6 ขั้นตอนในการรักษาความปลอดภัยของระบบ ณ จุดขาย

ในสัปดาห์นี้อาชญากรไซเบอร์ของรัสเซียละเมิดระบบ POS ณ จุดขาย (330) มากกว่า 330, 000 ระบบที่ผลิตโดย บริษัท ในเครือของออราเคิล Micros ซึ่งเป็นหนึ่งในสามของผู้จำหน่ายฮาร์ดแวร์ POS ที่ใหญ่ที่สุดในโลก การละเมิดดังกล่าวอาจเปิดเผยข้อมูลลูกค้าในห่วงโซ่อาหารจานด่วนร้านค้าปลีกและโรงแรมทั่วโลก

การโจมตี POS ไม่ใช่เรื่องใหม่ หนึ่งในการละเมิดข้อมูลที่ใหญ่ที่สุดในประวัติศาสตร์ของสหรัฐอเมริกาคือ Target Target เปิดเผยข้อมูลลูกค้ากว่า 70 ล้านรายแก่แฮกเกอร์และใช้ค่าใช้จ่ายแก่ CEO และ CIO ของผู้ค้าปลีก ในช่วงเวลาของการโจมตีมันถูกเปิดเผยว่าการโจมตีสามารถหลีกเลี่ยงได้ถ้า Target ได้ใช้คุณสมบัติกำจัดอัตโนมัติภายในระบบป้องกันมัลแวร์ FireEye

ความจริงก็คือการโจมตี POS ส่วนใหญ่สามารถหลีกเลี่ยงได้ มีภัยคุกคามมากมายต่อระบบ POS ของคุณ แต่มีหลายวิธีในการต่อสู้กับการโจมตีเหล่านี้ ฉันจะแสดงหกวิธีที่ บริษัท ของคุณสามารถป้องกันการบุกรุก POS ได้

1. ใช้ iPad สำหรับ POS

การโจมตีเมื่อเร็ว ๆ นี้ส่วนใหญ่รวมถึงการโจมตีของ Wendy และ Target นั้นเป็นผลมาจากแอพพลิเคชั่นมัลแวร์ที่โหลดเข้าสู่หน่วยความจำของระบบ POS แฮกเกอร์สามารถอัพโหลดแอพพลิเคชั่นมัลแวร์แอบเข้าไปในระบบ POS แล้วขโมยข้อมูลได้โดยที่ผู้ใช้หรือผู้ค้าไม่รู้ว่าเกิดอะไรขึ้น จุดสำคัญที่ควรทราบที่นี่คือแอพที่สองต้องทำงานอยู่ (นอกเหนือจากแอพ POS) มิฉะนั้นการโจมตีจะไม่เกิดขึ้น นี่คือสาเหตุที่ iOS ทำให้การโจมตีน้อยลง เนื่องจาก iOS สามารถเรียกใช้แอปได้ครั้งละหนึ่งแอปเท่านั้นการโจมตีประเภทนี้จึงไม่ค่อยเกิดขึ้นบนอุปกรณ์ที่ผลิตโดย Apple

"หนึ่งในข้อดีของ Windows คือการมีแอพหลายตัวที่ทำงานพร้อมกัน" Chris Ciabarra, CTO และผู้ร่วมก่อตั้งของ Revel Systems กล่าว "Microsoft ไม่ต้องการความได้เปรียบนั้นให้หายไป … แต่ทำไมคุณถึงคิดว่า Windows ขัดข้องตลอดเวลาแอปทั้งหมดนั้นทำงานและใช้หน่วยความจำทั้งหมดของคุณ"

เพื่อความเป็นธรรม Revel Systems จำหน่ายระบบ POS ที่ออกแบบมาสำหรับ iPad โดยเฉพาะดังนั้นมันจึงเป็นความสนใจของ Ciabarra ที่จะผลักดันฮาร์ดแวร์ของ Apple อย่างไรก็ตามมีเหตุผลที่คุณไม่ค่อยได้ยินการโจมตี POS ที่เกิดขึ้นในระบบ POS เฉพาะของ Apple จำได้ไหมว่าเมื่อ iPad Pro เปิดตัว? ทุกคนสงสัยว่า Apple จะเปิดใช้งานฟังก์ชั่นการทำงานมัลติทาสกิ้งอย่างแท้จริงหรือไม่ซึ่งจะช่วยให้แอพทั้งสองทำงานได้อย่างเต็มประสิทธิภาพ Apple ออกจากฟีเจอร์นี้ไปจาก iPad Pro ซึ่งเป็นเรื่องที่น่าผิดหวังสำหรับทุกคนยกเว้นผู้ใช้ที่มีแนวโน้มที่จะใช้ซอฟต์แวร์ POS บนอุปกรณ์ใหม่ของพวกเขา

2. ใช้การเข้ารหัสแบบครบวงจร

บริษัท ต่าง ๆ เช่นซอฟต์แวร์ Verifone ที่ออกแบบมาเพื่อรับประกันข้อมูลของลูกค้าของคุณจะไม่ถูกเปิดเผยต่อแฮกเกอร์ เครื่องมือเหล่านี้เข้ารหัสข้อมูลบัตรเครดิตครั้งที่สองที่ได้รับบนอุปกรณ์ POS และอีกครั้งเมื่อมันถูกส่งไปยังเซิร์ฟเวอร์ของซอฟต์แวร์ ซึ่งหมายความว่าข้อมูลจะไม่มีช่องโหว่ไม่ว่าแฮ็กเกอร์จะติดตั้งมัลแวร์ที่ไหน

"คุณต้องการหน่วยเข้ารหัสลับแบบจุดต่อจุดจริง" Ciabarra กล่าว "คุณต้องการให้ข้อมูลตรงจากยูนิตไปยังเกตเวย์ข้อมูลบัตรเครดิตจะไม่แตะแม้แต่หน่วย POS"

3. ติดตั้ง Antivirus บนระบบ POS

นี่เป็นวิธีที่ง่ายและชัดเจนในการป้องกันการโจมตี POS หากคุณต้องการมั่นใจว่ามัลแวร์ที่เป็นอันตรายไม่ได้แทรกซึมเข้าไปในระบบของคุณให้ติดตั้งซอฟต์แวร์ป้องกันปลายทางบนอุปกรณ์ของคุณ

เครื่องมือเหล่านี้จะสแกนซอฟต์แวร์บนอุปกรณ์ POS ของคุณและตรวจหาไฟล์หรือแอพที่มีปัญหาซึ่งต้องลบออกทันที ซอฟต์แวร์จะแจ้งเตือนคุณถึงปัญหาในพื้นที่และช่วยให้คุณเริ่มกระบวนการทำความสะอาดที่ต้องการเพื่อรับประกันว่ามัลแวร์จะไม่ส่งผลให้เกิดการโจรกรรมข้อมูล

4. ล็อคระบบของคุณ

แม้ว่าจะเป็นไปได้ยากที่พนักงานของคุณจะใช้อุปกรณ์ POS ของคุณเพื่อจุดประสงค์สามานย์ แต่ก็มีโอกาสมากมายสำหรับงานภายในหรือแม้แต่ข้อผิดพลาดของมนุษย์เพื่อก่อให้เกิดปัญหาใหญ่ พนักงานสามารถขโมยอุปกรณ์ที่มีซอฟต์แวร์ POS ติดตั้งอยู่หรือทิ้งอุปกรณ์ไว้ที่สำนักงานหรือในร้านค้าโดยไม่ตั้งใจหรือทำให้อุปกรณ์สูญหาย หากอุปกรณ์สูญหายหรือถูกขโมยใครก็ตามที่เข้าถึงอุปกรณ์และซอฟต์แวร์ (โดยเฉพาะถ้าคุณไม่ปฏิบัติตามกฎ # 2 ด้านบน) จะสามารถดูและขโมยบันทึกลูกค้าได้

เพื่อให้แน่ใจว่า บริษัท ของคุณจะไม่ตกเป็นเหยื่อของการโจรกรรมประเภทนี้ให้แน่ใจว่าได้ล็อคอุปกรณ์ทั้งหมดของคุณในตอนท้ายของวันทำงาน บัญชีสำหรับอุปกรณ์ทั้งหมดในแต่ละวันและรักษาความปลอดภัยในสถานที่ที่ไม่มีใครนอกจากพนักงานที่เลือกน้อยมีการเข้าถึง

5. เป็นไปตามมาตรฐาน PCI จากบนลงล่าง

นอกจากการจัดการระบบ POS ของคุณคุณจะต้องปฏิบัติตามมาตรฐานความปลอดภัยข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ในเครื่องอ่านการ์ดเครือข่ายเราเตอร์เซิร์ฟเวอร์เซิร์ฟเวอร์ตะกร้าสินค้าออนไลน์และแม้กระทั่งไฟล์กระดาษทั้งหมด PCI Standard Standards Council แนะนำให้ บริษัท ต่าง ๆ ตรวจสอบและรับสินค้าคงคลังของสินทรัพย์ด้านไอทีและกระบวนการทางธุรกิจเพื่อตรวจหาช่องโหว่ใด ๆ สภายังแนะนำให้กำจัดข้อมูลผู้ถือบัตรเว้นแต่มีความจำเป็นอย่างยิ่งและยังคงการสื่อสารกับธนาคารและแบรนด์การ์ดเพื่อให้แน่ใจว่าไม่มีปัญหาเกิดขึ้นหรือเกิดขึ้นแล้ว

คุณสามารถจ้างผู้ประเมินความปลอดภัยที่ผ่านการรับรองเพื่อตรวจสอบธุรกิจของคุณเป็นระยะเพื่อพิจารณาว่าคุณปฏิบัติตามมาตรฐาน PCI หรือไม่ หากคุณกังวลเกี่ยวกับการให้ระบบของคุณเข้าถึงบุคคลภายนอกสภาจะจัดทำรายการผู้ประเมินที่ผ่านการรับรอง

6. จ้างผู้เชี่ยวชาญด้านความปลอดภัย

“ CIO จะไม่รู้ทุกอย่างที่ผู้เชี่ยวชาญด้านความปลอดภัยจะรู้” Ciabarra กล่าว "CIO ไม่สามารถติดตามทุกสิ่งที่เกิดขึ้นในเรื่องความปลอดภัยได้แต่ทว่าความรับผิดชอบของผู้เชี่ยวชาญด้านความปลอดภัยคือการติดตามข้อมูลทุกอย่างให้ทันสมัย"

หาก บริษัท ของคุณมีขนาดเล็กเกินไปที่จะจ้างผู้เชี่ยวชาญด้านความปลอดภัยโดยเฉพาะนอกเหนือจากผู้บริหารเทคโนโลยีอย่างน้อยที่สุดคุณจะต้องจ้างคนที่มีพื้นฐานความปลอดภัยสูงซึ่งจะรู้ได้ว่าถึงเวลาที่ต้องติดต่อกับบุคคลที่สามเพื่อขอความช่วยเหลือ