Hiljutine Macy andmete rikkumine, kus häkkerid suutsid varastada kliendi isiku- ja makseteavet, on meeldetuletus, et veebi- ja jaemüügiostud võivad olla riskantsed.
Mõelge, kuidas 2014.
aastal oli Targeti poe häkkimine üks suurimaid müügipunktide (POS) andmete rikkumisi Ameerika Ühendriikide ajaloos, mis paljastas häkkeritele rohkem kui 70 miljonit klientide registrit ja maksis jaemüüja tegevjuhile ja CIO-le nende töökohti.
Hiljem selgus, et rünnakut oleks saanud vältida, kui Target oleks just oma pahavara tõrjesüsteemis FireEye juurutanud automaatse hävitamise funktsiooni.
Selle hooaja musta reede kiire lähenemisega peaksid organisatsioonid oma kassasüsteemide kaitsmisega tõsiselt tegelema.
Õnneks on reaalsus see, et enamikku POS-rünnakuid on võimalik vältida.
Jah, POS-süsteemidele on palju ohte, kuid nüüd on sama palju võimalusi nende ohtude vastu võitlemiseks.
Sõltumata sellest, millist meetodit kasutate, veenduge, et teie ettevõttel oleks virtuaalne privaatne võrk (VPN), et kaitsta teie ettevõtte võrgus edasi-tagasi liikuvaid andmeid.
Siit leiate kuus viisi, kuidas teie ettevõte saab kaitsta POS-i sissetungi eest.
1.
Kasutage POS-i jaoks iPadi
Enamik eelnimetatud rünnakutest on tingitud POS-süsteemi mällu laaditud pahavararakendustest.
Häkkerid suudavad pahavararakendusi salaja POS-süsteemidesse üles laadida ja seejärel andmeid kokku tõmmata, ilma et kasutaja või kaupmees juhtunust aru saaks.
Siinkohal tuleb märkida, et teine ??rakendus peab töötama (lisaks POS-i rakendusele), vastasel juhul ei saa rünnak toimuda.
Seetõttu on iOS hõlbustanud traditsiooniliselt vähem rünnakuid.
Kuna iOS suudab korraga täielikult käitada ainult ühte rakendust, ilmnevad seda tüüpi rünnakud Apple'i toodetud seadmetes harva.
"Windowsi üheks eeliseks on mitme rakenduse korraga töötamine," ütles POS-platvormi Revel Systems kaasasutaja Chris Ciabarra.
"Microsoft ei taha, et see eelis kaoks ...
aga miks te arvate, miks Windows kogu aeg kokku kukub? Kõik need rakendused töötavad ja kasutavad kogu teie mälu."
Aususe huvides müüb Revel Systems spetsiaalselt iPadi jaoks loodud POS-süsteeme, seega on Ciabarra huvides Apple'i riistvara surumine.
Siiski on põhjus, miks te harva, kui üldse, kuulete Apple'i spetsiifilistes POS-süsteemides toimuvatest POS-rünnakutest.
Kas mäletate, kui iPad Pro avalikustati? Kõigil tekkis küsimus, kas Apple võimaldab tõelist multitegumtöötluse funktsionaalsust, mis võimaldaks kahel rakendusel töötada samaaegselt täisvõimsusel.
Isegi oma uusimas korduses on Apple selle funktsiooni kõige uuemast iPad Pro-st välja jätnud (899, 00 dollarit Amazonis) , kõigi meelehärmiks, välja arvatud need kasutajad, kes tõenäoliselt kasutavad oma seadmetes POS-tarkvara.
2.
Kasutage täielikku krüptimist
Sellised ettevõtted nagu Verifone pakuvad tarkvara, mis on loodud tagama, et teie kliendi andmeid ei puutuks häkkerid kunagi kokku.
Need tööriistad krüptivad krediitkaarditeabe nii sekundi jooksul, kui see POS-seadmesse saabub, kui ka uuesti tarkvara serverisse saatmisel.
See tähendab, et andmed pole kunagi haavatavad, hoolimata sellest, kuhu häkkerid võivad pahavara installida.
"Sa tahad tõelist punktist punkti krüptitud üksust," ütles Ciabarra.
"Sa tahad, et andmed jõuaksid seadmest otse väravasse.
Krediitkaardi andmed ei puuduta isegi POS-seadet."
3.
Installige viirusetõrje POS-süsteemi
See on lihtne ja ilmne lahendus POS-rünnakute ennetamiseks.
Kui soovite tagada, et kahjulik pahavara ei tungiks teie süsteemi, installige seadmesse lõpp-punkti kaitse tarkvara.
Need tööriistad skannivad teie POS-seadme tarkvara ja tuvastavad probleemsed failid või rakendused, mis tuleb kohe eemaldada.
Tarkvara hoiatab teid probleemipiirkondadest ja aitab teil alustada puhastusprotsessi, mis on vajalik tagamaks, et pahavara ei too kaasa andmete vargust.
4.
Lukustage oma süsteemid
Kuigi on väga ebatõenäoline, et teie töötajad kasutavad teie kassaseadmeid alatutel eesmärkidel, on siiski palju võimalusi sisetöödel või isegi lihtsalt inimlikel eksimustel tohutuid probleeme tekitada.
Töötajad võivad varastada seadmeid, millele on installitud POS-tarkvara, või jätta seadme kogemata kontorisse või poodi või seadme kaotada.
Kui seadmed kaovad või varastatakse, saavad kõik seadmed ja tarkvara juurde pääsevad (eriti kui te ei järginud ülaltoodud reeglit nr 2) kliendikirjeid vaadata ja varastada.
Selle tagamiseks, et teie ettevõte ei satuks sellise varguse ohvriks, lukustage tööpäeva lõpus kindlasti kõik seadmed.
Arvestage iga päev kõiki seadmeid ja kinnitage need kohas, kuhu pole juurdepääsu kellelegi peale valitud töötajate.
5.
Vältige POS-i ühendamist väliste võrkudega
Kõige ohtlikumad häkkerid võivad süsteeme kompromiteerida eemalt ega pea väärtusliku äri- ja klienditeabe eemaldamiseks olema jaemüügikohas.
Väliste võrkudega ühenduvad süsteemid on häkkerite rünnakute suhtes vastuvõtlikumad.
Mõned, kes võivad olla välistesse süsteemidesse sisseimbunud tarkvaraga, mis jääb seisma, kuni nad POS-iga ühenduse loovad.
Kaaluge asjade sisemist ja turvalist hoidmist, kasutage kriitiliste ülesannete, näiteks maksete töötlemiseks, ettevõtte võrku.
6.
Ole PCI-ga ühilduv ülevalt alla
Lisaks oma POS-süsteemide haldamisele peate järgima maksekaarditööstuse andmete turvalisuse standardit (PCI DSS) kõigis kaardilugejades, võrkudes, ruuterites, serverites, veebipõhistes ostukärudes ja isegi paberfailides.
PCI turvastandardite nõukogu soovitab ettevõtetel haavatavuste avastamiseks aktiivselt jälgida ja inventeerida IT-varasid ja äriprotsesse.
Samuti soovitab nõukogu kaotada kaardiomanike andmed, kui see pole hädavajalik, ning säilitada side pankade ja kaardimarkidega, et probleeme ei tekiks ega oleks juba tekkinud.
Võite palgata kvalifitseeritud turvaeksperte, kes korrapäraselt oma ettevõtte üle vaatavad, et teha kindlaks, kas järgite PCI standardeid.
Kui olete mures oma süsteemidele kolmandale isikule juurdepääsu andmise pärast, esitab nõukogu sertifitseeritud hindajate nimekirja.
7.
Palgake turvaeksperte
"CIO ei kavatse teada kõike, mida turvaekspert teada saab," ütles Ciabarra.
"CIO ei saa olla kursis kõigega, mis turvalisuses toimub.
Kuid turvaeksperdi ainus vastutus on kõigega kursis olla."
Kui teie ettevõte on liiga väike, et lisaks tehnoloogiajuhile palgata ka spetsiaalne turvaekspert, siis soovite vähemalt palgata sügava turva taustaga inimese, kes teab, millal on aeg pöörduda abi saamiseks kolmanda osapoole poole.
