如何在提供良好購物體驗的同時保護消費者及其數據,一直是零售商面臨的巨大挑戰之一。多因素身份驗證或質詢問題等安全措施會在購買過程中造成客戶負擔,但發生敏感客戶數據丟失的違規行為可能要比損失客戶產生更大的影響。
舉個例子:2013年,Target支付系統的數據泄露事件影響了超過4100萬個客戶賬戶,公司花費了1850萬美元來解決國家對該起事件的調查。此事也促使Target審查并加強其安全實踐和政策,同時牢記安全性和客戶體驗之間的平衡。如今,Target的方法為其他零售商提供了一個可以效仿的模式。
2014年,Rich Agostino辭去GE公司技術和風險合規副總裁的職位,轉投Target擔任高級副總裁兼CISO職務,上任后,他便徹底改革和加強了Target的網絡安全方法。同時,Agostino 也一直專注保持Target的“用戶友好型”網絡界面,并在后臺強化安全性。鑒于他的表現,零售和酒店信息共享和分析中心(RH-ISAC)將其評為“2021年度CISO”。
Agostino表示,“顧客必須回答安全問題或在結賬過程中花一分鐘時間來提升自身安全性,這無疑會大大降低其購物體驗,甚至會增加其負擔。因此,我們會盡一切努力來維持這種購物體驗的流暢和便捷,同時確保我們顧客的安全性。”
從Target數據泄露事件中總結正確經驗
在徹底改革Target的網絡安全方法之前,Agostino知道他必須要從2013年的數據泄露事件中得出正確的經驗教訓。事實證明,他學到的東西與流行的觀念背道而馳。當時,人們傾向于認為2013年Target違規事件之所以重要,是因為它是第一次或最大的一次消費者數據泄露事件。
但Agostino并不這樣認為。他認為,此事之所以意義重大,是因為這是我們第一次目睹針對零售業的攻擊可以復雜至此,以前只有民族國家行為者才會針對國防承包商和知識產權所有者發動此類攻擊。這確實是面向消費者的企業第一次面臨如此復雜程度的網絡威脅。
建立有效的安全團隊
意識到Target和其他零售商正面臨老練網絡犯罪分子的攻擊后,Agostino意識到僅僅“堵住公司防御的漏洞”是遠遠不夠的,還必須重新贏得客戶、團隊成員、股東以及受數據泄露影響的其他所有人的信任。為此,他們提出了一個非常大膽的戰略,重點是構建可以隨著不斷變化的威脅而發展的高級功能,以徹底改革Target的網絡安全方法。
為了實現這一戰略,Agostino創建了一支有能力的內部網絡安全團隊,該團隊擁有開發和部署有效防御所需的知識和編程技能。為了創建這樣一支團隊,他們更是不惜重金從金融、政府以及零售業以外的各行各業聘請了數百名安全專家。
如今,這群內部網絡安全專家正在位于明尼蘇達州布魯克林的Target網絡融合中心(CFC)全天候/24/7協同工作。CFC是一個龐大的、開放式概念的設施,網絡威脅情報團隊在這里監控和分析網絡犯罪趨勢,網絡安全事件響應團隊則負責開發“以Target為中心”的檢測工具,并檢測對公司網絡和系統的威脅。同時,CFC的持續改進專家則負責記錄團隊的發現、行動和結果,同時優先考慮他們的整體努力。
總的來說,CFC的IT專業人員為Target提供了“民族國家”級別的網絡攻擊響應能力。同時,他們還擁有將這些工具嵌入Target網絡界面和操作系統后臺的專業知識,以便讓客戶享受無憂無慮的網上購物體驗。
擁有面向全行業的響應能力
Agostino知道,僅僅提升Target的戰斗能力并不足以保護他的公司及其客戶。為了真正完成目標,還需要整個零售業大幅改進其網絡安全方法。為了實現這一點,Agostino和Target協助創建了零售和酒店信息共享和分析中心(RH-ISAC),這是一個IT專業人員協會,目的是在面向消費者的行業中共享網絡安全情報和信息。
Agostino表示,“我們意識到在完成內部強化后,必須進行外部融合。我們必須將網絡安全視為一項團隊運動,這是我們無法單獨完成的事情。這也是我們成為零售和酒店信息共享和分析中心(RH-ISAC)創始成員和主要貢獻者的原因所在。如今,RH-ISAC已經成為零售商之間共享威脅情報信息的主要來源。”
改變企業安全文化
很多時候,網絡安全漏洞是由非IT人員無意犯下的極具破壞性錯誤造成的。例如,Target數據泄露案就是由其第三方供應商中的某位員工遭受網絡釣魚攻擊引發的。為了防止這種情況再次發生,Agostino及其團隊一直在對Target及其供應商的員工進行教育培訓。他表示,“我們必須繼續在公司中建立一種意識,即這種威脅不僅不會消失,還會在行業中變得愈發強大。而且,我們必須教育團隊成員和客戶中的每個人考慮日常生活中的安全問題。”
Target發布的“面向消費者的安全和欺詐內容”正好印證了Agostino的信念,即說服人們關心網絡安全,而非脅迫他們遵守規則。Agostino稱,“一直以來,我們始終專注于通過游戲化培訓來教育技術團隊,并努力使我們的政策看起來簡單易懂,因此沒有人需要閱讀長達600頁的文檔來尋找正確做法。此外,我們還為團隊成員提供了自助服務工具,這樣他們就可以自己運行安全測試,而不必找我們的團隊獲取答案。”
交付業務和安全結果
Agostino表示,Target這種平衡自身安全性和客戶體驗的方法“確實非常成功”,它能夠在保護自身免受網絡攻擊的同時,為客戶維護易于使用的網絡界面。這種方法也幫助Target在巨大的數字增長浪潮,以及疫情大流行和后疫情時代始終保持領先地位,不斷推出各種新功能。
Target拒絕提供用于衡量其安全計劃成功與否的基準數據,但公司發言人指出,安全幫助其公司實現了“顯著的數字銷售增長”。據悉,Target安全團隊還擁有17項正在申請的技術專利。
對于Agostino而言,客戶安全和客戶體驗之間的這種成功平衡對他來說最為重要。他解釋稱,“我的工作就是創造一種體驗,讓客人可以以一種安全的方式購物。確實,有時我們的決定需要權衡這兩方面,但歸根結底,我們Target能夠在安全性和便利的購物體驗之間取得適當的平衡。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號