跨國零售暨接待服務產業組織 Retail & Hospitality Information Sharing and Analysis Center（RH-ISAC）日前協同電信業者 Verizon，於 Verizon 日前發表的資安報告 2023 Verizon Data Breach Investigation Report Analysis 中，指出多項該產業的資安現況，包括最常發生的攻擊形態、業者最擔心的資安威脅形式等資訊。

RH-ISAC 針對旗下 242 個來自零售、接待服務與旅宿業者的資安調查，與 2023 Verizon Data Breach Investigation Report Analysis 的廣泛調查結果相比對，得到以下關於該產業資安現況的調查結果：

• 釣魚攻擊、勒贖攻擊、登入資訊竊取等資安攻擊形態，是該產業成員最常發生資安攻擊事件的三大類型；此與 Verizon DBIR 呈現的結果一致；
• 分散式阻斷攻擊（Distributed Denial of Service, DDoS）雖然在 Verizon DBIR 中列為最首要的攻擊型態，但在 RH-ISAC 的調查中並非該產業最常發生的攻擊樣態；
• RH-ISAC 會員在 2022 年針對共用平台上發生的商業電子郵件相關攻擊（BEC）的討論度有所上升，此與 Verizon DBIR 的調查結果相同；
• RH-ISAC 會員最關切的議題，是針對客戶付款資料的竊取；這也和 Verizon 針對各產業的調查結果一致；
• 高達 91 % 的產業成員最關切勒贖攻擊及其影響；
• 83% 的攻擊源自外部駭侵者；
• 勒贖攻擊佔所有通報資安攻擊的 24%，與先前佔比維持一致；
• 95% 的資安攻擊都有財務誘因；
• 高達 90% 的資安攻擊與 Log4j 漏洞有關。

由於零售、接待服務與旅宿業者手中持有大量客戶相關個資與付款資訊，因此經常成為駭侵攻擊目標。建議相關業者應持續強化資安防護量能。

• 參考連結

2023 Verizon Data Breach Investigation Report Analysis

https://rhisac.org/wp-content/uploads/RH-ISAC-Analysis-of-Verizon-DBIR-2023.pdf

2023 Data Breach Investigations Report

https://www.verizon.com/business/resources/reports/dbir/

Industry Insights Report Reveals Top Cyber Threats in the Retail & Hospitality Sector

https://rhisac.org/press-release/dbir-insights-2023/