Nettbutikkenes trusler i det digitale rom Thor M Bjerke, sikkerhetsrådgiver Virke.
Trusler Agenda Informasjonstyveri Vanvare Sabotasje ID-tyveri Utro ansatte Angrep via underleverandører Falske nettsteder/konkurranser GDPR utpressing Hva kan bransjen gjøre?
Trusselbildet I Mørketallsundersøkelsen (NSR, 2016) fremkommer det at hele 44 % av respondentene har valgt å avstå fra å bruke tjenester på internett på grunn av frykt for datakriminalitet. Kunnskapsutviklingen blant trusselaktører innen IKT-kriminalitet skjer raskt, og terskelen for å utføre kriminelle handlinger eller fremme ekstreme holdninger er sannsynligvis lavere i den virtuelle verdene enn i den virkelige. På samme tid kan internettfora bidra til å normalisere og rettferdiggjøre kriminell adferd slik at flere begår handlinger de ellers ikke ville begått. (POD 2017)
Trusselbildet 2018 (NorSIS)
Informasjonstyveri Tyveri av Personopplysninger Kredittkortopplysninger Innloggingsinformasjon Leverandørinformasjon/kalkyler 11. januar 2018 kl. 11.48 Tiltak Grunnleggende ikt-sikkerhet Adgangskontroll Kryptering Sletting Digital sikkerhetskultur
Vanvare Manglende informasjon om trusler, rutiner og tiltak kan føre til at ansatte i vanvare «hjelper» de kriminelle å nå sitt mål. De kriminelle benytter opplysninger på WEB, Linkedin, FB m.m. for å få tilstrekkelig kunnskap om virksomheten og de ansatte. Løsepengevirus Mail fra Leverandører Transportører Kunder Direktørsvindel Mail fra DL/CEO Sosial manipulering Spesielt virksomheter som handler globalt.
Sabotasje Hevn fra ansatte som mister jobben, arbeidskonflikter eller målrettet fra miljøer (Hacktivister) eller andre virksomheter. Alt fra DDOS angrep, Defacing av hjemmesider til mer alvorlig sabotasje der programvare eller kundebase ødelegges eller krypteres. Tiltak Grunnsikring (NSM) Sikkerhetsovervåkning Sikkerhetstesting
ID-tyveri Kjøp av varer med falsk ID Kritisk for den det gjelder Krevende etterforskning Tapet ligger hos kredittselskapet Kan gi dårlig omdømme til nettbutikken Manglende effektiv kontroll? Lite vilje til å hjelpe? Tiltak Sikre digitale enheter brukerkontoer E-handelsvirksomhetene må samarbeide om en måte å bistå de uheldige og utveksle relevant informasjon seg i mellom 2016
Utro ansatte Trusler Bistå med å levere varer som ikke blir betalt Stjeler personinformasjon og eller kredittkort informasjon Stjele kundebase/leverandørbase/innkjøpsavtaler Risiko størst ved nedbemanning og konflikter Tiltak Ansettelsesprosessen Vitnemål Referansesjekk Er den nyansatte den du tror?
Angrep via underleverandører More suppy chain attacks. When everything else fails, the threat actors are likely to take a step back and re-evaluate the situation. During such a re-evaluation, they can decide that a supply chain attack can be more effective than trying to break into their target directly. Even a target whose networks employ the world s best defenses is likely using software from a third-party. The third party might be an easier target and can be leveraged to attack the better protected original target enterprise. (Kaspersky Lab, Threat Predictions for 2018.)
Falske nettsteder / falske konkurranser Truer tilliten til seriøse nettbutikker Ødelegger for merkevaren Kan skremme kundene vekk fra nettet Forebygging: Samarbeid om avdekking av useriøse aktører. Opprette database for varsling/oppdatering Henvise til Forbrukertilsynet
GDPR utpressing Informasjonstyveri kan føre til utpressing (GDPR) Kriminelle sjekker selskapenes omsetning og fortjeneste. Går etter selskap der gevinsten er størst. 4% av global omsetning
Hvordan kan bransjen arbeide sammen for å redusere truslene? Sentralisert melding av ID-tyveri kjennetegn (Ikke navn) Falske kampanjer Falske nettsteder Evt. Annet Varsling til deltagere av Trygg e-handel om samme. Samarbeid med Forbrukermyndighetene Vi ser på dette i regi av Trygg e-handel/virke
Takk for meg Problemer er til for å løses. Thor M Bjerke t.m.bjerke@virke.no Tel. 22541794