Videó: 10 Életveszélyes és röhejes divat a történelemből, ami szerencsére már eltűnt (November 2024)
Ezen a héten az orosz bűnözők több mint 330 000 értékesítési pont (POS) rendszert sértettek, amelyeket az Oracle leányvállalata, a Micros - gyártott - a világ három legnagyobb POS hardvergyártója. A jogsértés potenciálisan kiszolgáltatta az ügyfelek adatait a gyorséttermi láncokban, kiskereskedelmi üzletekben és szállodákban szerte a világon.
A POS támadások nem újdonságok. Az amerikai történelem egyik legnagyobb adatsértése, a Target hack, több mint 70 millió ügyfélrekordot tárt fel a hackerek számára, és a kiskereskedő vezérigazgatója és a CIO munkavégzését okozta. A támadás idején kiderült, hogy a támadást el lehetett volna kerülni, ha a Target beépítette az automatikus kiirtási funkciót FireEye rosszindulatú programjaiba.
A valóság az, hogy a legtöbb POS-támadás elkerülhető. Számos veszély fenyegeti a POS-rendszereket, de éppúgy, mint ezeknek a támadásoknak a leküzdésére., Felsorolom a hat olyan módszert, amellyel vállalata védelmet nyújthat a POS behatolások ellen.
1. Használjon iPad-t POS-hoz
A legutóbbi támadások többsége, beleértve a Wendy és a Target támadásokat, a POS rendszer memóriájába betöltött rosszindulatú programok eredményei. A hackerek képesek titokban feltölteni malware alkalmazásokat a POS rendszerekbe, majd letölteni az adatokat anélkül, hogy a felhasználó vagy a kereskedő rájönne, mi történt. Fontos megjegyezni, hogy egy második alkalmazásnak futtatnia kell (a POS alkalmazás mellett), különben a támadás nem fordulhat elő. Ez az oka annak, hogy az iOS hagyományosan kevesebb támadást tett lehetővé. Mivel az iOS egyszerre csak egy alkalmazást képes teljes mértékben futtatni, az ilyen típusú támadások ritkán fordulnak elő az Apple által gyártott eszközökön.
"A Windows egyik előnye, hogy egyszerre több alkalmazás fut" - mondta Chris Ciabarra, a Revel Systems vezetője és igazgatója. "A Microsoft nem akarja, hogy ez az előny megszűnjön… de miért gondolja, miért működik a Windows folyamatosan?" Az összes alkalmazás fut, és az összes memóriát használja."
Az igazságosság kedvéért a Revel Systems kifejezetten az iPadre tervezett POS rendszereket árusít, tehát a Ciabarra érdeke az, hogy az Apple hardvereit tovább tolja. Van azonban egy ok, amiért ritkán, ha soha nem hallhat meg POS-támadásokról az Apple-specifikus POS-rendszereken. Emlékszel, amikor az iPad Pro bemutatásra került? Mindenki azon gondolkodott, vajon az Apple lehetővé teszi-e a valódi multitasking funkciókat, amelyek lehetővé teszik, hogy két alkalmazás egyszerre teljes kapacitással működjön. Az Apple elhagyta ezt a funkciót az iPad Pro alkalmazásból, mindenki bűntudatában, kivéve azokat a felhasználókat, akik valószínűleg POS szoftvereket futtattak új eszközökön.
2. Használjon végpontok közötti titkosítást
Az olyan vállalatok, mint a Verifone, olyan szoftvereket kínálnak, amelyeket arra terveztek, hogy garantálják, hogy ügyfelei adatait soha ne tegyék ki hackereknek. Ezek az eszközök a hitelkártya-információkat titkosítják, amikor azt a POS-eszközön megkapják, és még egyszer, amikor a szoftver szerverére továbbítják. Ez azt jelenti, hogy az adatok soha nem sérülékenyek, függetlenül attól, hogy a hackerek hol telepítik a rosszindulatú programokat.
"Igazi pont-pont titkosított egységet akar" - mondta Ciabarra. "Azt akarja, hogy az adatok egyenesen az egységről az átjáróra menjenek. A hitelkártya-adatok még a POS-egységet sem érintik."
3. Telepítse az Antivírust a POS rendszerre
Ez egy egyszerű és nyilvánvaló megoldás a POS-támadások megelőzésére. Ha azt szeretné biztosítani, hogy a káros rosszindulatú programok ne kerüljék be a rendszerbe, telepítse a végpontvédő szoftvert az eszközére.
Ezek az eszközök átvizsgálják a POS-eszközön található szoftvert, és felismerik a problémás fájlokat vagy alkalmazásokat, amelyeket azonnal el kell távolítani. A szoftver figyelmezteti a problémás területeket, és segít elindítani a rosszindulatú programok garantálásához szükséges tisztítási folyamatot, mivel az adatlopáshoz nem vezet.
4. Zárja le a rendszereket
Bár nagyon valószínűtlen, hogy alkalmazottai hamis célokra használják az Ön POS-eszközeit, még mindig rengeteg lehetőség van belső munkákra, vagy akár csak emberi hibákra, amelyek hatalmas problémákat okozhatnak. Az alkalmazottak ellophatják az eszközöket, amelyekre telepített POS-szoftvert használnak, vagy véletlenül elhagyhatják az eszközt az irodában vagy a boltban, vagy elveszíthetik az eszközt. Az eszközök elvesztése vagy ellopása esetén bárki, aki hozzáfér az eszközhöz és a szoftverhez (különösen, ha nem követte a fenti 2. szabályt), megtekintheti és ellophatja az ügyfelek nyilvántartásait.
Annak biztosítása érdekében, hogy vállalkozása ne kerüljön ilyen típusú lopás áldozatává, feltétlenül zárja be az összes eszközt a munkanap végén. Naponta számolja el az összes eszközt, és rögzítse azokat olyan helyre, amelyhez csak néhány alkalmazottnak van hozzáférése.
5. Legyen PCI-kompatibilis fentről lefelé
A POS-rendszerek kezelése mellett a kártyaolvasókban, a hálózatokban, az útválasztókban, a kiszolgálókban, az online bevásárlókocsikban, sőt a papírfájlokban is meg kell felelnie a PCI DSS szabványnak a fizetési kártyák iparának biztonságáról. A PCI Biztonsági Szabványügyi Tanács azt javasolja, hogy a vállalatok aktívan figyeljék és készítsék leltárukkal az informatikai eszközöket és az üzleti folyamatokat a sebezhetőség felderítése érdekében. A Tanács azt is javasolja, hogy szüntessék meg a kártyatulajdonosok adatait, kivéve, ha feltétlenül szükséges, és tartsák fenn a bankokkal és a kártyatulajdonosokkal fenntartott kommunikációt annak biztosítása érdekében, hogy ne merüljenek fel problémák vagy már megtörténtek.
Képzett biztonsági értékelőket alkalmazhat, akik rendszeresen felülvizsgálják vállalkozását, hogy meghatározzák, megfelel-e a PCI-szabványoknak vagy sem. Ha aggódik a rendszeréhez való hozzáférés harmadik fél számára történő megadása miatt, a Tanács benyújtja az igazolt értékelők listáját.
6. Bérleti biztonsági szakértők
"A CIO nem fog mindent tudni, amelyet egy biztonsági szakértő tud majd" - mondta Ciabarra. "A CIO nem tudja naprakészen tartani mindazt, ami a biztonságban zajlik. De a biztonsági szakértő kizárólagos felelőssége, hogy naprakész legyen mindennel."
Ha a vállalat túl kicsi ahhoz, hogy egy speciális biztonsági szakértőt béreljen egy technológiai vezetõ mellett, akkor legalább azt akarja, hogy béreljen mély biztonsági háttérrel rendelkezõ személyt, aki tudni fogja, mikor érkezik idõ harmadik félhez segítségért.
