Video: Pankki ja rahajärjestelmä ihmiskunnanhistorian suurin huijaus (Lokakuu 2024)
Tällä viikolla venäläiset verkkorikolliset rikkoivat yli 330 000 myyntipistejärjestelmää, jonka valmisti Oraclen tytäryhtiö Micros - yksi kolmesta suurimmasta POS-laitteiston myyjästä maailmassa. Rikkominen on paljastanut mahdolliset asiakastiedot pikaruokaketjuissa, vähittäiskaupoissa ja hotelleissa ympäri maailmaa.
POS-hyökkäykset eivät ole uusia. Yksi Yhdysvaltain historian suurimmista tietorikkomuksista, Target-hakkeri, paljasti hakkereille yli 70 miljoonaa asiakasrekisteriä ja maksoi jälleenmyyjän toimitusjohtajalle ja CIO: lle heidän työpaikkansa. Hyökkäyksen aikaan paljastettiin, että hyökkäys olisi voitu välttää, jos Target olisi ottanut käyttöön automaattisen hävitysominaisuuden FireEye-haittaohjelmien torjuntajärjestelmässä.
Todellisuus on, että suurin osa POS-hyökkäyksistä voidaan välttää. POS-järjestelmiin kohdistuu monia uhkia, mutta on yhtä monta tapaa torjua näitä hyökkäyksiä., Luettelee kuusi tapaa, jolla yrityksesi voi suojautua POS-hyökkäyksiltä.
1. Käytä iPadia POS-laitteisiin
Suurin osa viimeaikaisista hyökkäyksistä, mukaan lukien Wendy- ja Target-hyökkäykset, on seurausta POS-järjestelmän muistiin ladattuista haittaohjelmista. Hakkerit voivat salaisesti ladata haittaohjelmasovelluksia POS-järjestelmiin ja pilkata sitten tietoja ilman, että käyttäjä tai kauppias ymmärtää tapahtunutta. Tärkeää huomauttaa tässä, että toisen sovelluksen on oltava käynnissä (POS-sovelluksen lisäksi), muuten hyökkäys ei voi tapahtua. Siksi iOS on perinteisesti helpottanut vähemmän hyökkäyksiä. Koska iOS pystyy suorittamaan vain yhden sovelluksen kokonaan kerrallaan, tällaisia hyökkäyksiä esiintyy harvoin Applen valmistamissa laitteissa.
"Yksi Windowsin eduista on se, että useita sovelluksia on käynnissä kerralla", kertoi Chris Ciabarra, Revel Systemsin johtaja. "Microsoft ei halua, että tämä etu katoa… mutta miksi luulet Windows kaatuvan koko ajan? Kaikki nämä sovellukset ovat käynnissä ja käyttävät koko muistiasi."
Oikeudenmukaisuuden vuoksi Revel Systems myy POS-järjestelmiä, jotka on erityisesti suunniteltu iPadille, joten Ciabarran etu on ajaa Applen laitteistoa. On kuitenkin syy, jonka vuoksi kuulet harvoin, jos koskaan, POS-hyökkäyksistä, jotka tapahtuvat Apple-erityisissä POS-järjestelmissä. Muistatko, kun iPad Pro julkistettiin? Kaikki ihmettelivät, mahdollistaisiko Apple mahdollistaa todellisen monitehtävän, joka mahdollistaisi kahden sovelluksen samanaikaisen toiminnan täydellä kapasiteetilla. Apple jätti tämän ominaisuuden pois iPad Prosta, paljolti kaikkien vaikeudeksi, paitsi käyttäjät, jotka todennäköisesti ajavat POS-ohjelmistoja uusilla laitteillaan.
2. Käytä päästä loppuun -salausa
Verifonen kaltaiset yritykset tarjoavat ohjelmistoja, jotka on suunniteltu takaamaan, että asiakkaasi tiedot eivät koskaan altistu hakkereille. Nämä työkalut salaavat luottokorttitiedot toisen kerran, kun se on vastaanotettu POS-laitteelle ja jälleen kerran, kun se lähetetään ohjelmiston palvelimelle. Tämä tarkoittaa, että tiedot eivät ole koskaan haavoittuvia riippumatta siitä, missä hakkerit voivat asentaa haittaohjelmia.
"Haluat todellisen salatun pisteestä pisteeseen -yksikön", sanoi Ciabarra. "Haluat, että tiedot kulkevat suoraan yksiköstä yhdyskäytävään. Luottokorttitiedot eivät edes kosketa POS-yksikköä."
3. Asenna virustorjunta POS-järjestelmään
Tämä on yksinkertainen ja selvä ratkaisu POS-hyökkäysten estämiseen. Jos haluat varmistaa, että haitalliset haittaohjelmat eivät tunkeudu järjestelmään, asenna päätelaitteiden suojausohjelmisto laitteeseesi.
Nämä työkalut skannaavat POS-laitteesi ohjelmiston ja tunnistavat ongelmalliset tiedostot tai sovellukset, jotka on poistettava välittömästi. Ohjelmisto varoittaa sinua ongelma-alueista ja auttaa sinua aloittamaan puhdistusprosessin, joka vaaditaan haittaohjelman takaamiseksi, ei johda tietojen varastamiseen.
4. Lukitse järjestelmät
Vaikka on erittäin epätodennäköistä, että työntekijät käyttävät POS-laitteitasi huonoihin tarkoituksiin, sisätiloissa on edelleen paljon potentiaalia tai jopa vain inhimillisiä virheitä aiheuttaen suuria ongelmia. Työntekijät voivat varastaa laitteita, joihin on asennettu POS-ohjelmisto, tai jättää laitteen vahingossa toimistoon tai myymälään, tai kadota laitteen. Jos laitteet katoavat tai varastetaan, kuka tahansa, joka sitten käyttää laitetta ja ohjelmistoa (varsinkin jos et noudattanut yllä olevaa sääntöä 2) voi nähdä ja varastaa asiakasrekisterit.
Varmista, että yrityksesi ei joudu tällaiseen varkauteen, lukitse kaikki laitteet työpäivän lopussa. Laske kaikki laitteet joka päivä ja kiinnitä ne paikkaan, johon vain harvat työntekijät pääsevät.
5. Ole PCI-yhteensopiva ylhäältä alas
POS-järjestelmien hallinnan lisäksi sinun on noudatettava maksukorttiteollisuuden tietoturvastandardia (PCI DSS) kaikissa kortinlukijoissa, verkoissa, reitittimissä, palvelimissa, verkkokaupoissa ja jopa paperitiedostoissa. PCI-turvallisuusstandardineuvosto ehdottaa yrityksille aktiivista IT-omaisuuden ja liiketoimintaprosessien seurantaa ja luettelointia haavoittuvuuden havaitsemiseksi. Neuvosto ehdottaa myös kortinhaltijoiden tietojen poistamista, ellei se ole ehdottoman välttämätöntä, ja ylläpidettävä yhteydenpitoa pankkien ja korttimerkkien kanssa sen varmistamiseksi, että ongelmia ei ilmene tai niitä ei ole jo tapahtunut.
Voit palkata päteviä turvallisuusarvioijia tarkistamaan yrityksesi säännöllisesti tarkistaaksesi, noudatatko PCI-standardeja vai ei. Jos olet huolissasi järjestelmien pääsyn myöntämisestä kolmannelle osapuolelle, neuvosto antaa luettelon sertifioiduista arvioijista.
6. Palkata tietoturva-asiantuntijoita
"CIO ei aio tietää kaikkea, minkä tietoturva-asiantuntija tietää", sanoi Ciabarra. "CIO ei voi pysyä ajan tasalla kaikesta, mikä tapahtuu turvallisuudessa. Mutta tietoturva-asiantuntijan yksinomainen vastuu on pysyä ajan tasalla kaikesta."
Jos yrityksesi on liian pieni palkkaamaan erityisen tietoturva-asiantuntijan teknologiajohtajan lisäksi, sinun kannattaa ainakin palkata joku, jolla on syvä tietoturvatausta ja joka tietää, milloin on aika tavoittaa kolmas osapuoli apua.
