Video: Karjeros planavimo žingsniai 2/4 (Lapkritis 2024)
Šią savaitę Rusijos kibernetiniai nusikaltėliai pažeidė daugiau nei 330 000 prekybos taškų (POS) sistemų, kurias pagamino „Oracle“ dukterinė įmonė „Micros“ - viena iš trijų didžiausių POS aparatinės įrangos pardavėjų pasaulyje. Pažeidimas galėjo atskleisti klientų duomenis greito maisto tinkluose, mažmeninės prekybos parduotuvėse ir viešbučiuose visame pasaulyje.
POS išpuoliai nėra naujiena. Vienas didžiausių duomenų pažeidimų JAV istorijoje, „Target“ įsilaužimas, atskleidė daugiau nei 70 milijonų klientų įrašus įsilaužėliams ir mažmeninės prekybos įmonės vadovui bei CIO kainavo jų darbo vietas. Atakos metu buvo atskleista, kad atakos būtų buvę galima išvengti, jei „Target“ būtų įdiegusi automatinio naikinimo funkciją savo „FireEye“ apsaugos nuo kenkėjiškų programų sistemoje.
Realybė yra tokia, kad daugumos POS atakų galima išvengti. Jūsų POS sistemoms yra daugybė grėsmių, tačiau yra tiek pat būdų, kaip kovoti su šiais išpuoliais. Išvardinsiu šešis būdus, kuriais jūsų įmonė gali apsisaugoti nuo POS įsiskverbimo.
1. Naudokite „iPad“, skirtą POS
Daugelio pastarųjų išpuolių, įskaitant „Wendy“ ir „Target“ išpuolius, buvo kenkėjiškų programų programos, įkeltos į POS sistemos atmintį. Piratai gali slapta įkelti kenkėjiškų programų programas į „POS“ sistemas ir tada sunaikinti duomenis, vartotojui ar prekybininkui nesuprasdami, kas nutiko. Svarbu atkreipti dėmesį į tai, kad turi būti paleista ir antroji programa (be „POS“ programos), kitaip ataka negali įvykti. Štai kodėl „iOS“ tradiciškai palengvino mažiau atakų. Kadangi „iOS“ vienu metu gali visiškai paleisti tik vieną programą, tokio tipo išpuoliai retai pasitaiko „Apple“ gaminiuose.
„Vienas iš„ Windows “pranašumų yra tai, kad kelios programos veikia vienu metu“, - sakė Chrisas Ciabarra, „Revel Systems“ technikos vadovas ir vienas iš įkūrėjų. "" Microsoft "nenori, kad šis pranašumas nyktų… bet kodėl, jūsų manymu, " Windows "visą laiką stringa? Visos šios programos veikia ir naudoja visą jūsų atmintį."
Kad būtų sąžininga, „Revel Systems“ parduoda specialiai „iPad“ sukurtas POS sistemas, todėl „Ciabarra“ yra suinteresuota stumti „Apple“ techninę įrangą. Tačiau yra priežastis, kodėl retai, jei kada nors, girdite apie POS išpuolius, susijusius su „Apple“ specifinėmis POS sistemomis. Prisimeni, kai buvo atidengtas „iPad Pro“? Visi svarstė, ar „Apple“ įgalins tikrąją daugiafunkcinių funkcijų funkciją, kuri leis dviem programoms vienu metu veikti visu pajėgumu. „Apple“ šią funkciją paliko ne „iPad Pro“, o tai labai rūpi visiems, išskyrus tuos vartotojus, kurie greičiausiai paleido POS programinę įrangą savo naujuose įrenginiuose.
2. Naudokite „End-to-End“ šifravimą
Tokios kompanijos kaip „Verifone“ siūlo programinę įrangą, skirtą užtikrinti, kad jūsų kliento duomenys niekada nebus veikiami įsilaužėlių. Šie įrankiai užšifruoja kredito kortelės informaciją, kai ji gaunama POS įrenginyje ir dar kartą, kai ji siunčiama į programinės įrangos serverį. Tai reiškia, kad duomenys niekada nėra pažeidžiami, nepaisant to, kur įsilaužėliai gali diegti kenkėjiškas programas.
„Norite tikro užšifruoto taško – taško vieneto“, - sakė Ciabarra. "Norite, kad duomenys eitų tiesiai iš įrenginio į šliuzą. Kreditinės kortelės duomenys net nelies POS skyriaus."
3. Įdiekite antivirusinę POS sistemoje
Tai paprastas ir akivaizdus sprendimas POS atakų prevencijai. Jei norite įsitikinti, kad kenksminga kenkėjiška programa neįsiterpia į jūsų sistemą, įdiekite galinių taškų apsaugos programinę įrangą į savo įrenginį.
Šie įrankiai nuskaitys jūsų POS įrenginio programinę įrangą ir aptinka probleminius failus ar programas, kuriuos reikia nedelsiant pašalinti. Programinė įranga įspės jus apie problemines vietas ir padės pradėti valymo procesą, reikalingą norint užtikrinti kenkėjišką programinę įrangą, nebus vagystė.
4. Užrakinkite savo sistemas
Nors labai mažai tikėtina, kad jūsų darbuotojai naudos jūsų POS įrenginius nemandagiais tikslais, vis dar yra daug galimybių darbo vietose ar net tiesiog žmogiškoms klaidoms sukelti didelių problemų. Darbuotojai gali pavogti įrenginius, kuriuose įdiegta POS programinė įranga, arba netyčia palikti įrenginį biure ar parduotuvėje arba pamesti jį. Pametus ar pavogus įrenginius, visi, kurie tada pasiekia įrenginį ir programinę įrangą (ypač jei nesilaikėte 2 taisyklės aukščiau), galės peržiūrėti ir pavogti klientų įrašus.
Norėdami įsitikinti, kad jūsų įmonė netaps tokios vagystės auka, darbo dienos pabaigoje būtinai užrakinkite visus savo prietaisus. Atsiskaitykite už visus įrenginius kiekvieną dieną ir saugokite juos ten, kur negali pasiekti niekas, išskyrus kelis darbuotojus.
5. Būkite suderinamas su PCI nuo viršaus iki apačios
Jūs ne tik valdysite savo POS sistemas, bet ir turėsite atitikti Mokėjimo kortelių pramonės duomenų saugos standartą (PCI DSS) visuose kortelių skaitytuvuose, tinkluose, maršrutizatoriuose, serveriuose, internetiniuose pirkinių krepšeliuose ir netgi popieriniuose failuose. PCI saugumo standartų taryba siūlo įmonėms aktyviai stebėti ir inventorizuoti IT turtą ir verslo procesus, kad būtų galima nustatyti bet kokį pažeidžiamumą. Taryba taip pat siūlo panaikinti kortelių turėtojų duomenis, nebent tai būtų absoliučiai būtina, ir palaikyti ryšį su bankais ir kortelių prekiniais ženklais, kad būtų užtikrinta, jog problemų nekilo ar jau neįvyko.
Galite samdyti kvalifikuotus saugos vertintojus, kad jie periodiškai peržiūrėtų savo verslą ir nustatytų, ar laikotės PCI standartų. Jei jums rūpi suteikti prieigą prie jūsų sistemų trečiajai šaliai, Taryba pateikia sertifikuotų vertintojų sąrašą.
6. Pasamdykite saugumo ekspertus
"CIO nežinos visko, ką žinos saugumo ekspertas", - sakė Ciabarra. "CIO negali nuolat atnaujinti visko, kas vyksta saugumui. Tačiau vienintelė saugumo eksperto pareiga yra neatsilikti nuo visko."
Jei jūsų įmonė yra per maža, kad pasamdytų specialų saugos ekspertą, be technologijos vadovo, jūs bent jau norėsite pasamdyti žmogų, turintį gilų saugos pagrindą, kuris žinos, kada laikas kreiptis į trečiąją šalį pagalbos.
