Video: Excel 2016 - Werkblad beveiligen (November 2024)
Deze week hebben Russische cybercriminelen meer dan 330.000 verkooppunten (POS) -systemen gemaakt door Oracle-dochter Micros - een van de drie grootste POS-hardwareleveranciers ter wereld overtreden. De inbreuk heeft mogelijk klantgegevens blootgelegd bij fastfoodketens, winkels en hotels over de hele wereld.
POS-aanvallen zijn niet nieuw. Een van de grootste datalekken in de Amerikaanse geschiedenis, de Target-hack, heeft meer dan 70 miljoen klantrecords blootgesteld aan hackers en heeft de CEO en CIO van de retailer gekost. Ten tijde van de aanval werd onthuld dat de aanval had kunnen worden voorkomen als Target de functie voor automatische uitroeiing had geïmplementeerd in het FireEye-antimalwaresysteem.
De realiteit is dat de meeste POS-aanvallen kunnen worden vermeden. Er zijn veel bedreigingen voor uw POS-systemen, maar er zijn net zo veel manieren om deze aanvallen te bestrijden., Ik zal zes manieren noemen die uw bedrijf kan beschermen tegen POS-inbraken.
1. Gebruik een iPad voor POS
De meeste recente aanvallen, waaronder de Wendy's en Target-aanvallen, zijn het resultaat van malware-applicaties die in het geheugen van het kassasysteem zijn geladen. Hackers kunnen in het geheim malware-apps uploaden naar de kassasystemen en vervolgens gegevens besturen, zonder dat de gebruiker of de verkoper zich realiseert wat er is gebeurd. Het belangrijke punt om op te merken is dat er een tweede app actief moet zijn (naast de POS-app), anders kan de aanval niet plaatsvinden. Daarom heeft iOS traditioneel minder aanvallen gefaciliteerd. Omdat iOS slechts één app tegelijk volledig kan uitvoeren, komen dit soort aanvallen zelden voor op door Apple gemaakte apparaten.
"Een van de voordelen van Windows is dat meerdere apps tegelijkertijd worden uitgevoerd", zegt Chris Ciabarra, CTO en mede-oprichter van Revel Systems. "Microsoft wil niet dat dat voordeel weggaat… maar waarom denk je dat Windows de hele tijd crasht? Al die apps draaien en gebruiken al je geheugen."
Om eerlijk te zijn, verkoopt Revel Systems POS-systemen die speciaal zijn ontworpen voor de iPad, dus het is in het belang van Ciabarra om de hardware van Apple te pushen. Er is echter een reden waarom u zelden of nooit hoort van POS-aanvallen op Apple-specifieke POS-systemen. Weet je nog toen de iPad Pro werd onthuld? Iedereen vroeg zich af of Apple echte multitasking-functionaliteit zou inschakelen, waardoor twee apps tegelijkertijd op volle capaciteit kunnen draaien. Apple liet deze functie weg van de iPad Pro, tot grote ergernis van iedereen behalve die gebruikers die waarschijnlijk POS-software op hun nieuwe apparaten zouden gebruiken.
2. Gebruik End-to-End-codering
Bedrijven zoals Verifone bieden software die is ontworpen om te garanderen dat de gegevens van uw klant nooit worden blootgesteld aan hackers. Deze tools coderen creditcardinformatie zodra deze op het POS-apparaat wordt ontvangen en nogmaals wanneer deze naar de server van de software wordt verzonden. Dit betekent dat de gegevens nooit kwetsbaar zijn, ongeacht waar hackers mogelijk malware installeren.
"U wilt een echte point-to-point gecodeerde eenheid, " zei Ciabarra. "U wilt dat de gegevens rechtstreeks van het apparaat naar de gateway gaan. De creditcardgegevens raken de POS-eenheid niet eens."
3. Installeer Antivirus op het POS-systeem
Dit is een eenvoudige en voor de hand liggende oplossing om POS-aanvallen te voorkomen. Als u ervoor wilt zorgen dat schadelijke malware uw systeem niet infiltreert, installeert u software voor eindpuntbeveiliging op uw apparaat.
Deze tools scannen de software op uw POS-apparaat en detecteren problematische bestanden of apps die onmiddellijk moeten worden verwijderd. De software waarschuwt u voor probleemgebieden en helpt u met het opschoningsproces dat nodig is om te garanderen dat de malware niet leidt tot gegevensdiefstal.
4. Vergrendel uw systemen
Hoewel het zeer onwaarschijnlijk is dat uw werknemers uw POS-apparaten voor snode doeleinden zullen gebruiken, is er nog steeds veel potentieel voor interne taken of zelfs menselijke fouten om enorme problemen te veroorzaken. Werknemers kunnen apparaten stelen waarop POS-software is geïnstalleerd, of het apparaat per ongeluk op kantoor of in een winkel achterlaten of het apparaat verliezen. Als apparaten verloren gaan of worden gestolen, kan iedereen die vervolgens toegang heeft tot het apparaat en de software (vooral als u regel 2 hierboven niet hebt gevolgd) klantrecords bekijken en stelen.
Om ervoor te zorgen dat uw bedrijf niet het slachtoffer wordt van dit soort diefstal, moet u ervoor zorgen dat al uw apparaten aan het einde van de werkdag zijn vergrendeld. Elke dag verantwoordelijk voor alle apparaten en beveilig ze op een plek waartoe niemand behalve een select aantal werknemers toegang heeft.
5. Wees PCI-conform van boven naar beneden
Naast het beheer van uw POS-systemen, wilt u voldoen aan de Payment Card Industry Data Security Standard (PCI DSS) voor alle kaartlezers, netwerken, routers, servers, online winkelwagentjes en zelfs papieren bestanden. De PCI Security Standards Council stelt voor dat bedrijven IT-activa en bedrijfsprocessen actief monitoren en inventariseren om eventuele kwetsbaarheden te detecteren. De Raad stelt ook voor om gegevens van kaarthouders te verwijderen, tenzij absoluut noodzakelijk, en om de communicatie met banken en kaartmerken te handhaven om ervoor te zorgen dat er zich geen problemen voordoen of hebben voorgedaan.
U kunt gekwalificeerde beveiligingsdeskundigen inhuren om uw bedrijf regelmatig te beoordelen om te bepalen of u al dan niet PCI-normen volgt. Als u zich zorgen maakt over het verlenen van toegang tot uw systemen aan een derde partij, biedt de raad een lijst met gecertificeerde beoordelaars.
6. Huur beveiligingsexperts in
"De CIO zal niet alles weten wat een beveiligingsexpert zal weten, " zei Ciabarra. "De CIO kan niet op de hoogte blijven van alles wat er gebeurt op het gebied van beveiliging. Maar de enige verantwoordelijkheid van een beveiligingsexpert is om op de hoogte te blijven van alles."
Als uw bedrijf te klein is om naast een technologiemanager een toegewijde beveiligingsexpert in te huren, wilt u in ieder geval iemand met een diepe beveiligingsachtergrond inhuren die weet wanneer het tijd is om contact op te nemen met een derde partij voor hulp.
