È difficile negare i numerosi vantaggi che la digitalizzazione assicura ai settori del retail e della distribuzione.

Se eCommerce, big data e intelligenza artificiale hanno permesso di creare esperienze d’acquisto personalizzate che fidelizzano i clienti, la combinazione tra sistemi IT (Information Technology), OT (Operational Technology) e IoT (Internet of Things) ha trasformato la logistica.

Gli scaffali intelligenti riducono le interruzioni di stock, i dispositivi POS (Point-of-Sale) accelerano i pagamenti, le catene di approvvigionamento integrate just-in-time (JIT) diminuiscono gli sprechi.

Tuttavia, come spesso accade, le pratiche di cyber security non hanno tenuto il passo con queste innovazioni, lasciando i retailer esposti a nuovi rischi informatici derivanti da una superficie d’attacco più estesa.

Reti OT e dispositivi IoT, spesso vulnerabili, permeano ormai ogni aspetto delle operazioni di vendita al dettaglio, introducendo rischi che vanno presi in considerazione.

Le violazioni dei dati dei clienti non sono l’unica minaccia

All’inizio di quest’anno, una serie di attacchi da parte del gruppo di cybercriminali “Scattered Spider” ha colpito importanti retailer nel Regno Unito e negli Usa.
Sfruttando tecniche di ingegneria sociale, il gruppo ha chiesto un riscatto per i dati dei programmi fedeltà dei clienti, per poi venderli sul mercato nero.

Nel dettaglio, per ottenere l’accesso, gli aggressori si sono finti dipendenti e hanno ingannato il personale dell’help desk IT per farsi reimpostare le credenziali e bypassare i controlli di sicurezza.

Grazie alla solida crittografia richiesta dallo standard PCI DSS (Payment Card Industry Data Security Standard), i dati delle transazioni finanziarie sono difficili da violare e, in questi incidenti, non sono stati compromessi.

Nonostante questo, i preziosi dati dei clienti possono essere utilizzati per un’ampia gamma di attività fraudolente.

I cyber criminali di Scattered Spider

Il gruppo Scattered Spider è conosciuto anche per la sua caratteristica di focalizzarsi ogni volta su uno specifico settore. Sono noti i suoi attacchi del 2023 a Las Vegas contro MGM Resorts e Caesars Entertainment, e da allora si è spostato su compagnie assicurative e linee aeree.

I retailer potrebbero tirare un sospiro di sollievo, ma il rischio di essere colti di
sorpresa su altri fronti rimane.

I punti di ingresso sfruttabili

Attacchi informatici a scaffali intelligenti, magazzini logistici automatizzati e data center potrebbero non fare notizia come il furto di dati dei clienti.

Ma, come punti di ingresso sfruttabili, possono paralizzare le operazioni altrettanto rapidamente, con tempi di ripristino esponenzialmente più lunghi.

La filiera cyber-connessa del retail

Le moderne catene di vendita al dettaglio sono operazioni complesse che si affidano a IT, IoT e OT per funzionare in modo efficiente e garantire la sicurezza e il comfort dei clienti.

Tra i sistemi di gestione degli edifici (Building Management Systems, o BMS) e quelli di automazione del punto vendita, un grande retailer può avere centinaia o addirittura migliaia di dispositivi e sistemi che, se manomessi, potrebbero interrompere le operazioni.

Ecco alcuni esempi.

Sistemi di Gestione degli Edifici (BMS)

I retailer si affidano in larga misura ai BMS per assicurare efficienza, sicurezza e redditività ai propri punti vendita.

In un ambiente al dettaglio, il BMS è il sistema di supervisione generale che monitora e gestisce le infrastrutture chiave di tutti gli edifici, inclusi HVAC,
illuminazione, alimentazione, sicurezza antincendio, sorveglianza, ascensori e acqua.

Un BMS ben gestito può influire sull’esperienza e sul comfort del cliente, contribuendo a mantenere temperatura, illuminazione e qualità dell’aria interna ottimali. Gestisce anche l’efficienza energetica e operativa, il controllo dei costi e la protezione dei beni.

La crescente criticità dei BMS nelle operazioni di retail ha portato ad una maggiore connettività con l’infrastruttura IT standard e i sistemi cloud per la gestione dell’energia e la manutenzione predittiva, nonché a integrazioni avanzate di smart building e funzionalità IoT.

La convergenza fra reti OT e IoT

Questa convergenza comporta rischi significativi, poiché le reti OT e IoT spesso mancano delle funzionalità di cyber security presenti negli ambienti IT. Per esempio:

• possono utilizzare credenziali predefinite o hardcoded, facili da forzare con attacchi brute-force, ovvero provando sistematicamente tutte le possibili combinazioni di password o chiavi crittografiche fino a indovinare quella corretta;
• i protocolli legacy non sono crittografati e non richiedono autenticazione;
• l’applicazione di patch per le vulnerabilità sui dispositivi OT (se previste) deve spesso essere posticipata alla successiva finestra di manutenzione;
• fornitori e OEM si collegano costantemente per gestire e manutenere le apparecchiature, spesso utilizzando i propri strumenti di accesso remoto non sicuri, introducendo così un rischio legato a terze parti.

Reti POS (Point-of-Sale)

Le reti POS, ovvero le casse e le stazioni di self-checkout, rappresentano oggi la spina dorsale delle vendite al dettaglio.

Accettano una varietà di metodi di pagamento digitali, che rendono l’uso del contante sempre più un’eccezione. I terminali POS tradizionali, che richiedono lo strisciamento della carta, sono collegati a un canale sicuro e dedicato verso un processore di pagamento.

I metodi di pagamento wireless e a basso contatto più recenti (one-tap, contactless e smartphone) sono meno sicuri: si basano sulla comunicazione a corto raggio (NFC) e i dati della transazione vengono trasmessi tramite un segnale a radiofrequenza.

Scaffali intelligenti e scanner digitali portatili

Gli scaffali intelligenti hanno rivoluzionato il mondo retail. Automatizzano ogni processo, dalla prezzatura al rifornimento, con i componenti che comunicano in modalità wireless con un sistema di gestione centrale che orchestra le azioni.

I sensori rilevano quando le scorte di articoli specifici sono basse e attivano i sistemi di riassortimento. Le etichette elettroniche consentono ai retailer di modificare i prezzi individuali e di attivare promozioni in blocco.

Anche con tutta questa automazione, gli esseri umani non sono ancora sostituibili. Sul piano vendita, i dipendenti utilizzano scanner digitali portatili per segnalare gli articoli esauriti da rifornire, verificare i prezzi e aiutare i clienti.

In magazzino, vengono utilizzati scanner per registrare le nuove spedizioni, riconciliare gli ordini d’acquisto e inserire gli articoli nell’inventario. Rappresentanti dei produttori vanno e vengono con i propri scanner per ottenere conteggi precisi delle scorte sugli scaffali e monitorare le performance dei prodotti.

La tecnologia IoT

I sistemi di gestione degli edifici e di automazione descritti si basano tutti su tecnologia IoT.

Molti di questi dispositivi si avvalgono di sistemi operativi embedded più vecchi, proprietari o non standard e mancano delle funzionalità di sicurezza avanzate presenti sui dispositivi IT più moderni.

Spesso vengono installati senza protezioni di base come l’abilitazione della crittografia o la richiesta di autenticazione.

Questo li rende più facili da compromettere rispetto ai dispositivi IT standard, e molti hanno persino accesso diretto a Internet. Che siano cablati o wireless, i dispositivi IoT comunicano utilizzando protocolli non standard e richiedono un monitoraggio speciale in grado di comprenderli.

Robotica e droni in magazzino

I sistemi robotici sono fondamentali per una distribuzione efficiente, sia per il prelievo che per la movimentazione delle merci. I sistemi di stoccaggio e prelievo automatico (AS/RS) si sviluppano in altezza per risparmiare spazio a terra e consentire la creazione di corridoi più alti e stretti di quelli che gli esseri umani possono percorrere.

I bracci robotici sono utilizzati per il prelievo di precisione, come la selezione di singoli articoli da un contenitore per completare un ordine.

Veicoli a guida autonoma (AGV) seguono percorsi predefiniti per spostare carichi pesanti e pallet su rotte costanti. Robot mobili autonomi (AMR), più sofisticati, utilizzano sensori, telecamere e IA per navigare in ambienti dinamici evitando ostacoli.

Tutti questi robot si affidano a PLC e altre tecnologie OT per muovere, sollevare, prelevare e imballare gli articoli in sicurezza. I sensori IoT lavorano in tandem con l’OT per raccogliere e trasmettere dati in tempo reale sull’ambiente, in modo che possano essere analizzati per ottimizzare i flussi di lavoro, prevedere le esigenze di manutenzione e altro ancora.

Sebbene non siano insicuri come i dispositivi OT legacy, progettati per durare decenni senza particolare attenzione alla cybersecurity, i robot da magazzino sono comunque vulnerabili al rischio di terze parti.

Come per gli impianti HVAC e altri BMS, i fornitori OEM o i loro appaltatori autorizzati devono essere coinvolti nella loro manutenzione e funzionamento, richiedendo un accesso fisico o remoto.

I droni nei magazzini retail

Una connessione remota non sicura fornisce un punto d’ingresso che un malintenzionato può sfruttare, con il risultato che un insider malevolo (incluso un appaltatore autorizzato) può abusare dei comandi per interrompere le operazioni.
Rispetto ai robot, i droni sono una novità nei magazzini retail, ma stanno rapidamente diventando onnipresenti perché possono andare in luoghi irraggiungibili sia per esseri umani che robot.

I droni possono volare tra i corridoi del magazzino utilizzando telecamere e scanner RFID per contare le scorte sugli scaffali più alti.

A differenza dei droni per esterni, sono tipicamente gestiti da un sistema centrale di gestione del magazzino (WMS) e comunicano tramite protocolli proprietari ottimizzati per quell’ambiente specifico, quindi sono meno soggetti ad attacchi rispetto ai droni che volano all’aperto.

Integrazione della supply chain

Il rischio nella catena di approvvigionamento è ovunque e può assumere molteplici significati.

Per i retailer, si riferisce spesso agli ordini JIT (just-in-time), una leva strategica
fondamentale per evitare sprechi, soprattutto per le merci deperibili. Le supply chain connesse includono sistemi di inventario che attivano automaticamente ordini di riassortimento, reti di trasporto integrate e, come detto sopra, aggiustamenti continui di prezzo.

Un recente attacco informatico ha acceso i riflettori sul rischio della supply chain JIT per i prodotti freschi.

United Natural Foods (UNFI) è il più grande distributore all’ingrosso di
generi alimentari quotato in borsa negli Usa e il principale distributore di Whole
Foods Market, di proprietà di Amazon.

Quando un attacco informatico ha bloccato i sistemi di ordinazione e spedizione del grossista a giugno, UNFI ha dovuto ricorrere alla distribuzione manuale e alla cooperazione di altri grossisti per continuare a rifornire i suoi 30.000 clienti retail negli Usa.

Fornitori come UNFI sono profondamente integrati nei sistemi dei clienti, dalla previsione delle scorte alla pianificazione delle consegne.

Data Center

Le moderne operazioni di retail generano enormi quantità di dati che devono esserearchiviati e gestiti in modo sicuro, inclusa l’elaborazione delle transazioni in tempo reale. I principali retailer come Walmart, Target e Amazon costruiscono i propri data center, così come molte altre grandi catene.

Data la loro criticità per il business, i data center sono diventati bersagli di alto valore per violazioni informatiche sofisticate. Oltre agli attacchi diretti a server e applicazioni per esfiltrare o chiedere un riscatto per la proprietà intellettuale, anche i dispositivi intelligenti connessi che garantiscono il perfetto funzionamento dei data center possono essere presi di mira per interrompere le operazioni e causare interruzioni diffuse.

Dai refrigeratori e generatori di corrente alle telecamere a circuito chiuso e all’automazione degli edifici, i sistemi OT e IoT sono cruciali per garantire un ambiente di calcolo e archiviazione ottimale all’interno dei data center.

Tutti devono essere messi in sicurezza.

Nella superficie d’attacco del retailer, il peso dell’IT tende a ridursi

In tutti i settori, i dispositivi OT e IoT rappresentano una percentuale crescente del totale degli asset digitali, e il retail non fa eccezione.

Un sondaggio del 2024 ha rilevato che OT, IoT e altri sistemi specializzati costituiscono il 42% degli asset e rappresentano il 64% del rischio aziendale di livello medio-alto.

Mettere in sicurezza OT e IoT richiede tipicamente strumenti dedicati, differenti da quelli tipici del mondo IT: la loro adozione è in ritardo, a fronte di un mercato ancora relativamente poco maturo, in uno scenario che però sta cambiando.

Se un retailer ha concentrato tutti gli investimenti in cybersecurity sui sistemi IT, non avrà probabilmente in termini di sicurezza la maturità che pensa di avere. La rete IT è un sottoinsieme sempre più ridotto della superficie d’attacco complessiva, e la parte in crescita è quella ancora meno nota.

È fondamentale sapere quali asset OT e IoT sono in esecuzione nel proprio ambiente, cosa fanno, con chi comunicano e se sono connessi a Internet.

I dettagli degli asset scoperti

Per questo motivo, una gestione centralizzata del cloud, con avanzate capacità di analisi e reporting, diventa fondamentare per coprire in modo efficace le più ampie superfici di attacco potenziale, tra cui ipermercati, centri di distribuzione regionali e sedi distribuite.

Una rete di sensori di sicurezza, che copre network, endpoint e wireless, può monitorare l’intero ambiente, utilizzando ove necessario la deep packet inspection (DPI) per comprendere i più comuni protocolli wireless e IoT, per una visibilità completa sul comportamento dei dispositivi, sui comandi e sulle minacce.

Intelligenza artificiale (AI) e apprendimento automatico (machine learning) permettono infine di raffinare i dettagli degli asset scoperti arricchendo i loro profili di comportamento, rilevamento di minacce e anomalie, prioritizzazione dei rischi e azioni di rimedio.

Sfumano i confini fra esperienza fisica ed infrastruttura iper-connessa

Nell’ecosistema retail moderno, l’innovazione digitale ha ormai dissolto i confini tra l’esperienza fisica in-store e l’infrastruttura iper-connessa che la abilita.

In questo scenario, continuare a considerare la cybersecurity come una funzione relegata al solo dipartimento IT non è più una strategia sostenibile, ma un rischio operativo.

La vera sfida per i leader del settore è quindi culturale prima ancora che tecnologica: è necessario adottare una visione olistica della sicurezza, che abbracci la totalità della nuova superficie d’attacco – che comprenda quindi OT e IoT – per proteggere non solo i dati, ma la resilienza e la continuità stessa del business.