Hoe het hoogseizoen retailers blootstelt aan schade door cybercriminaliteit

 

Voor Nederlandse retailers behoren Black Friday, Sinterklaas en kerst tot de drukste perioden van het jaar. Deze dagen trekken een enorme wissel op hun webwinkel, het betalingsverkeer, logistieke processen, voorraadsystemen en tal van andere bedrijfsaspecten.

 

Deze piekperioden gaan niet ongemerkt voorbij aan cybercriminelen. Zij laten geen kans onbenut om misbruik te maken van de massale publieke belangstelling en enorme operationele druk. Daar is een simpele reden voor. Retailers zijn tijdens handelspieken extra gevoelig voor downtime. Dit heeft directe gevolgen voor het bedrijfsresultaat.

 

Recente cyberaanvallen op retailers laten zien hoe snel bedrijfskritische diensten kunnen uitvallen wanneer kernsystemen worden aangetast. Ook als retailers zelf niet het oorspronkelijke doelwit vormen, kunnen supply chain-aanvallen of kwetsbaarheden bij leveranciers zich op het slechts mogelijke moment vertalen in verstoring van klantgerichte processen.

 

Vaak wordt downtime niet veroorzaakt door een rechtstreekse aanval op de retailer, maar door verstoring op een punt in de toevoerketen. De zwakke punten waarvan cybercriminelen het vaakst misbruik maken zijn te vinden bij leveranciers, cloudplatforms, logistieke en fulfillment-partners, telecomproviders, identiteitsdiensten als Active Directory en betalingsverwerkers.

 

Deze kwetsbaarheden zijn tot op zekere hoogte systemisch van aard. Retailers werken met hecht verbonden real-time systemen. Het uitvallen van één schakel in de keten door een IT-storing, gegevensverlies of beveiligingsincident kan online bestellingen en de machtiging van betalingen verstoren, het overzicht op de voorraad wegnemen en de herbevoorrading en fulfilment vertragen.

 

Als cybercriminelen erin slagen om een kwetsbaarheid in Active Directory te misbruiken, krijgen zij daarmee toegang tot de aanmeldingsgegevens van een organisatie. Zij kunnen dan in theorie snel alle met het netwerk verbonden systemen bereiken, de authenticatie en toegang blokkeren en een groot deel van de bedrijfsvoering platleggen. Dit scenario is en blijft een van de grootste risico’s voor organisaties die gebruikmaken van een hecht verbonden legacy infrastructuur. En dat geldt al helemaal voor winkelketens die gebruikmaken van real-time systemen voor online bestellingen, betalingen en voorraadbeheer.

 

Dit soort incidenten komen natuurlijk nooit op een goed moment, maar zijn het schadelijkst tijdens piekperioden waarin de afhankelijkheid van partners, transactievolumes en onderlinge verbondenheid van systemen een hoogtepunt bereikt. Helaas zijn dit soort incidenten uitgegroeid van een zeldzaam fenomeen naar een voorspelbaar risico waar zelfs goed beveiligde retailers mee te maken hebben.

 

Daarmee rijst de vraag wat er zich precies achter de schermen afspeelt dat zoveel bekende merken kwetsbaar maakt.

 

In de kern beschouwd richten veel retailers hun focus nog altijd voornamelijk op preventieve maatregelen zoals firewalls, mechanismen voor toegangsbeheer en voorlichting aan het personeel. Deze maatregelen zijn absoluut nodig, maar bieden niet langer voldoende bescherming tegen moderne bedreigingen en de snelheid waarmee die zich naar onderling verbonden retailsystemen verspreiden.

 

De realiteit is dat geen enkel systeem volledig veilig is. Daarom is het belangrijkste operationele vraagstuk voor retailers niet hoe zij cyberaanvallen kunnen voorkomen, maar hoe snel zij hun processen op veilige wijze kunnen herstellen na de detectie van een incident. Want het herstelvermogen wordt van steeds groter belang voor retailers nu elk uur aan downtime directe gevolgen heeft voor hun omzet.

 

Het is ook belangrijk om in te zien dat herstelvermogen niet alleen een kwestie is van de beschikbaarheid van back-ups. Want als die in isolatie worden gebruikt, garandeert dat geen bedrijfscontinuïteit. Effectief herstel vraagt om toegang tot back-ups die vrij zijn van malware. Cleanrooms bieden een gecontroleerde omgeving voor veilig herstel van bedrijfskritische systemen. Zij zorgen ervoor dat verborgen cyberbedreigingen niet opnieuw in de productieomgeving worden geïntroduceerd.

 

Verder is forensische analyse benodigd om inzicht te verwerven in de manier waarop indringers zich toegang tot het netwerk verschaften, van welke kwetsbaarheden zij misbruik maakten en hoe vergelijkbare incidenten in de toekomst kunnen worden voorkomen. Voor de retailsector betekent dit een overstap op een aanpak voor cyberweerbaarheid die niet alleen op technologie berust, maar ook op een sterke planning, gedegen governance en grondig geteste herstelprocedures.

 

De ontwikkeling van een effectievere strategie voor incidentpreventie en -herstel vraagt daarnaast om het omarmen van een bedrijfsfilosofie die prioriteit toekent aan het in stand houden van bedrijfsprocessen. Je zou het als volgt kunnen zien: veel retailers zitten tijdens een beveiligingsincident met hun handen in het haar omdat zij nooit in kaart hebben gebracht welke kernsystemen nodig zijn om te kunnen blijven handelen. Het geheel van deze essentiële elementen wordt wel de minimum viable company (MVC) genoemd. Dit zijn de diensten die een onderneming nodig heeft om op basisniveau te kunnen functioneren.

 

Dit kan onder meer gaan om diensten voor authenticatie en identiteitsbeheer, betalingssystemen voor de fysieke winkels en webwinkel, systemen voor financieel beheer en operationele systemen. Het punt is dat er tijdens het uitvoeren van herstelwerkzaamheden prioriteit moet worden toegekend aan het herstel van deze systemen voordat er ook maar iets anders wordt hersteld, zodat alle operationele processen in stand kunnen blijven.

 

Simpel gezegd kan een volledig uitgewerkt en in de praktijk getest MVC-plan downtime door een beveiligingsincident significant verkorten en bedrijfsprocessen stabiliseren tijdens het uitvoeren van herstelwerkzaamheden. Voor bedrijven die onfortuinlijk genoeg zijn om dingen op de harde manier te leren, is kennis van het MVC-concept waarschijnlijk een van de meest positieve dingen die ze aan een anderszins verwoestende ervaring overhouden.