Vier op de vijf van de 50 grootste retailers in het Verenigd Koninkrijk zijn blootgesteld aan ten minste één vorm van kritieke cyberkwetsbaarheid, zo blijkt uit nieuw onderzoek van cyberrisicospecialist KYND.
Uit de analyse, die zich richtte op de 50 grootste retailers in het Verenigd Koninkrijk op basis van omzet, bleek ook dat meer dan een derde (38%) van de geanalyseerde retailers tegelijkertijd te maken heeft met kritieke risico’s in alle vijf belangrijke dreigingscategorieën: blootstelling aan ransomware, zwakke punten in e-mailbeveiliging, verouderde software, kwetsbare diensten en certificaatproblemen.
KYND definieert kritieke of ‘rode’ risico’s als kwetsbaarheden die kunnen leiden tot bedrijfsonderbrekingen als ze niet worden aangepakt. Van de 50 geanalyseerde organisaties had de meerderheid ten minste één kritiek rood risico in elke categorie. KYND constateerde het volgende:
- 80% had zwakke plekken in de e-mailbeveiliging
- 72% had certificaatproblemen (digitale certificaten zijn cruciaal voor het handhaven van veilige online communicatie en het beschermen van gevoelige gegevens, dus verkeerde configuraties, verlopen of ingetrokken certificaten kunnen de veiligheid in gevaar brengen)
- 70% had kwetsbare diensten
- 70% had verouderde software
- 58% was blootgesteld aan het risico van ransomware.
Dit komt na een reeks opvallende cyberincidenten die gevolgen hadden voor retailgiganten zoals M&S, de Co-op en Harrods. M&S schat dat de hack, die in april begon, het bedrijf minstens 300 miljoen pond aan gederfde winst zal kosten.
Andy Thomas, CEO van KYND, geeft aan dat de bevindingen wijzen op de toenemende risico’s van slechte cyberhygiëne, aangezien de sector steeds meer afhankelijk is van digitale infrastructuur.
“Retailers beschikken over enorme hoeveelheden gevoelige gegevens en werken met complexe toeleveringsketens, dus zelfs een ogenschijnlijk klein vergissinkje – zoals een verlopen certificaat of niet-gepatchte software – kan al snel een open deur worden voor aanvallers. Deze resultaten zijn een wake-up call voor de sector om zich te concentreren op de basisprincipes: zichtbaarheid, prioritering en proactieve monitoring.”
E-mailbeveiliging bleek qua volume de grootste aansprakelijkheid te zijn, met 9.239 kritieke problemen die bij de 50 geanalyseerde bedrijven werden vastgesteld – wat de deur zou kunnen openen voor phishing- of spoofing-aanvallen. Andere aanvalsvectoren leverden honderden of duizenden individuele ‘rode’ risico’s op, waaronder 1.180 gerelateerd aan kwetsbare diensten en 1.073 certificaatproblemen.
Aangezien meer dan een derde van de retailers te maken heeft met overlappende kwetsbaarheden die het risico vergroten en hun blootstelling vermenigvuldigen, roept KYND retailbedrijven op om hun systemische zwakheden te verbeteren.
Naar aanleiding van de bevindingen dringt KYND er bij detailhandelsbedrijven op aan om:
- Volledig inzicht te krijgen in hun digitale infrastructuur om de omvang van de risicoblootstelling te begrijpen. De meeste van de geïdentificeerde problemen waren extern zichtbaar, waardoor ze een gemakkelijk doelwit waren voor kwaadwillenden.
- Prioriteit te geven aan het verhelpen van actief uitgebuite en zeer schadelijke kwetsbaarheden, zoals die welke zijn opgenomen in de catalogus van CISA met bekende uitgebuite kwetsbaarheden (KEV).
- Pak fundamentele zwakke punten aan, zoals het aanscherpen van e-mailbeveiligingsprotocollen, het patchen van software en het vernieuwen van certificaten.
- Ga over van incidentele, eenmalige cyberrisicobeoordelingen naar continue monitoring van het aanvalsoppervlak, aangezien er voortdurend nieuwe kwetsbaarheden ontstaan.
- Evalueer continu het cyberrisico bij externe leveranciers en partners en werk met hen samen om kritieke problemen op te lossen.
Andy Thomas voegde hieraan toe: “Tegenwoordig is cyberrisico een zorg op directieniveau met ernstige financiële, operationele en reputatiegevolgen. Voor retailers die in een steeds digitaler wordende omgeving opereren, is het beheren van cyberrisico’s als een kernrisico voor het bedrijf essentieel om veerkracht te behouden en de waarde op lange termijn te beschermen.”
Ga voor meer informatie naar: https://www.kynd.io/.
