Video: SambaPOS - Beko 300 TR ile TSM (Kablosuz) Entegrasyonu Vol.2 (Septembra 2024)
V decembri 2013 spoločnosť Target potvrdila, že hacker získal prístup k viac ako 70 miliónom čísel kreditných a debetných kariet svojich zákazníkov prostredníctvom systému predajných miest spoločnosti (POS). Jedným z najväčších porušení údajov v histórii USA stojí cieľový hacker spoločnosti CEO a CIO za prácu.
Bohužiaľ pre všetkých zúčastnených, hacku sa dalo predísť, iba ak by vedúci pracovníci Target implementovali funkciu auto-eradikácie do svojho anti-malware systému FireEye. Nástroj FireEye zachytil kód malvéru v novembri toho roku a mohol ho odstrániť zo siete Target pred tým, ako boli nejaké údaje ukradnuté.
Aj keď stále nie je jasné, ako hacker infikoval sieť Targetu škodlivým softvérom, existuje veľa spôsobov, ako využiť podnikový POS systém. Pre malé a stredné podniky sú hrozby ešte väčšie a početnejšie ako pre väčšie podniky. Dôvodom je skutočnosť, že väčšina malých a stredných podnikov nemá prostriedky na vytvorenie nevyhnutných bezpečnostných obmedzení, aby hackerom zabránila v útoku (alebo aby sa udreli, ak hackeri preniknú do ich systémov)., preskúmame prvých osem bezpečnostných zraniteľností POS, ktoré dnes ohrozujú malé a stredné podniky. Povieme vám nielen to, na čo si treba dávať pozor, ale ako zostať v bezpečí.
1. Dodávatelia, ktorí spravujú šifrovacie kľúče bez modulu hardvérovej bezpečnosti
Nasleduje tento problém: Ak vaša spoločnosť ukladá šifrovacie informácie na rovnakom mieste, kde ukladá údaje o používateľoch, všetky svoje vajcia ukladáte do jedného krehkého koša. Ak však fyzicky uchovávate údaje šifrovacieho kľúča oddelene od údajov používateľa, hacker, ktorý získa prístup k údajom používateľa, nebude mať prístup k informáciám o šifrovaní.
Hardvérový bezpečnostný modul je fyzické zariadenie, ktoré ukladá vaše šifrovacie údaje. Toto zariadenie môžete pripojiť priamo k počítačom alebo serverom a získať prístup k údajom POS hneď po ich nahraní do vašej siete. Je to ďalší krok pri vykladaní údajov, ale nie je to také ťažké, ako vysvetliť právnemu zástupcovi spoločnosti, prečo sú vaše údaje o zákazníkoch v rukách niekoho iného.
2. Obchodné siete s nesegmentovanými údajmi POS
Ak vaša firma používa podnikovú sieť na odosielanie aktualizácií systému a zabezpečenia do dátových prostredí a zariadení POS, vystavujete to svojej firme vážnemu riziku. Ak v tomto scenári hacker získa prístup do vašej siete, získal tiež prístup ku všetkým vašim údajom o POS.
Spoločnosti s hlbokými vreckami a odborníci v oblasti IT na strane oddeľujú tieto dve siete a vytvárajú malé cesty z obchodnej siete do dátového prostredia POS s cieľom vykonať systémové zmeny. Toto je verzia POS POS bezpečnosti Fort Knox. Konfigurácia je však neuveriteľne náročná a nákladná. Menšie organizácie sa preto často usilujú o povolenie multifaktorovej autentifikácie (MFA) z obchodnej siete k POS zariadeniu. Toto nie je bezpečnostný scenár snov, ale je to najbezpečnejšia možnosť dostupná pre skromné spoločnosti.
Ďalšia dôležitá poznámka: Kaviarne a reštaurácie, ktoré zákazníkom ponúkajú sieť Wi-Fi, by sa mali uistiť, že ich POS zariadenia nie sú pripojené k rovnakej sieti. Keď sa hacker posadí, popije svoju latte a získa prístup k vášmu Wi-Fi, potom môže nájsť cestu do vášho POS dátového prostredia.
3. Prevádzka na starých operačných systémoch
Nie každý chce aktualizovať na Microsoft Windows 10. Mám to. Fajn, ale ak stále používate starú verziu systému Windows, požadujete problémy. Microsoft ukončil podporu pre systém Windows XP v roku 2009, pre Microsoft Windows Vista v roku 2012 a pre Microsoft Windows 7 v roku 2015 - a ukončí podporu pre Microsoft Windows 8 v roku 2018. Ak ste požiadali spoločnosť Microsoft o rozšírenú podporu, budete bezpečné najmenej päť rokov po ukončení bežnej podpory. Ak ste nerozšírili svoju podporu alebo ak vypršala rozšírená podpora (ako je tomu v prípade systému Windows XP), je dôležité poznamenať, že spoločnosť Microsoft už nebude pridávať bezpečnostné opravy na odstránenie problémov, ktoré sa vyskytnú v operačnom systéme (OS). Takže, ak hackeri nájdu vstupný bod do softvéru, odhalia sa vaše údaje POS.
4. Predvolené heslá výrobcu
Aj keď ste pomocníkom s číslami, ktorý si dokáže zapamätať zložité heslá, ktoré vám poskytol výrobca POS zariadení, je nesmierne dôležité, aby ste si heslo po pripojení zariadenia k vášmu softvéru zmenili. Je známe, že hackeri sťahujú zoznamy týchto hesiel zo sietí výrobcov a sledujú ich späť na vaše zariadenia. Takže, aj keď ste podnikli všetky možné opatrenia na zabezpečenie svojich údajov, stále nechávate dvere hackerom odomknuté.
5. Podvodné zariadenia
Uistite sa, že ste partnerom spoločnosti so solídnou povesťou. V opačnom prípade by ste mohli ukončiť nákup podvodného systému POS, ktorý je v podstate koniec hry pre vašu spoločnosť a vaše zákaznícke údaje. Tým, že títo podvodníci získajú priamy prístup k kreditnej karte vášho zákazníka, môžu ťahať dáta bez toho, aby ste vy alebo váš zákazník vedeli, že sa niečo pokazilo. Tieto stroje jednoducho informujú zákazníka, že transakciu nie je možné dokončiť, takže zákazník môže veriť, že je problém s jeho kreditnou kartou alebo že je problém so systémom typu back-end. Stroj v skutočnosti jednoducho ťahá údaje zákazníka bez toho, aby bol ktokoľvek múdrejší.
6. Škodlivý softvér prostredníctvom phishingu
Je dôležité, aby ste svojich zamestnancov upozornili, aby neotvárajú podozrivé e-maily. Hackeri vkladajú do e-mailu odkazy, ktoré po kliknutí naň umožnia prístup k počítaču vášho zamestnanca. Keď hacker prevezme kontrolu nad počítačom, môže sa pohybovať v celej sieti a na vašich serveroch, aby získal prístup k akýmkoľvek údajom. Ak máte to šťastie, že vaše POS dáta nie sú uložené v rovnakom sieťovom prostredí, stále nemáte jasno, pretože hackeri môžu vzdialene pristupovať k POS zariadeniu, ktoré je pripojené k unesenému počítaču.
7. RAM Scraping
Jedná sa o staromódny útok, ktorý má stále trochu sústo. Škrabanie pomocou RAM je technika, pomocou ktorej útočníci vytrhávajú údaje o kreditných kartách z pamäte zariadenia POS skôr, ako sa zašifrujú vo vašej sieti. Ako som už spomenul, udržiavanie vašich POS systémov izolovaných od vašej obchodnej siete by malo tieto typy útokov obmedziť (za predpokladu, že hackeri majú menej vstupných bodov do POS zariadení ako do vašej podnikovej siete). Mali by ste však tiež sprísniť brány firewall vašej spoločnosti, aby ste zaistili, že POS systémy komunikujú iba so známymi zariadeniami. Tým sa obmedzí spôsob, akým hackeri môžu pristupovať k údajom vo vašich POS zariadeniach tak, že ich donútia uniesť počítače alebo servery vo vašej sieti, aby zoškrabali RAM.
8. Skimming
Toto je ľahké ignorovať, pretože si vyžaduje zabezpečenie na zemi, aby ste zaistili, že nikto útržkovito nezaoberá vaše POS zariadenia. Skimming v podstate vyžaduje, aby hackeri nainštalovali hardvér do POS zariadenia, čo im umožní skenovať informácie o kreditnej karte. Môžete to urobiť aj pomocou škodlivého softvéru, ak ste nevykonali niektoré z vyššie uvedených krokov. Ak prevádzkujete viac pobočiek, je dôležité, aby ste monitorovali, ako sa vaše POS zariadenia používajú a kým.
