2025 var ett turbulent år för detaljhandeln vad gäller cybersäkerhet.
Sådant som ofta började som isolerade incidenter blev snabbt till långvariga, intensiva störningar som visar på hur pass sammankopplad – och ömtålig – modern detaljhandel verkligen är.
Globala lyxvarumärken som Gucci och Balenciaga drabbades av dataintrång; Victoria’s Secret tvingades tillfälligt stänga ner delar av sin digitala verksamhet. Marks & Spencer, Co-Op och Harrods i Storbritannien drabbades alla av incidenter, där störningarna för M&S varade i femton veckor. De utlösande faktorerna var olika men resultatet var detsamma – stora problem och ekonomiska förluster. Men när problem sprider sig så pass snabbt och i så pass stor skala handlar det inte längre om enskilda attacker. Istället behöver vi ställa oss frågan – varför är detaljhandeln så intressant för hackers och andra angripare?
Komplexa system innebär fler risker
Detaljhandlare använder sig ofta av digitala ekosystem som kombinerar e-handelsplattformar, molninfrastruktur, operativ teknologi i butik, identitetssystem och tredjepartstjänster. Varje koppling förbättrar effektivitet och skala, men introducerar också exponeringar och risker. En svaghet i ett område, vare sig det är en leverantör, en betrodd integration, en osäker telefon eller dator, kan snabbt omvandlas till en omfattande störning. Detta är något som angripare blir alltmer skickliga på att utnyttja. Istället för att rikta in sig på en enda kritisk sårbarhet kombinerar de mindre allvarliga brister, rör sig från system till system över olika miljöer och leverantörer, och utnyttjar bristande överblick mellan IT, moln och operativa system.
Nadir Izrael, CTO och medgrundare Armis
Varje incident som inträffade förra året möjliggjordes av hur den moderna detaljhandeln ser ut och fungerar. Nya system distribueras snabbt, integrationer prioriteras framför säkerhet och äldre infrastruktur behöver ofta samsas med moderna molntjänster. Detta skapar blinda fläckar som angripare kan utnyttja långt innan en incident blir synlig. Säkerhetsteam tvingas försvara miljöer som ständigt förändras, ofta utan den insyn som krävs för att förutse var risken byggs upp. Många av dessa team är underbemannade och kämpar dessutom mot det växande hotet från generativ AI – detta samtidigt som de försöker etablera en kultur där olika avdelningar samarbetar kring säkerhetsfrågor.
Cyberexponering som grund för motståndskraft
2025 visade tydligt att cybersäkerhet inom detaljhandeln inte längre kan byggas genom att reagera snabbare på incidenter efter att de inträffat. Det allt större anammandet av AI, liksom andra framväxande teknologier, leder dessutom till att detta är ett problem som med all sannolikhet kommer att förvärras. Skalan och varaktigheten hos störningarna visade att detaljhandlare måste tänka om vad gäller hur de ser på och hanterar risk redan från början.
Det innebär att de behöver inse att många av de mest skadliga svagheterna inte finns i ett enda system eller en sårbarhet, utan i relationerna mellan tillgångar, plattformar och partners som underbygger den moderna detaljhandeln. Det är här cyberexponeringshantering blir nyckeln. Istället för att behandla risk som en serie isolerade varningar eller sårbarheter som ska lappas fokuserar exponeringshantering på att förstå hur risk uppstår och ackumuleras över en organisations hela digitala fotavtryck. För detaljhandlare är det fotavtrycket särskilt komplext: e-handelsplattformar kopplas direkt till lagersystem, operativ teknologi i butik länkar tillbaka till centrala nätverk, identitetssystem spänner över anställda, och tredjepartsleverantörer eller entreprenörer är inbäddade i den dagliga verksamheten. Utan en tydlig förståelse för hur dessa element interagerar blir det omöjligt att förutse hur en till synes mindre svaghet kan eskalera till omfattande störningar.
Cyberexponeringshantering erbjuder ett strategiskt tillvägagångssätt för att identifiera, bedöma, prioritera och minska cyberrisk över hela organisationens digitala fotavtryck. Det handlar om att utveckla en levande, kontextuell förståelse för vilka tillgångar som finns, vilken roll de spelar inom detaljhandeln, hur kritiska de är och vilka andra system eller partners de är beroende av – oavsett om dessa tillgångar är hanterade eller ohanterade, IT eller OT, molnbaserade eller lokala. Just denna förståelse är avgörande för att kunna förhindra att mindre risker växer till omfattande störningar.
Med angripare som konsekvent utnyttjar luckor tillåter exponeringshantering organisationer att bedöma risk i termer av verklig påverkan istället för hur pass tekniskt avancerade de är, något som hjälper detaljhandlare att prioritera de exponeringar som mest sannolikt påverkar verksamhet, kundförtroende och inkomster. I grunden handlar detta om att bygga verklig beredskap, inte bara uppfylla säkerhetskrav. Genom att basera riskbeslut på hur verksamheten faktiskt fungerar kan team förutse var problem kommer att uppstå – istället för att reagera när skadan redan är skedd. Det ger bättre underlag för beslut inom IT, säkerhet och övrig verksamhet, där riskåtgärder kopplas direkt till kontinuitet i driften, kundupplevelse och skydd av intäkter.
Beredskapen behöver börja innan attacken – inte efter
Detaljhandlare har behövt lära sig på den hårda vägen att störningar inte kommer isolerat, utan genom komplexa, sammankopplade miljöer – och när de väl börjar kan dess påverkan eskalera snabbt och sprida sig långt bortom det ursprungliga felet. Förra året var en väckarklocka för hela detaljhandelssektorn, inte bara för de som verkligen blev utsatta. Utmaningen nu är att ställa hårdare frågor om hur miljöer är utformade, hur risk ackumuleras över system, och om företag verkligen förstår var deras mest kritiska exponeringar ligger. För när det regnar så öser det. Och priset för att avvakta kan nu mycket väl vara skillnaden mellan fortsatt lönsamhet och omfattande ekonomiska förluster.
Nadir Izrael, CTO och medgrundare Armis
