6 שלבים לאבטחת מערכת נקודת המכירה שלך

השבוע, פושעי הסייבר הרוסים הפרו יותר מ -330, 000 מערכות נקודת מכירה (POS) המיוצרות על ידי חברת הבת אורקל מיקרוס - אחת משלושת ספקיות החומרה הגדולות בקופה בעולם. ההפרה חשפה נתוני לקוחות פוטנציאליים ברשתות מזון מהיר, חנויות קמעונאיות ובתי מלון ברחבי העולם.

התקפות קופה אינן חדשות. אחת מהפרות הנתונים הגדולות ביותר בהיסטוריה של ארה"ב, ה- Hacking Target, חשפה יותר מ -70 מיליון רשומות של לקוחות בפני האקרים, ועלתה למנכ"ל הקמעונאי ו- CIO במשרותיהם. בזמן ההתקפה, נחשף כי ניתן היה להימנע מההתקפה אם Target יישמה את תכונת ההשמדה האוטומטית בתוך מערכת האנטי-תוכנות הזדוניות של FireEye שלה.

המציאות היא שניתן להימנע מרוב התקפות קופה. ישנם איומים רבים למערכות קופה שלך, אך יש דרכים לא פחות ממאבק בהתקפות אלה. אני אפרט שש דרכים בהן החברה שלך יכולה להגן מפני פריצות קופה.

1. השתמש ב- iPad עבור קופה

מרבית ההתקפות האחרונות, כולל התקפות הוונדי והמטרה, היו תוצאה של יישומי תוכנה זדונית שהועמסו בזיכרון מערכת ה- POS. האקרים מסוגלים להעלות בחשאי אפליקציות זדוניות למערכות קופה ואז לנתב נתונים, מבלי שהמשתמש או הסוחר יבינו מה קרה. הנקודה החשובה שיש לציין כאן היא שאפליקציה שנייה חייבת להיות פועלת (בנוסף לאפליקציית קופה), אחרת ההתקפה לא יכולה להתרחש. זו הסיבה שבאופן מסורתי iOS הקלה על פחות התקפות. מכיוון ש- iOS מסוגלת רק להריץ אפליקציה אחת בכל פעם, התקפות מסוגים אלה מתרחשות לעתים רחוקות במכשירים תוצרת Apple.

"אחד היתרונות של חלונות הוא שהפעלת מספר אפליקציות בבת אחת", אמר כריס סיברה, CTO ומייסד חברת Revel Systems. "מיקרוסופט לא רוצה שהיתרון הזה ייעלם… אבל למה אתה חושב ש- Windows מתרסק כל הזמן? כל היישומים האלה פועלים ומשתמשים בכל הזיכרון שלך."

למען ההגינות, Revel Systems מוכרת מערכות קופות המיועדות במיוחד לאייפד, כך שזה אינטרס של Ciabarra לדחוף את החומרה של אפל. עם זאת, יש סיבה שרק לעתים רחוקות, אם בכלל, שומעים על התקפות קופה המתרחשות במערכות קופה ספציפיות של אפל. זוכר מתי נחשף iPad Pro? כולם תהו אם אפל תאפשר פונקציונליות של ריבוי משימות אמיתיות, שתאפשר לשני אפליקציות לרוץ בו זמנית במלוא הקיבולת. אפל השאירה את הפיצ'ר הזה מה- iPad Pro, למרבה המזל של כולם, פרט לאלה המשתמשים שעלולים להריץ תוכנת קופה במכשירים החדשים שלהם.

2. השתמש בהצפנה מקצה לקצה

חברות כמו Verifone מציעות תוכנה המיועדת להבטיח כי נתוני הלקוח שלך לעולם לא נחשפים להאקרים. כלים אלה מצפינים פרטי כרטיסי אשראי בשניה שהם מתקבלים במכשיר קופה ושוב כשהם נשלחים לשרת התוכנה. המשמעות היא שהנתונים לעולם אינם פגיעים, ללא קשר למקום בו האקרים עשויים להתקין תוכנה זדונית.

"אתה רוצה יחידה מוצפנת נקודה לנקודה אמיתית, " אמר סיאבארה. "אתה רוצה שהנתונים יעברו היישר מהיחידה לשער. נתוני כרטיס האשראי אפילו לא ייגעו ביחידת הקופה."

3. התקן אנטי-וירוס במערכת ה- POS

זהו פיתרון פשוט וברור למניעת התקפות קופה. אם ברצונך להבטיח כי תוכנות זדוניות מזיקות לא מסתננות למערכת שלך, התקן תוכנה להגנת נקודות קצה במכשיר שלך.

כלים אלה יסרקו את התוכנה במכשיר ה- POS שלכם ויאתרו קבצים או אפליקציות בעייתיים שיש להסירם באופן מיידי. התוכנה תתריע בפניכם באזורי בעיות ותעזור לכם להתחיל בתהליך הניקוי הנדרש להבטיח שהתוכנה הזדונית לא תביא לגניבת נתונים.

4. נעל את המערכות שלך

למרות שלא סביר מאוד שהעובדים שלך ישתמשו במכשירי קופה שלך למטרות מצערות, עדיין יש המון פוטנציאל למשרות בפנים או אפילו סתם לטעות אנוש כדי לגרום לבעיות אדירות. עובדים יכולים לגנוב מכשירים עם תוכנת קופה המותקנת עליהם, או להשאיר בטעות את המכשיר במשרד או בחנות, או לאבד את המכשיר. אם מכשירים יאבדו או נגנבו, כל מי שיגיע לגישה למכשיר ולתוכנה (במיוחד אם לא פעלת לפי כלל 2 לעיל) יוכל להציג ולגנוב רשומות לקוחות.

כדי להבטיח שהחברה שלך לא תיפול קורבן לגניבה מסוג זה, הקפד לנעול את כל המכשירים שלך בסוף יום העבודה. חשב על כל המכשירים בכל יום, והבטח אותם במקום שאף אחד פרט לעובדים בודדים שיש לו גישה.

5. להיות תואם PCI מלמעלה למטה

בנוסף לניהול מערכות ה- POS שלך, תרצה לציית לתקני אבטחת הנתונים של תעשיות התשלום (PCI DSS) בכל קוראי הכרטיסים, הרשתות, הנתבים, השרתים, עגלות הקניות המקוונות ואפילו קבצי הנייר. מועצת תקני האבטחה PCI מציעה לחברות לפקח באופן פעיל ולבצע מלאי של נכסי IT ותהליכים עסקיים על מנת לאתר פגיעות כלשהי. המועצה מציעה גם לבטל את נתוני מחזיקי הכרטיס אלא אם כן נחוצים בהחלט, ולשמור על התקשורת עם בנקים ומותגי כרטיסים כדי להבטיח שלא יתעוררו בעיות או שכבר התרחשו.

אתה יכול לשכור שמאי אבטחה מוסמכים כדי לבדוק מדי פעם את העסק שלך כדי לקבוע אם אתה עומד בתקני PCI או לא. אם אתה חושש מתן גישה למערכות שלך לצד שלישי, המועצה מספקת רשימה של שמאים מוסמכים.

6. לשכור מומחי אבטחה

"המנכ"ל לא מתכוון לדעת את כל מה שמומחה אבטחה יידע, " אמר סיברה. "המנכ"ל אינו יכול להישאר מעודכן בכל מה שקורה בביטחון. אבל האחריות הבלעדית של מומחה אבטחה היא להישאר מעודכן בכל דבר."

אם החברה שלך קטנה מכדי לשכור מומחה אבטחה ייעודי בנוסף למנהל טכנולוגיה, לפחות תרצה להעסיק מישהו עם רקע ביטחוני עמוק שיידע מתי הגיע הזמן לפנות לצד שלישי לעזרה.