Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)
Тази седмица руските киберпрестъпници нарушиха над 330 000 системи за продажба (POS), произведени от дъщерното дружество на Oracle Micros - един от трите най-големи доставчици на POS хардуер в света. Нарушението е открило потенциално данни за клиентите във вериги за бързо хранене, магазини на дребно и хотели по целия свят.
POS атаките не са нещо ново. Едно от най-големите нарушения на данните в историята на САЩ, хакът Target, изложи над хакери над 70 милиона клиентски записи и коства на изпълнителния директор и CIO на търговеца техните работни места. По време на атаката беше разкрито, че атаката е можела да бъде избегната, ако Target е приложил функцията за автоматично изтриване в рамките на системата си за борба с зловреден софтуер FireEye.
Реалността е, че повечето POS атаки могат да бъдат избегнати. Има много заплахи за вашите POS системи, но има също толкова много начини за борба с тези атаки., Ще изброя шест начина, по които вашата компания може да се предпази от проникване в POS.
1. Използвайте iPad за POS
Повечето от последните атаки, включително атаките на Wendy и Target, са резултат от приложения за злонамерен софтуер, заредени в паметта на POS системата. Хакерите са в състояние тайно да качват приложения за злонамерен софтуер в POS системите и след това данни за крадеца, без потребителят или търговецът да осъзнаят какво се е случило. Важният момент, който трябва да отбележите, е, че трябва да работи второ приложение (в допълнение към POS приложението), в противен случай атаката не може да се случи. Ето защо iOS традиционно улеснява по-малко атаки. Тъй като iOS е в състояние да стартира напълно само едно приложение наведнъж, тези видове атаки рядко се появяват на устройства, създадени от Apple.
„Едно от предимствата на Windows е да се изпълняват няколко приложения наведнъж“, казва Крис Чиабара, технически директор и съосновател на Revel Systems. "Microsoft не иска това предимство да отмине… но защо мислите, че Windows се срива непрекъснато? Всички тези приложения работят и използват цялата ви памет."
За да бъдем справедливи, Revel Systems продава POS системи, специално проектирани за iPad, така че е в интерес на Ciabarra да натиска хардуера на Apple. Въпреки това, има причина рядко, ако изобщо да чувате за POS атаки, случващи се на специфични за Apple POS системи. Спомняте ли си, когато iPad Pro беше разкрит? Всички се чудеха дали Apple ще даде възможност за истинска многозадачност, която би позволила на две приложения едновременно да работят с пълен капацитет. Apple остави тази функция изключена от iPad Pro, много за скръбта на всички, с изключение на онези потребители, които вероятно ще пуснат POS софтуер на новите си устройства.
2. Използвайте криптиране от край до край
Компании като Verifone предлагат софтуер, създаден да гарантира, че данните на клиента ви никога не са изложени на хакери. Тези инструменти криптират информацията за кредитната карта, втората, която се получава на POS устройството и още веднъж, когато се изпращат до сървъра на софтуера. Това означава, че данните никога не са уязвими, независимо от това къде хакерите могат да инсталират зловреден софтуер.
„Искате истинска криптирана единица от точка до точка“, каза Чиабара. „Искате данните да отидат направо от устройството към шлюза. Данните от кредитната карта дори няма да докоснат POS устройството.“
3. Инсталирайте антивирус в POS системата
Това е просто и очевидно решение за предотвратяване на POS атаки. Ако искате да се уверите, че вредният злонамерен софтуер не прониква във вашата система, инсталирайте софтуер за защита на крайните точки на вашето устройство.
Тези инструменти ще сканират софтуера на вашето POS устройство и ще открият проблемни файлове или приложения, които трябва незабавно да бъдат премахнати. Софтуерът ще ви предупреди за проблемни зони и ще ви помогне да започнете процеса на почистване, необходим, за да гарантирате, че злонамерен софтуер няма да доведе до кражба на данни.
4. Заключете вашите системи
Въпреки че е много малко вероятно вашите служители да използват вашите POS устройства за коварни цели, все още има голям потенциал за вътрешни работни места или дори просто човешка грешка, която да доведе до големи проблеми. Служителите могат да откраднат устройства с инсталиран на тях ПОС софтуер или случайно да оставят устройството в офиса или в магазин или да загубят устройството. Ако устройствата са изгубени или откраднати, всеки, който след това има достъп до устройството и софтуера (особено ако не спазвате правило №2 по-горе), ще може да преглежда и краде записи на клиенти.
За да сте сигурни, че компанията ви не стане жертва на този вид кражба, не забравяйте да заключите всичките си устройства в края на работния ден. Отчитат се за всички устройства всеки ден и ги осигуряват на място, до което няма достъп освен никой от избраните служители.
5. Бъдете PCI-съвместими от горе до долу
В допълнение към управлението на вашите POS системи, ще искате да се съобразите със стандарта за защита на данните за индустрията на платежните карти (PCI DSS) във всички четци на карти, мрежи, рутери, сървъри, онлайн колички за пазаруване и дори хартиени файлове. Съветът за стандарти за сигурност на PCI предлага на компаниите активно да следят и инвентаризират ИТ активи и бизнес процеси, за да открият всяка уязвимост. Съветът също така предлага да се премахнат данните за картодържателите, освен ако това не е абсолютно необходимо, и да се поддържа комуникация с банки и марки на карти, за да се гарантира, че няма проблеми или вече са възникнали.
Можете да наемете квалифицирани оценители за сигурност, които периодично да преглеждат бизнеса ви, за да установят дали следвате PCI стандартите или не. Ако се притеснявате от предоставянето на достъп до вашите системи на трета страна, Съветът предоставя списък на сертифицирани оценители.
6. Наемете експерти по сигурността
"CIO няма да знае всичко, което експертът по сигурността ще знае", каза Чиабара. "CIO не може да бъде в течение на всичко, което се случва в сигурността. Но единственият отговорник на сигурността е да бъде в течение на всичко."
Ако вашата компания е твърде малка, за да наеме специализиран експерт по сигурността в допълнение към ръководителя на технологиите, най-малкото ще искате да наемете човек с дълбок опит в сигурността, който ще знае кога е време да се свържете с трета страна за помощ.