6 кроків до забезпечення безпеки вашої системи продажу

Цього тижня російські кіберзлочинці порушили понад 330 000 систем продажу (POS) виробництва дочірньої компанії Oracle Micros - одного з трьох найбільших світових постачальників апаратних засобів POS. Порушення потенційно виявило дані клієнтів у мережах швидкого харчування, магазинах роздрібної торгівлі та готелях по всьому світу.

POS-атаки не нові. Одне з найбільших порушень даних в історії США, хакерство Target, піддало хакерам понад 70 мільйонів записів клієнтів, і коштувало генеральному директорові та CIO їх робочим місцям. На момент нападу було виявлено, що нападу можна було б уникнути, якби Target застосував функцію автоматичного викорінення в межах своєї системи захисту від зловмисного програмного забезпечення FireEye.

Реальність така, що більшості POS-атак можна уникнути. Вашим POS-системам існує багато загроз, але існує так само багато способів боротьби з цими атаками., Я перерахую шість способів, як ваша компанія може захиститися від POS-вторгнень.

1. Використовуйте iPad для POS

Більшість останніх атак, включаючи атаки Венді та Таргет, були наслідком зловмисних програм, завантажених у пам'ять POS-системи. Хакери можуть таємно завантажувати програми зловмисного програмного забезпечення в POS-системи, а потім дані крадіжки, без того, щоб користувач або продавець не усвідомлювали, що сталося. Важливим моментом, який слід зазначити, є те, що другий додаток повинен працювати (крім додатка POS), інакше атака не може відбутися. Ось чому iOS традиційно сприяє меншій кількості атак. Оскільки iOS здатний одночасно запускати лише одну програму, такі типи атак рідко трапляються на пристроях Apple.

"Однією з переваг Windows є наявність декількох додатків одночасно", - сказав Кріс Чіабарра, CTO та співзасновник Revel Systems. "Microsoft не хоче, щоб ця перевага зникла … але чому ви вважаєте, що Windows постійно виходить з ладу? Усі ці програми запущені та використовують всю вашу пам'ять."

Справедливості чесно, Revel Systems продає POS-системи, спеціально розроблені для iPad, тому Ciabarra зацікавлена ​​в тому, щоб висунути обладнання Apple. Однак є причина, що ви рідко, якщо і коли-небудь чуєте про POS-атаки, що трапляються на специфічні для Apple системи POS. Пам'ятаєте, коли було представлено iPad Pro? Усі цікавились, чи дозволить Apple реально функціонувати багатозадачність, що дозволить двом додаткам одночасно працювати на повну потужність. Apple залишила цю функцію iPad Pro, на жаль усім, окрім тих користувачів, які, ймовірно, запускали POS-програмне забезпечення на своїх нових пристроях.

2. Використовуйте шифрування від кінця до кінця

Такі компанії, як Verifone, пропонують програмне забезпечення, розроблене для гарантування даних вашого клієнта, ніколи не піддаються хакерам. Ці інструменти шифрують інформацію про кредитну карту, другу, яку вона отримує на POS-пристрої та ще раз, коли вона надсилається на сервер програмного забезпечення. Це означає, що дані ніколи не є вразливими, незалежно від того, де хакери можуть встановлювати шкідливі програми.

"Ви хочете справжню зашифровану точку до точки", - сказала Ціабарра. "Ви хочете, щоб дані переходили прямо від пристрою до шлюзу. Дані кредитної картки навіть не торкаються POS-пристрою."

3. Встановіть антивірус на POS-систему

Це просте і очевидне рішення для запобігання POS-атакам. Якщо ви хочете, щоб шкідливе зловмисне програмне забезпечення не проникло у вашу систему, встановіть на свій пристрій програмне забезпечення захисту кінцевих точок.

Ці інструменти сканують програмне забезпечення на вашому POS-пристрої та виявлять проблемні файли чи програми, які потрібно негайно видалити. Програмне забезпечення сповістить вас про неполадки та допоможе розпочати процес очищення, необхідний для гарантії того, що зловмисне програмне забезпечення не призведе до крадіжки даних.

4. Блокування систем

Хоча навряд чи ваші працівники використовуватимуть ваші POS-пристрої для недобрих цілей, все ще є багато потенціалу для внутрішніх робочих місць або навіть просто людських помилок, щоб викликати великі проблеми. Співробітники можуть викрасти пристрої із встановленим на них програмним забезпеченням POS, або випадково залишити пристрій в офісі чи магазині, або втратити пристрій. Якщо пристрої будуть втрачені або викрадені, кожен, хто потім отримає доступ до пристрою та програмного забезпечення (особливо якщо ви не дотримувались правила №2 вище), зможе переглянути та викрасти записи клієнтів.

Щоб ваша компанія не стала жертвою подібних крадіжок, обов’язково заблокуйте всі пристрої наприкінці робочого дня. Кожен день призначається на всіх пристроях і закріплюйте їх у місці, до якого ніхто, крім кількох вибраних працівників, не має доступу.

5. Будьте сумісними з PCI від верху до низу

На додаток до управління вашими POS-системами, ви хочете відповідати Стандарту безпеки даних платіжних карток (PCI DSS) для всіх читачів карт, мереж, маршрутизаторів, серверів, інтернет-кошиків і навіть паперових файлів. Рада стандартів безпеки PCI пропонує компаніям активно контролювати та проводити інвентаризацію активів ІТ та бізнес-процесів, щоб виявити будь-яку вразливість. Рада також пропонує усунути дані власників картки, якщо це абсолютно не потрібно, та підтримувати зв’язок з банками та брендами карт, щоб забезпечити жодних проблем або вже не виникли.

Ви можете найняти кваліфікованих оцінювачів безпеки, щоб періодично перевіряти ваш бізнес, щоб визначити, чи дотримуєтесь ви стандартів PCI. Якщо ви стурбовані наданням доступу до своїх систем третій стороні, Рада надає список сертифікованих засідателів.

6. Найміть експертів із безпеки

"CIO не буде знати все, що знатиме експерт з питань безпеки", - сказав Ціабарра. "CIO не може бути в курсі всього, що відбувається в галузі безпеки. Але відповідальність експерта з питань безпеки полягає в тому, щоб бути в курсі всього".

Якщо ваша компанія занадто мала, щоб найняти спеціалізованого експерта з питань безпеки, окрім керівника технологій, ви хоч хочете найняти когось із глибоким досвідом безпеки, який буде знати, коли саме час звернутися до третьої сторони за допомогою.