrekt underrette overtrådte forbrugere kan resultere i store civile sanktioner i henhold til CCPA.

Med Californien førende inden for digital privatlivslovgivning, signalerer CCPA et markant skift for e-handelsudbydere, marketingteknologivirksomheder, fysiske detailkæder og andre detailledere i USA. Virginia, Colorado, Utah og Connecticut indførte alle lignende love, der træder i kraft i 2024.

Mange andre stater har også love om anmeldelse af brud, der kræver forbrugerunderretning, hvis et databrud påvirker denne stats indbyggere. Så detailhandlere er nødt til at overholde hurtigt udviklende love om privatliv på statsniveau i store dele af landet foruden CCPA i Californien.

Gramm-Leach-Bliley Act (GLBA)

Mange detailhandlere tilbyder kunder finansielle produkter og tjenester som kreditkort, finansieringsprogrammer og loyalitetsbelønningsprogrammer. I henhold til den amerikanske føderale Gramm-Leach-Bliley Act (GLBA) skal detailhandlere, der leverer disse typer finansielle tilbud, overholde strenge krav omkring gennemsigtighed, databeskyttelse og sikkerhed.

Specifikt kræver GLBA, at detailhandlere tydeligt afslører deres informationsindsamling og -delingspraksis direkte til kunderne. I mange tilfælde skal virksomheder tillade forbrugere at fravælge dem, før de deler data med eksterne parter.

Detailhandlere skal også implementere strenge kontroller og sikkerhedsforanstaltninger for at beskytte kundedata. Dette omfatter udpegelse af en sikkerhedskoordinator, udførelse af risikovurderinger, brug af krypteringsteknologier og korrekt bortskaffelse af optegnelser. Det mest kritiske er, at GLBA opstiller overholdelseskrav i tilfælde af et databrud, herunder øjeblikkelig underretning af berørte kunder. Med datasårbarheder og cyberangreb stigende globalt, er overholdelse af GLBA afgørende for detailhandlere, der fokuserer på finansielle tjenester, for at bevare kundernes tillid og undgå lovgivningsmæssige håndhævelseshandlinger.

Netværks- og informationssikkerhedsdirektivet (NIS2)

NIS2 sigter mod at etablere et højere niveau af cybersikkerhed og modstandsdygtighed i EU med mere robuste cybersikkerhedsforpligtelser. Det udpeger specifikt online markedspladser, søgemaskiner, cloud-tjenester og mere som "væsentlige" eller "vigtige" enheder, der vil blive reguleret fra oktober 2024. Det betyder, at mange detailhandlere og e-handelsvirksomheder som Amazon, Shopify og eBay vil falde under NIS2's anvendelsesområde. Detailvirksomheder, der leverer kritiske tjenester som betalinger og logistik, kan også falde ind under NIS2.

Under NIS2 skal forhandlere, der er omfattet, grundigt vurdere risiciene for deres it-systemer, applikationer, netværk og data. Det betyder at evaluere:

• Infrastruktur sikkerhed
• Softwaresårbarheder
• Insider trusler
• Tredjeparts leverandør/leverandørrisici

 

Baseret på identificerede risici vil detailhandlere derefter skulle retfærdiggøre implementeringen af ​​cybersikkerhedsforanstaltninger som multi-faktor autentificering (MFA), datakryptering under transit og hvile, regelmæssig backup af data, løbende penetrationstest og sårbarhedsscanning samt teknologier og processer til trusselsdetektion, hændelsesrespons og forsyningskæderisikostyring.

NIS2 skaber også bindende krav til rapportering af cyberhændelser for detailhandlere. I tilfælde af et brud eller et cyberangreb, der væsentligt påvirker driften eller datatilgængeligheden, skal de underrette de nationale myndigheder i hver EU-stat, de opererer i, og proaktivt kommunikere detaljer til berørte kunder.

Med indviklede digitale forsyningskæder og datastrømme bør store detailhandlere globalt nu gøre sig klar til NIS2s omfattende cybersikkerhedsforpligtelser knyttet til deres forbindelser til EU's økonomiske zone. Avanceret forberedelse vil hjælpe store brands med at opbygge modstandskraft og samtidig undgå forstyrrende håndhævelseshandlinger.

Payment Card Industry Data Security Standard (PCI DSS)

Enhver forhandler, der accepterer populære kreditkort eller behandler elektroniske betalinger, skal overholde Betalingskortindustriens datasikkerhedsstandard (PCI DSS). Betragtet som en af ​​de mest udbredte globale datasikkerhedsprotokoller er PCI DSS et sæt tekniske og politiske kontroller, der administreres af PCI Security Standards Council for at beskytte følsomme kortholderoplysninger og transaktionsdata.

Specifikt skal detailhandlere, der behandler betalinger, bevise overholdelse ved at implementere:

• End-to-end kryptering
• Vedligeholdelse af sikre systemer og applikationer i henhold til PCI-vejledning
• Begrænsning af adgang til betalingsdata
• Opbygning af firewalls omkring kortholdermiljøer
• Beskyttelse af it-infrastruktur med anti-malware-beskyttelse.

Detailhandlere skal også udføre eksterne og interne sårbarhedsscanninger, udføre penetrationstest, etablere hændelsesprocedurer, overvåge alle tredjepartsleverandører og gennemgå compliance-audits årligt eller kvartalsvis, afhængigt af transaktionsvolumen.

I marts 2022 blev PCI-DSS opdateret fra version 3.2.1 til version 4.0 med fokus på opretholdelse af kontinuerlig sikkerhed og forbedring af betalingsvalideringsprocesser. Organisationer har indtil den 31. marts 2024 til at vedtage den opdaterede version – med en 18-måneders frist for at opnå fuld overholdelse inden marts 2025.

PCI DSS v4.0 består af 12 krav, der er organiseret i seks kategorier, herunder:

• Øget fokus på sikkerhed som en kontinuerlig proces
• Mere fleksibilitet i, hvordan organisationer kan nå deres sikkerhedsmål
• Nye krav til tjenesteudbydere, herunder brug af multi-faktor autentificering og implementering af en nul-tillid arkitektur
• Reviderede krav til softwareudvikling, herunder sikker kodningspraksis og brug af automatiserede værktøjer til sårbarhedsscanning og penetrationstest
• Strengere regler for adgangskodehåndtering, herunder brug af adgangssætninger og forbud mod visse typer adgangskoder
• Tilskyndelse til mere systematisk og effektiv kryptering, herunder støtte til indførelsen af ​​kvantesikker kryptografi

 

De 12 kontroller i PCI DSS 4.0 er blevet opdateret for at holde trit med både ændringer i branchen og cyberkriminelle taktikker.

Konsekvenserne af dårlig informations- og datasikkerhedspraksis i detailhandlen

Hvis man ikke tager informationssikkerhed og databeskyttelse alvorligt, kan det have en stor indvirkning på detailhandlere, e-handelsudbydere og handelsorganisationer.

Den økonomiske bundlinje af manglende overholdelse 

Alle regler og standarder fremhævet i denne blog kommer med økonomiske sanktioner for manglende overholdelse. Virksomheder, der overtræder GDPR, risikerer strenge sanktioner og kan få bøder på op til €20 millioner eller 4 % af den globale omsætning, alt efter hvad der er højest. Oven i dette kan enkeltpersoner (registrerede) kræve erstatning for skader.

En virksomhed, der overtræder PCI-DSS, kan idømmes bøder fra $ 5,000 til $ 100,000 om måneden (ca. 4,000 til 80,000 i GBP) afhængigt af virksomhedens størrelse og varigheden og omfanget af manglende overholdelse.

Banken kan også pålægge andre sanktioner, såsom at øge transaktionsgebyrer eller helt opsige forholdet. Yderligere bøder, som stiger over tid, kan blive pålagt for gentagne overtrædelser.

Virksomheder, der overtræder GLBA, risikerer bøder på op til $100,000 pr. overtrædelse, og personer, der er ansvarlige for disse virksomheder, kan blive idømt en bøde på $10,000 pr. overtrædelse med op til fem års fængsel.

NIS 2 kommer med meget strengere håndhævelseskrav end sin forgænger. Sanktioner for manglende overensstemmelse spænder fra at blive sikkerhedsrevideret og beordret til at følge fastsatte anbefalinger til bøder på €10 millioner eller 2 % af organisationens samlede verdensomspændende omsætning – alt efter hvad der er højest.

Den maksimale civilretlige straf for en utilsigtet CCPA-overtrædelse er $2,500 pr. overtrædelse. For forsætlige overtrædelser er den maksimale bøde $7,500 pr. overtrædelse. De maksimale bødebeløb lyder relativt beskedne, men hvis en virksomhed blev fundet at have begået tusindvis eller endda hundredtusindvis af forsætlige overtrædelser, for eksempel ved ikke at opfylde CCPA opt-out-kravene, kunne det samlede beløb blive enormt.

CCPA tillader også forbrugere at kræve $750 pr. forbruger pr. hændelse eller at søge faktiske skader, hvor tab kan påvises at være opstået på grund af bruddet.

Som du kan se, kan de økonomiske konsekvenser af manglende overholdelse være betydelige og have en langsigtet indvirkning på en virksomheds bundlinje og langsigtede rentabilitet.

Omdømme er alt 

Manglende overholdelse går ud over de mere åbenlyse økonomiske konsekvenser til at omfatte:

Skade på omdømme: Et brud på personoplysninger kan forårsage betydelig skade på en organisations omdømme, hvilket fører til tab af kunder og et fald i tilliden. Den negative indvirkning på en virksomheds omdømme kan tage år at reparere.

Retssager: Organisationer kan stå over for retssager fra enkeltpersoner, hvis personlige data er blevet krænket, hvilket fører til yderligere økonomiske sanktioner og skade på omdømmet.

Nedsat kundetillid: Når persondata krænkes, kan kunder miste tilliden til organisationen, hvilket resulterer i reduceret kundeengagement og potentielt skader organisationens brand og omdømme.

Nedsat lagerværdi: Databrud kan skade en virksomheds aktieværdi, da investorer bliver bekymrede over potentielle økonomiske sanktioner og skader på omdømmet.

Større kontrol fra tilsynsorganer: Organisationer, der oplever hyppige databrud eller problemer med manglende overholdelse, kan stå over for øgede revisioner og undersøgelser fra regulerende agenturer. Organisationen risikerer at blive pålagt endnu strammere regler, hvis problemerne fortsætter.

En standardbaseret tilgang til detail-cybersikkerhed

Vedtagelse af en etableret informationssikkerhedsramme er en af ​​de mest effektive måder, detailhandlere kan forsikre kunder og partnere om, at de har et robust sikkerhedsgrundlag. Det ISO 27001 framework er en globalt anerkendt international standard for informationssikkerhedsstyringssystemer (ISMS), der giver en systematisk og risikobaseret tilgang til sikring af følsomme informationsaktiver.

Ved at implementere ISO 27001-rammen kan detailhandlere opbygge en omfattende informationssikkerhedsstyringstilgang, der inkluderer politikker, procedurer, kontroller og risikostyringspraksis for at beskytte mod potentielle sikkerhedstrusler og sårbarheder og sikre sikkerheden af ​​deres kunders data og beviser for deres evner .

Nogle af kernekravene i ISO 27001 vil gøre det muligt for organisationer at demonstrere høje niveauer af digital tillid, herunder:

Anvendelse af en risikobaseret tilgang: ISO 27001-rammen kræver, at organisationer identificerer og vurderer risici for deres informationsaktiver og implementerer passende kontroller for at afbøde disse risici. Denne tilgang sikrer, at informationssikkerhedsforanstaltninger er skræddersyet til de specifikke risici og behov i organisationen, hvilket hjælper med at opbygge tillid hos kunder og interessenter.

Sikring af overholdelse af regler: ISO 27001-rammen er designet til at hjælpe organisationer med at overholde forskellige lovgivningsmæssige krav relateret til informationssikkerhed, herunder databeskyttelseslove, privatlivsforordninger og branchespecifikke regler. Organisationer kan opbygge tillid til regulatorer og andre interessenter ved at demonstrere overholdelse af disse regler.

Aktivering af kontinuerlig forbedring: ISO 27001-rammen understreger behovet for løbende overvågning, revision og forbedring af informationssikkerhedsstyringssystemet. Ved løbende at forbedre deres sikkerhedsforanstaltninger kan organisationer demonstrere deres engagement i at beskytte følsomme oplysninger og opbygge tillid til interessenter.

Effektiv administration af tredjepartsudbydere: ISO 27001-certificering er anerkendt globalt som en validering af en organisations informationssikkerhedsstyringssystem. Ved at opnå certificering kan organisationer demonstrere over for kunder, partnere og andre interessenter, at de har implementeret et omfattende og effektivt informationssikkerhedsstyringssystem.

PCI-DSS og ISO 27001:2022

Interessant nok kan mange PCI-DSS principper kortlægges direkte til ISO 27001, hvilket skaber mulighed for at tage en integreret tilgang, der kan tilbyde omkostningsfordele og driftseffektivitet, hvilket reducerer de nødvendige ressourcer ved at fokusere på rammernes fælles krav.

Yderligere fordele omfatter en forbedring af den overordnede sikkerhedsposition mod en bredere vifte af trusler ved at udnytte styrkerne ved begge standarder til at identificere og udfylde huller. I sidste ende letter det integrerede perspektiv løbende forbedringer gennem regelmæssige anmeldelser og bedre tilpasningsevne til nye trusler.

Vi har lavet en praktisk guide, der beskriver denne tilgang til samtidig overholdelse af både ISO 27001 og PCI-DSS v4, som du kan få adgang til her: Kortlægning af PCI-DSS v4 Framework til den opdaterede ISO 27001:2022

Tag en sikker holdning mod cybersikkerhedstrusler fra detailhandlen

Da detaillandskabet fortsætter med at skifte online, skal cybersikkerhed være en topprioritet for detailhandlere af alle størrelser. Mellem voksende cybertrusler, komplekse reguleringer som GDPR og PCI DSS og omdømmerisiciene ved databrud, har detailvaremærker meget på spil, når det kommer til at beskytte kundedata.

Detailhandlere skal tage kritiske skridt til at implementere robuste sikkerhedskontroller, opnå globalt anerkendte standarder som ISO 27001 og tage en integreret tilgang til at opfylde overholdelsesforpligtelser. At følge bedste praksis for cybersikkerhed og udnytte avancerede teknologier vil hjælpe med at sikre følsomme systemer og data.

Det vigtigste er, at detailhandlere skal gøre cyberresiliens til en kontinuerlig proces frem for et engangsprojekt. Efterhånden som trusler og regler udvikler sig, skal cyberforsvar også udvikle sig. Ved at gøre informationssikkerhed til en regelmæssig diskussion i bestyrelsen og dedikere tilstrækkelige ressourcer, kan detailhandlere blive mere sikre, betroede forvaltere af kundedata. De økonomiske, omdømmemæssige og juridiske konsekvenser af passivitet er for betydelige til at ignorere.

Styrk din overholdelse i dag

Hvis du ønsker at starte din rejse til PCI-DSS V4-overensstemmelse, kan vi hjælpe.

Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til PCI-DSS og informationsstyring med ISO 27001 og over 100 andre rammer. Indse din konkurrencefordel i dag.

Book en demo