Видео: unboxing turtles slime surprise toys learn colors (Ноябрь 2024)
На этой неделе российские киберпреступники взломали более 330 000 систем POS, изготовленных дочерней компанией Oracle Micros - одним из трех крупнейших поставщиков POS-оборудования в мире. Нарушение потенциально раскрыло данные о клиентах в сетях быстрого питания, розничных магазинах и отелях по всему миру.
POS-атаки не новы. Хакер Target, одно из крупнейших нарушений в истории данных в истории США, подверг хакерам более 70 миллионов записей о клиентах и стоил руководителю розничной торговли и ИТ-директору их работы. Во время атаки было обнаружено, что атаки можно было бы избежать, если бы Target внедрила функцию автоматического уничтожения в своей системе защиты от вредоносных программ FireEye.
Реальность такова, что большинства POS-атак можно избежать. Существует много угроз для ваших POS-систем, но существует столько же способов борьбы с этими атаками. Я перечислю шесть способов защиты вашей компании от вторжений в POS.
1. Используйте iPad для POS
Большинство недавних атак, включая атаки Венди и Таргет, были результатом вредоносных приложений, загруженных в память системы POS. Хакеры могут тайно загружать вредоносные приложения в POS-системы, а затем воровать данные, не осознавая, что произошло с пользователем или продавцом. Здесь важно отметить, что должно быть запущено второе приложение (в дополнение к приложению POS), иначе атака не может произойти. Именно поэтому iOS традиционно облегчает меньшее количество атак. Поскольку iOS может одновременно запускать только одно приложение, такие типы атак редко происходят на устройствах Apple.
«Одним из преимуществ Windows является одновременное выполнение нескольких приложений», - говорит Крис Чиабарра, технический директор и соучредитель Revel Systems. «Microsoft не хочет, чтобы это преимущество исчезло… но почему вы думаете, что Windows все время падает, все эти приложения работают и используют всю вашу память».
Справедливости ради, Revel Systems продает POS-системы, специально предназначенные для iPad, поэтому Ciabarra заинтересована в продвижении оборудования Apple. Однако есть причина, по которой вы редко, если вообще когда-либо, слышали о POS-атаках, происходящих в POS-системах, специфичных для Apple. Помните, когда был представлен iPad Pro? Все задавались вопросом, включит ли Apple настоящую функциональность многозадачности, которая позволит двум приложениям одновременно работать на полную мощность. Apple отключила эту функцию от iPad Pro, к большому огорчению всех, кроме тех пользователей, которые могли запускать программное обеспечение POS на своих новых устройствах.
2. Используйте сквозное шифрование
Такие компании, как Verifone, предлагают программное обеспечение, разработанное для гарантии того, что данные вашего клиента никогда не подвергнутся хакерам. Эти инструменты зашифровывают информацию о кредитной карте, как только она поступает на POS-устройство и еще раз при отправке на сервер программного обеспечения. Это означает, что данные никогда не будут уязвимы, независимо от того, где хакеры могут устанавливать вредоносное ПО.
«Вам нужен настоящий зашифрованный блок точка-точка», - сказал Чиабарра. «Вы хотите, чтобы данные передавались прямо с устройства на шлюз. Данные кредитной карты даже не касаются устройства POS».
3. Установите антивирус в системе POS
Это простое и очевидное решение для предотвращения POS-атак. Если вы хотите, чтобы вредоносные вредоносные программы не проникали в вашу систему, установите на устройство программное обеспечение для защиты конечных точек.
Эти инструменты будут сканировать программное обеспечение на вашем устройстве POS и обнаруживать проблемные файлы или приложения, которые необходимо немедленно удалить. Программное обеспечение предупредит вас о проблемных зонах и поможет начать процесс очистки, необходимый для гарантии того, что вредоносное ПО не приведет к краже данных.
4. Заблокируйте свои системы
Хотя маловероятно, что ваши сотрудники будут использовать ваши POS-устройства в отвратительных целях, все еще существует большой потенциал для внутренних работ или даже просто человеческая ошибка, которая может вызвать серьезные проблемы. Сотрудники могут похитить устройства с установленным на них программным обеспечением POS, либо случайно оставить устройство в офисе или в магазине, либо потерять устройство. Если устройства утеряны или украдены, любой, кто затем получит доступ к устройству и программному обеспечению (особенно если вы не выполнили правило № 2 выше), сможет просматривать и красть записи клиентов.
Чтобы ваша компания не стала жертвой кражи такого рода, обязательно закройте все свои устройства в конце рабочего дня. Учитывать все устройства каждый день и защищать их в месте, к которому никто, кроме избранных сотрудников, не имеет доступа.
5. Будьте PCI-совместимым сверху донизу
В дополнение к управлению вашими POS-системами, вы захотите соответствовать Стандарту безопасности данных индустрии платежных карт (PCI DSS) для всех карт-ридеров, сетей, маршрутизаторов, серверов, интернет-магазинов и даже бумажных файлов. Совет по стандартам безопасности PCI предлагает компаниям активно отслеживать и проводить инвентаризацию ИТ-активов и бизнес-процессов для выявления любой уязвимости. Совет также предлагает исключить данные о держателях карт, если это не является абсолютно необходимым, и поддерживать связь с банками и брендами карт, чтобы гарантировать, что проблемы не возникнут или уже произошли.
Вы можете нанять квалифицированных экспертов по безопасности для периодической проверки вашего бизнеса, чтобы определить, соблюдаете ли вы стандарты PCI. Если вы хотите предоставить доступ к вашим системам третьей стороне, Совет предоставит список сертифицированных оценщиков.
6. Нанять экспертов по безопасности
«ИТ-директор не будет знать всего, что узнает эксперт по безопасности», - сказал Чиабарра. «ИТ-директор не может быть в курсе всего, что происходит в сфере безопасности. Но единственная обязанность эксперта по безопасности - быть в курсе всех событий».
Если ваша компания слишком мала, чтобы нанять специального специалиста по безопасности в дополнение к руководителю по технологиям, вы, по крайней мере, захотите нанять человека с глубокими знаниями в области безопасности, который будет знать, когда пора обратиться за помощью к третьей стороне.
