Vídeo: V. Completa. Así ve el mundo un matemático. Marcus du Sautoy, matemático y divulgador científico (De novembre 2024)
Aquesta setmana, els ciberdelinqüents russos van violar més de 330.000 sistemes de venda de punts de venda (POS) fabricats per la filial Oracle Micros, un dels tres principals venedors de maquinari POS del món. La violació ha exposat potencialment les dades dels clients en cadenes de menjar ràpid, botigues al detall i hotels d’arreu del món.
Els atacs de TPV no són nous. Un dels majors incompliments de dades de la història dels Estats Units, el hack Target, va exposar més de 70 milions de registres de clients als pirates informàtics, i va costar als seus llocs de treball al CEO i al CIO. En el moment de l’atac, es va revelar que l’atac podria haver estat evitat si Target hagués implementat la funció d’eradicació automàtica dins del seu sistema anti-malware de FireEye.
La realitat és que es poden evitar la majoria d’atacs de TPV. Hi ha moltes amenaces als vostres sistemes de venda de sistemes de venda, però hi ha moltes maneres de combatre aquests atacs., Enumeraré sis maneres de protegir la vostra empresa contra intrusions de TPV.
1. Utilitzeu un iPad per a TPV
La majoria dels atacs recents, inclosos els atacs de Wendy i Target, han estat el resultat d'aplicacions malicioses carregades a la memòria del sistema de TPV. Els pirates informàtics són capaços de carregar en secret les aplicacions de programari maliciós als sistemes de venda de dades i, a continuació, les dades més fàcils, sense que l’usuari o el comerciant s’adonin del que va passar. El punt important a destacar aquí és que cal executar una segona aplicació (a més de l’aplicació POS), en cas contrari l’atac no es pot produir. És per això que iOS ha facilitat tradicionalment menys atacs. Com que iOS només pot executar completament una aplicació alhora, aquest tipus d'atacs rarament es produeixen en dispositius fabricats amb Apple.
"Un dels avantatges de Windows és tenir diverses aplicacions en funcionament alhora", va dir Chris Ciabarra, CTO i cofundador de Revel Systems. "Microsoft no vol que aquest avantatge desapareixi… però per què creus que el Windows es bloqueja sempre? Totes aquestes aplicacions estan en funcionament i utilitzen tota la vostra memòria."
Per ser justos, Revel Systems ven sistemes de venda de sistemes específics dissenyats específicament per a l’iPad, de manera que és en l’interès de Ciabarra impulsar el maquinari d’Apple. Tanmateix, hi ha una raó per la qual rares vegades, si mai, escolteu atacs de TP que es produeixen en sistemes POS específics d'Apple. Recordeu quan es va presentar l’iPad Pro? Tothom es preguntava si Apple habilitaria una autèntica funcionalitat multitasca, cosa que permetria que dues aplicacions funcionessin simultàniament a ple rendiment. Apple va deixar aquesta funció fora de l'iPad Pro, molt per a tots els usuaris, tret dels usuaris que podrien executar programari POS en els seus nous dispositius.
2. Utilitzeu xifratge de punt a extrem
Empreses com ara Verifone ofereixen programari dissenyat per garantir que les dades del vostre client no estiguin mai exposades als pirates informàtics. Aquestes eines xifren la informació de la targeta de crèdit la segona que es rep al dispositiu TPV i una altra vegada quan s'envia al servidor del programari. Això significa que les dades mai són vulnerables, independentment del lloc on els pirates informàtics estiguin instal·lant programari maliciós.
"Vol una veritable unitat xifrada punt a punt", va dir Ciabarra. "Voleu que les dades vagin directament de la unitat a la passarel·la. Les dades de la targeta de crèdit ni tan sols tocaran la unitat de TPV".
3. Instal·leu Antivirus al sistema POS
Aquesta és una solució senzilla i evident per prevenir atacs de TPV. Si voleu assegurar-vos que el programari maliciós no s’infiltri al vostre sistema, instal·leu un programa de protecció d’endpoints al vostre dispositiu.
Aquestes eines escanejaran el programari del dispositiu TPV i detectaran fitxers o aplicacions problemàtiques que cal eliminar immediatament. El programari us avisarà a les zones amb problemes i us ajudarà a iniciar el procés de neteja necessari per garantir que el malware no tingui com a resultat un robatori de dades.
4. Bloqueu els sistemes
Tot i que és molt poc probable que els vostres empleats utilitzin els vostres dispositius POS per a propòsits nefastos, encara hi ha moltes possibilitats per a treballs interiors o fins i tot per error humà que causin problemes massius. Els empleats poden robar dispositius amb el programari POS instal·lat en ells, o deixar accidentalment el dispositiu a l'oficina o en una botiga, o perdre el dispositiu. Si es perden o es roben els dispositius, qualsevol persona que accedeixi al dispositiu i al programari (sobretot si no heu seguit la regla núm. 2 anterior) podrà veure i robar els registres dels clients.
Per assegurar-vos que la vostra empresa no sigui víctima d’aquest tipus de robatoris, assegureu-vos de bloquejar tots els dispositius al final de la jornada laboral. Feu comptes de tots els dispositius cada dia i protegiu-los en un lloc al qual ningú, tret d’uns pocs empleats, tingui accés.
5. Compleixi el PCI de dalt a baix
A més de gestionar els vostres sistemes de venda de serveis, voldreu complir l'estàndard de seguretat de dades de la indústria de pagament de targetes (PCI DSS) a tots els lectors de targetes, xarxes, encaminadors, servidors, carros de compres en línia i fins i tot fitxers de paper. El Consell de Normes de Seguretat PCI suggereix que les empreses controlin i investiguin activament els actius informàtics i els processos comercials per detectar qualsevol vulnerabilitat. El Consell també suggereix eliminar les dades dels titulars de la targeta, tret que sigui absolutament necessari, i mantenir la comunicació amb els bancs i les marques de targetes per assegurar-se que no hi haja problemes o ja hi ha hagut.
Podeu contractar assessors de seguretat qualificats per revisar periòdicament la vostra empresa per determinar si seguiu o no els estàndards PCI. Si us preocupa donar accés als vostres sistemes a un tercer, el Consell proporciona una llista d’avaluadors certificats.
6. Contracta experts en seguretat
"El CIO no sabrà tot el que sabrà un expert en seguretat", va dir Ciabarra. "El CIO no pot estar al dia de tot el que passa en seguretat. Però la responsabilitat d'un expert en seguretat és mantenir-se al dia en tot."
Si la vostra empresa és massa petita per contractar un expert en seguretat dedicat a més d'un executiu tecnològic, com a mínim voldreu contractar algú amb un fons de seguretat profund que sàpiga quan arribarà el moment de contactar amb un tercer per obtenir ajuda.