Vídeo: Comissió de Presidència, Drets de Ciutadania, Participació , Seguretat 20/05/2020 i Prevenció (Setembre 2024)
El desembre de 2013, Target va reconèixer que un pirata informàtic va accedir a més de 70 milions dels seus números de targetes de crèdit i dèbit del client mitjançant el sistema de venda de punts de venda (POS) de la companyia. Un dels majors incompliments de dades de la història dels Estats Units, el hack Target va costar als seus llocs de treball a CEO i CIO.
Malauradament per a tots els implicats, el hack podria haver estat evitat si només els executius de Target haguessin implementat la funció d’eradicació automàtica dins del sistema antimware de FireEye. L’eina FireEye va agafar el codi de programari maliciós el novembre d’aquell any i podria haver-lo suprimit de la xarxa de Target abans que es pogués provar qualsevol de les dades.
Tot i que encara no està clar com el pirata informàtic va infectar la xarxa de Target amb el programari maliciós, hi ha moltes maneres d’explotar el sistema de venda d’empresa d’una empresa. Per a les empreses petites i mitjanes empreses (SMB), les amenaces són encara més grans i abundants del que ho són per a les empreses més grans. Això es deu al fet que la majoria de pimes no disposen de recursos per crear les restriccions de seguretat necessàries per mantenir els pirates informàtics (o per aconseguir un èxit si els pirates informàtics s’infiltren en els seus sistemes)., examinarem les vuit principals vulnerabilitats de seguretat POS que amenacen les PIME avui en dia. Li direm no només què mirar, sinó com mantenir-se fora de perill.
1. Venedors que gestionen claus d'encriptació sense mòdul de seguretat de maquinari
A continuació s’explica el problema que es presenta: si la vostra empresa emmagatzema informació de xifratge a la mateixa ubicació on emmagatzema les dades d’usuaris, haureu posat tots els ous en una cistella fràgil. Tanmateix, si manteniu les dades clau de xifratge físicament separades de les dades de l'usuari, un pirata informàtic que accedeix a les dades de l'usuari no tindrà accés a la informació de xifrat.
Un mòdul de seguretat del maquinari és un dispositiu físic que emmagatzema les vostres dades de xifrat. Podeu adjuntar aquest dispositiu directament als vostres equips o servidors per accedir a les dades de TPV un cop han penjat a la vostra xarxa. És un altre pas en la descàrrega de dades, però no és tan difícil com explicar a l’assessor jurídic de la vostra empresa per què les vostres dades de client estan en mans d’algú altre.
2. Xarxes comercials amb dades de TPV no segregades
Si la vostra empresa utilitza la vostra xarxa corporativa per enviar actualitzacions de sistemes i de seguretat a entorns i dispositius de dades de TPV, estàs en risc greu la seva empresa. En aquest cas, si un pirata informàtic accedeix a la vostra xarxa, també ha accedit a totes les vostres dades de TPV.
Les empreses amb butxaques profundes i experts en TI separen aquestes dues xarxes i creen petites rutes des de la xarxa empresarial fins a l’entorn de dades de TPV per fer canvis en el sistema. Aquesta és la versió Fort Knox de seguretat POS. Tanmateix, és increïblement difícil i costós de configurar. Per tant, les organitzacions més petites solen decidir-se per habilitar l'autenticació multifactorial (MFA) de la xarxa comercial al dispositiu TPV. Aquest no és un escenari de seguretat de somni, però és l’opció més segura disponible per a empreses modestes.
Una altra nota important aquí: les cafeteries i restaurants que ofereixen connexió Wi-Fi als clients s’han d’assegurar que els seus dispositius TP no estiguin connectats a la mateixa xarxa. Una vegada que un pirata informàtic es fa servir, li envia la versió llarga i accedeix a la connexió Wi-Fi, podrà trobar una manera d'entrar al vostre entorn de dades TPV.
3. Funcionament de sistemes operatius antics
No tothom vol actualitzar-se a Microsoft Windows 10. Ho aconsegueixo. Està bé, però si encara teniu una versió antiga de Windows, demaneu problemes. Microsoft va acabar amb el suport per a Windows XP el 2009, per a Microsoft Windows Vista el 2012 i per a Microsoft Windows 7 el 2015 i finalitzarà el suport per a Microsoft Windows 8 el 2018. Si heu demanat a Microsoft un suport més extens, serà segur almenys cinc anys després de la finalització del suport principal. Si no heu ampliat la vostra assistència o bé, si és que ha superat el suport (com ho fa amb Windows XP), és important tenir en compte que Microsoft ja no afegirà pedaços de seguretat per solucionar problemes que sorgeixen al sistema operatiu (SO). Així, si els pirates informàtics troben un punt d’entrada al programari, les dades de TPV seran exposades.
4. Contrasenyes del fabricant per defecte
Encara que sigui un assistent de números que pugui memoritzar les contrasenyes complicades proporcionades pel fabricant de dispositius POS, és increïblement important que canvieu la contrasenya un cop connectat el dispositiu al vostre programari. Això es deu al fet que els hackers han sabut treure llistes d'aquestes contrasenyes de les xarxes de fabricants i fer-ne el seguiment als dispositius. Així, encara que haureu de prendre les precaucions possibles per protegir les vostres dades, deixeu la porta desbloquejada als pirates informàtics.
5. Dispositius fraudulents
Assegureu-vos de formar part d'una empresa amb una bona reputació. En cas contrari, és possible que acabis comprant un sistema de venda de sistemes fraudulents, fonamentalment bàsic per a la vostra empresa i les dades del client. En accedir directament a la targeta de crèdit del vostre client, aquests escorcolls poden treure dades sense que vosaltres o el vostre client sàpiga que tot ha anat malament. Aquestes màquines simplement diuen al client que la transacció no es pot finalitzar, deixant al client que cregui que hi ha un problema amb la seva targeta de crèdit o que hi ha un problema amb el sistema final. De fet, la màquina simplement està tirant de les dades del client sense que ningú sigui el més savi.
6. Programari maliciós mitjançant phishing
És important que aviseu els vostres empleats per no obrir correus electrònics sospitosos. Els pirates informàtics incorporen enllaços al correu electrònic que, si es fa clic, els donen accés a l’ordinador del vostre empleat. Una vegada que el pirata informàtic ha pres el control de la màquina, pot navegar per tota la xarxa i els servidors per accedir a qualsevol dada. Si teniu la sort de no emmagatzemar les vostres dades de venda al mateix entorn de xarxa, encara no esteu clar perquè els pirates informàtics poden accedir de forma remota a un dispositiu TP connectat a l’ordinador segrestat.
7. Rascats de RAM
Aquest és un atac antiquat que encara té una mica de mossegada. El rascatge de RAM és una tècnica mitjançant la qual els atacants extreuen les dades de la targeta de crèdit de la memòria del dispositiu TPV abans de xifrar-se a la xarxa. Com he comentat abans, mantenir els seus sistemes de venda aïllats de la vostra xarxa empresarial hauria de limitar aquest tipus d’atacs (tenint en compte que els pirates informàtics tenen menys punts d’entrada als dispositius POS que a la vostra xarxa corporativa). Tanmateix, també haureu d’estrènyer els tallafocs de la vostra empresa per assegurar-vos que els sistemes POS només es comuniquen amb dispositius coneguts. Això limitarà les maneres en què els pirates informàtics poden accedir a les dades dels dispositius TPV obligant-los a segrestar ordinadors o servidors de la vostra xarxa per raspar la memòria RAM.
8. Aprofitament
És fàcil d'ignorar, ja que requereix seguretat a la terra per assegurar-se que ningú manegui els seus dispositius de venda de forma incompleta. Essencialment, el descrematge requereix que els pirates informàtics instal·lin maquinari al dispositiu POS, que els permetrà escanejar informació de la targeta de crèdit. Això també es pot fer mitjançant programari maliciós si no heu seguit alguns dels passos que he esmentat anteriorment. Si teniu diverses sucursals, és crucial que superviseu com s’utilitzen els vostres dispositius TP i per qui.
