Cyber Security nel vending

Francesco Liuzzi, Operations Manager di MatiPay e Fabio Lorenzo, Direttore Generale di BrightCyde, hanno illustrato l’argomento, offrendo molti esempi pratici sulla sicurezza nel settore della distribuzione automatica.

Brightcyde è una società specializzata in cyber security che fornisce servizi e supporta le aziende nella fase di progettazione ed implementazione di infrastrutture che richiedono alti standard di sicurezza informatica. A guidarla è Fabio Lorenzo, oltre 15 anni di esperienza nella consulenza di servizi di cyber security, maturata assistendo clienti appartenenti a vari settori industriali come: Financial Services, Energy & Utilities, Government e Vending.

Obiettivo dell’appuntamento è stato quello di spiegare le minacce e le potenziali problematiche nel mondo del vending, illustrare le soluzioni per proteggersi migliorando il livello di sicurezza e sfruttando le tecnologie di ultima generazione.

Il primo punto riguarda la gestione del denaro, in cui l’operatore è coinvolto in prima persona o tramite terze parti. Alcune volte le frodi possono essere difficili da prevenire ed includono differenti situazioni, dall’appropriazione illegittima del denaro fisico nel transito dal distributore alla banca, al furto delle credenziali bancarie per l’esecuzione di eventuali transazioni fraudolente.

Inoltre, negli ultimi anni, anche sfruttando gli incentivi statali, i gestori hanno adottato degli strumenti digitali per curare i vari aspetti del loro business. Strumenti informatici che, nonostante siano di grande supporto per la gestione, rappresentano un rischio se non usati in modo corretto o non aggiornati regolarmente.

Per garantire un adeguato livello di sicurezza è necessario agire sulle persone, sui processi e sulle tecnologie. La sola attenzione ad uno di questi elementi non è sufficiente ad evitare episodi fraudolenti. Per questo motivo è fondamentale istituire un piano d’azione, all’interno delle aziende, al fine di implementare le misure organizzative di processo e tecnologiche atte a migliorare il livello di sicurezza aziendale.

Qui di seguito illustriamo dei Case Study reali del settore Vending, con l’obiettivo di creare maggiore consapevolezza su quanto sia importante la sicurezza informatica e su quanto alcuni attacchi, anche semplici da realizzare, possano portare danni consistenti alle aziende.

Un’azienda vending medio-grande con più di mille clienti, nella gestione quotidiana riceve e invia pagamenti, tra i quali gli oneri di locazione, anche annuali. Un giorno riceve via e-mail un avviso di aggiornamento dei dati di pagamento da uno dei referenti; il pagamento viene effettuato sui nuovi estremi bancari che, si scopre successivamente, essere stati inviati da un hacker. Quest’ultimo è riuscito a entrare in possesso dell’e-mail del cliente della nostra azienda vittima, ha valutato le opportunità che ne derivavano, sfruttandole in pieno, ricevendo infine i soldi su un IBAN da lui creato appositamente e subito dopo cancellato.
Come appare chiaro, l’azienda in questione non aveva implementato alcuna procedura di double check dei dati delle controparti e il personale coinvolto non è stato in grado di distinguere un potenziale pericolo. Ma come ha fatto l’hacker ad introdursi nell’account di posta elettronica senza che se ne accorgesse nessuno?

Gli esperti di Brightcyde confermano che il 75% degli attacchi nasce dalle mail di phishing. L’esempio “classico” è rappresentato della “frode del CEO”, o frode dell’amministratore delegato. Lo schema prevede una mail inviata dall’amministratore delegato (falsa, in realtà si tratta di un hacker che si finge CEO) che chiede al Responsabile Amministrativo di effettuare un pagamento urgente su un particolare IBAN. Il malcapitato, ricevendo un ordine dall’alta direzione, procede senza fare troppe domande. Scoprirà poi, troppo tardi purtroppo, di essere stato vittima di un attacco e che il pagamento, in realtà, è stato effettuato sul conto di un hacker. Gli hacker, in continua evoluzione, riescono a produrre mail sempre più verosimili in grado di superare anche le più solide barriere di protezione tecnologica.

Un’azienda operante nel settore OCS (Office Coffee Service) intercetta un calo del fatturato. I clienti, che secondo i dati dell’azienda avrebbero dovuto già avere bisogno del rifornimento delle capsule del caffè, smentiscono la necessità e confermavano di essere correttamente riforniti. In parallelo, il reparto contabile riceve le lamentele dei clienti, a causa della notifica di modifica dei dati di pagamento (i.e. diverso IBAN, Banca, etc.). Avviata un’indagine, si scopre un furto di identità da parte di un’azienda concorrente, che attraverso l’acquisizione illegale dei dati dei clienti e delle commesse, è riuscita a fingersi la società vittima e a vendere agli stessi clienti le proprie capsule!

In questo caso non c’è stato un furto diretto di denaro, ma una sottrazione di dati che ha causato probabilmente un danno significativo sul fatturato. Rimediare a questo tipo di attacco risulta molto difficile, specie quando, come in questo caso, l’azienda competitor è all’estero e quindi difficilmente raggiungibile anche da un punto di vista legale.

Come è potuto succedere? Come possiamo proteggerci?

Come abbiamo visto, un hacker è penetrato nei sistemi aziendali e ha scaricato i dati del CRM (Customer Relationship Management). Essendo state rese pubbliche durante un data breach, l’e-mail e la password possono essere utilizzate dagli intrusi per attività illecite. Nei casi più pericolosi, può verificarsi la divulgazione delle credenziali degli account aziendali, perché oltre a possedere username e password, gli hacker possono risalire al datore di lavoro della vittima. Qualcuno dei dipendenti è stato una vittima di un data breach che ha permesso agli hacker di entrare nei sistemi aziendali.

Gli attacchi di violazione dei dati sono molto comuni e potrebbero riguardare chiunque di noi. Andate a controllare se le vostre caselle e-mail sono state vittime della violazione dei dati e cambiate le password!

Si potrebbe pensare che il modo più sicuro di evitare gli attacchi hacker sia quello di evitare di utilizzare la tecnologia. Ma come abbiamo visto prima, i rischi esistono sempre, anche in sistemi poco tecnologici. In realtà, i sistemi digitali diventano un supporto indispensabile per la risoluzione di problemi informatici. Nel vending, ad esempio, la telemetria è funzionale per rilevare le attività fraudolente in modo veloce ed efficace.

Nessun sistema è a prova di hacker. C’è una continua ricerca delle vulnerabilità dei sistemi da parte dei pirati informatici, ma anche dei metodi di protezione da parte dei produttori software. L’impegno è costante da entrambe le parti, come un gioco infinito tra guardie e ladri.

Applicando un approccio strutturato per identificare le aree a rischio nell’operatività aziendale (come i pagamenti o gli approvvigionamenti), è possibile implementare un piano d’azione per evidenziare i punti deboli e rafforzare la sicurezza informatica di un’azienda di Vending.

Importante è anche definire procedure e processi concreti e mirati. È necessario sfruttare al massimo i sistemi già a disposizione, come quelli di telemetria, che costituiscono uno strumento importante per verificare la congruità dei dati di vendita e per intercettare le azioni atipiche.

Infine, è fortemente consigliato utilizzare strumenti informatici atti a ridurre i rischi di attacchi informatici, come a titolo d’esempio non esaustivo, sistemi antispam o strumenti per la rilevazione degli attacchi sulla rete. Anche per le aziende del Vending il modo migliore per proteggersi è quello di affidarsi ad aziende esperte che coniugano da un lato le competenze tecniche in ambito sicurezza informatica e dall’altro le competenze di business peculiari del settore vending, al fine di supportare al meglio l’analisi dei rischi e la focalizzazione delle misure di rimedio sugli ambiti più critici per il business.