Retail 4.0: quando la vendita è online, la sicurezza informatica diventa una priorità

L'avvento delle tecnologie digitali ha influenzato molteplici settori: l'industria manifatturiera, il mondo della sanità e quello finanziario, per citarne alcuni. Ma c'è anche un altro mondo che, senza grandi annunci e proclami, è stato completamente rivoluzionato: il mondo della distribuzione. Come per l'industria, dove il termine Industry 4.0 identifica la tendenza ad utilizzare nuove tecnologie nei processi industriali, anche nel mondo della distribuzione il processo di adozione delle tecnologie digitali ha preso il nome di Retail 4.0.

Il lockdown legato all'emergenza covid-19 ha confermato e dimostrato come sia possibile e semplice lavorare da casa, assistere a lezioni da casa e anche acquistare e vendere beni e servizi da casa. L'esperienza dell'e-commerce, del Retail 4.0, è ormai entrata nella nostra quotidianità.

Il Retail 4.0 è l'evoluzione estrema dell'idea di negozio che si pone come obiettivo la personalizzazione di ogni servizio. Se il concetto di negozio, inizialmente, si ispirava all'idea di vendere in un unico posto qualunque cosa, oggi l'obiettivo è quello di personalizzare i processi di vendita per farli diventare dei servizi su misura del consumatore utilizzando le ultime tecnologie: dall'e-commerce all'IoT, dalla blockchain all'intelligenza aumentata. Non si tratta solo di acquistare o vendere da casa, ma di trovare quel giusto mix di servizi che consentano al consumatore di trovarsi a proprio agio.

Per poter correttamente personalizzare i servizi sulla base dei profili e delle esigenze dei consumatori, è necessario poter accedere ai dati stessi dei consumatori nel rispetto delle regole vigenti sulla privacy.

La protezione del dato e la garanzia della privacy sono pertanto temi, attinenti all'area della CyberSecurity, su cui il mercato della distribuzione deve necessariamente prestare attenzione.

Un fattore importante per questa tipologia di business è sicuramente il meccanismo di fiducia che si instaura con il consumatore. In altre parole, è necessario che il consumatore superi la diffidenza dovuta alla preoccupazione per il potenziale rischio di abuso nell'utilizzo dei suoi dati personali. Il fornitore di servizio ha il dovere di difendere i dati dei consumatori da potenziali attacchi informatici onde evitare di minare il rapporto di fiducia creatosi.

Oggi tutti ricordano quando nel 2013, ad una primaria azienda del mondo della distribuzione, furono rubati dati relativi a PIN criptati di carte di debito, nomi, indirizzi, numeri di telefono e indirizzi e-mail dei consumatori. Ad oggi le cose non sono molto cambiate. Il numero di carte di credito e relative credenziali rubate superano le decine di milioni ed il costo nel dark web di una carta di credito con relative credenziali è inferiore a quello di una cartella clinica. Ovviamente queste informazioni non vengono rubate solo attraverso portali online del settore retail, ma resta la preoccupazione del consumatore che desidera sempre maggiori rassicurazioni sul trattamento dei propri dati.

Le normative vengono in aiuto per identificare il controllo di sicurezza più opportuno per la riduzione del rischio. Di seguito alcuni riferimenti legislativi e suggerimenti utili:

• gestire tutti i log di accesso e attività sui dati personali in conformità alle normative vigenti (art. 30 del GDPR, Records of data processing);
• pseudonimizzare i dati acceduti in modo da garantire privacy e riservatezza dei dati originali;
• garantire che il dato non venga acceduto qualora non ci sia il consenso del proprietario o che l'accesso venga rimosso qualora il proprietario decida di revocare il consenso;
• garantire che il dato venga cancellato logicamente e fisicamente qualora il proprietario lo richieda (articolo 17 del GDPR);
• informare le autorità nell'eventualità dell'avvenuta violazione di un dato sensibile fornendo le informazioni necessarie;
• garantire che il dato venga protetto adeguatamente.

La protezione del dato necessita di un'attività di assessment in grado di identificare il controllo di sicurezza più opportuno da implementare. La gestione dei log, la pseudonimizzazione, la gestione del consenso e il diritto all'oblio sono, infatti, concetti sui quali sviluppare processi di implementazione della sicurezza informatica.

Sicuramente la prima delle domande a cui è necessario dare una risposta al fine di proteggersi da attacchi informatici è: qual è il dato da proteggere? Per poter dare una risposta a questa domanda è utile partire da una microsegmentazione.

La microsegmentazione è una tecnica che consente di applicare controlli di sicurezza agli asset presenti nel data center o nel cloud in funzione delle necessità. La microsegmentazione consente di avere maggiore flessibilità e granularità rispetto alla segmentazione classica delle reti e delle applicazioni, rendendo più semplice bloccare movimenti laterali tra data-center, cloud ed ambienti ibridi.

Una volta microsegmentati i data center e i deployment su cloud, è necessario censire e gestire tutti i dispositivi (hardware e software inventory) che fanno parte della supply chain, verificando che non siano presenti malware o attacchi in corso. Inoltre, va constatata l'assenza di vulnerabilità attraverso l'accelerazione del processo di risoluzione e gestione delle vulnerabilità. Per questo motivo, è fortemente raccomandata l'integrazione tra il processo di inventory e il SIEM (Security Information and Event Management).

In conclusione, ecco una sintesi di raccomandazioni utili per le aziende che vogliono operare in modo sicuro in ambito Retail 4.0.

• Adempiere alle normative: garantisce non solo di non avere multe per eventuali violazioni, ma anche di migliorare la percezione che il consumatore ha nei confronti della multicanalità nel Retail 4.0.
• Verificare che gli elementi che costituiscono la supply chain non siano compromessi: ad esempio utilizzando systemi EDR, Endpoint Detection and Response.
• Non dimenticare la discovery del dato sensibile: un'attività fondamentale per una solida protezione del dato sensibile.
• Implementare il processo SIEM integrato: ad esempio attraverso processi di inventory e patch management.