Video: Point of Sale University Lesson 6: Hardware (November 2024)
Diese Woche haben russische Cyberkriminelle mehr als 330.000 POS-Systeme verletzt, die von der Oracle-Tochter Micros hergestellt werden - einem der drei größten POS-Hardwareanbieter der Welt. Der Verstoß hat potenziell Kundendaten in Fastfoodketten, Einzelhandelsgeschäften und Hotels auf der ganzen Welt offengelegt.
POS-Attacken sind nicht neu. Einer der größten Datenverstöße in der Geschichte der USA, der Target-Hack, hat mehr als 70 Millionen Kundendaten Hackern zur Last gelegt und den CEO und den CIO des Einzelhändlers ihre Jobs gekostet. Zum Zeitpunkt des Angriffs stellte sich heraus, dass der Angriff hätte vermieden werden können, wenn Target die Funktion zur automatischen Tilgung in seinem FireEye-Anti-Malware-System implementiert hätte.
Die Realität ist, dass die meisten POS-Angriffe vermieden werden können. Es gibt viele Bedrohungen für Ihre POS-Systeme, aber ebenso viele Möglichkeiten, diese Angriffe zu bekämpfen. Ich werde sechs Möglichkeiten auflisten, mit denen Ihr Unternehmen sich vor POS-Eingriffen schützen kann.
1. Verwenden Sie ein iPad für den POS
Die meisten der jüngsten Angriffe, einschließlich der Angriffe von Wendy und Target, waren das Ergebnis von Malware-Anwendungen, die in den Speicher des POS-Systems geladen wurden. Hacker können insgeheim Malware-Apps in die Kassensysteme hochladen und dann Daten stehlen, ohne dass der Benutzer oder der Händler merkt, was passiert ist. Hierbei ist zu beachten, dass zusätzlich zur POS-App eine zweite App ausgeführt werden muss, da sonst der Angriff nicht stattfinden kann. Aus diesem Grund hat iOS traditionell weniger Angriffe ermöglicht. Da iOS jeweils nur eine App vollständig ausführen kann, treten derartige Angriffe auf von Apple erstellten Geräten nur selten auf.
"Einer der Vorteile von Windows besteht darin, dass mehrere Apps gleichzeitig ausgeführt werden", sagte Chris Ciabarra, CTO und Mitbegründer von Revel Systems. "Microsoft möchte nicht, dass dieser Vorteil verschwindet… aber warum stürzt Windows Ihrer Meinung nach ständig ab? Alle diese Apps werden ausgeführt und belegen Ihren gesamten Speicher."
Um fair zu sein, verkauft Revel Systems POS-Systeme, die speziell für das iPad entwickelt wurden. Daher ist es im Interesse von Ciabarra, Apples Hardware voranzutreiben. Es gibt jedoch einen Grund, warum Sie selten oder nie von POS-Angriffen auf Apple-spezifische POS-Systeme hören. Erinnerst du dich, als das iPad Pro vorgestellt wurde? Alle fragten sich, ob Apple echte Multitasking-Funktionen ermöglichen würde, mit denen zwei Apps gleichzeitig mit voller Kapazität ausgeführt werden könnten. Apple hat diese Funktion für das iPad Pro deaktiviert, und das ist sehr zum Leidwesen aller, mit Ausnahme der Benutzer, die wahrscheinlich POS-Software auf ihren neuen Geräten ausführen.
2. Verwenden Sie die End-to-End-Verschlüsselung
Unternehmen wie Verifone bieten Software an, die garantiert, dass die Daten Ihrer Kunden niemals Hackern ausgesetzt sind. Diese Tools verschlüsseln Kreditkarteninformationen in dem Moment, in dem sie auf dem POS-Gerät eingehen und erneut an den Server der Software gesendet werden. Dies bedeutet, dass die Daten niemals anfällig sind, unabhängig davon, wo Hacker Malware installieren.
"Sie wollen eine echte Punkt-zu-Punkt-Verschlüsselung", sagte Ciabarra. "Sie möchten, dass die Daten direkt vom Gerät zum Gateway übertragen werden. Die Kreditkartendaten berühren die POS-Einheit nicht einmal."
3. Installieren Sie Antivirus auf dem Kassensystem
Dies ist eine einfache und offensichtliche Lösung zur Verhinderung von POS-Angriffen. Wenn Sie sicherstellen möchten, dass schädliche Malware nicht in Ihr System eindringt, installieren Sie Endpoint Protection-Software auf Ihrem Gerät.
Diese Tools scannen die Software auf Ihrem POS-Gerät und erkennen problematische Dateien oder Apps, die sofort entfernt werden müssen. Die Software weist Sie auf Problembereiche hin und hilft Ihnen, den erforderlichen Bereinigungsprozess zu starten, um sicherzustellen, dass die Malware nicht zu Datendiebstahl führt.
4. Sperren Sie Ihre Systeme
Obwohl es sehr unwahrscheinlich ist, dass Ihre Mitarbeiter Ihre POS-Geräte für schändliche Zwecke einsetzen, besteht immer noch viel Potenzial für Insider-Jobs oder sogar für menschliches Versagen, das zu massiven Problemen führen kann. Mitarbeiter können Geräte mit installierter POS-Software stehlen oder das Gerät versehentlich im Büro oder in einem Geschäft lassen oder das Gerät verlieren. Wenn Geräte verloren gehen oder gestohlen werden, kann jeder, der auf das Gerät und die Software zugreift (insbesondere, wenn Sie Regel 2 oben nicht befolgt haben), Kundendatensätze anzeigen und stehlen.
Stellen Sie sicher, dass alle Ihre Geräte am Ende des Arbeitstages gesperrt sind, um sicherzustellen, dass Ihr Unternehmen nicht Opfer eines solchen Diebstahls wird. Erfassen Sie jeden Tag alle Geräte und sichern Sie sie an einem Ort, zu dem nur einige ausgewählte Mitarbeiter Zugang haben.
5. Seien Sie von oben nach unten PCI-konform
Zusätzlich zur Verwaltung Ihrer POS-Systeme sollten Sie den PCI DSS (Payment Card Industry Data Security Standard) für alle Kartenleser, Netzwerke, Router, Server, Online-Einkaufswagen und sogar Papierdateien einhalten. Der PCI Security Standards Council empfiehlt Unternehmen, IT-Assets und Geschäftsprozesse aktiv zu überwachen und zu inventarisieren, um Schwachstellen zu erkennen. Der Rat schlägt außerdem vor, die Karteninhaberdaten zu löschen, sofern dies nicht unbedingt erforderlich ist, und die Kommunikation mit Banken und Kartenmarken aufrechtzuerhalten, um sicherzustellen, dass keine Probleme auftreten oder bereits aufgetreten sind.
Sie können qualifizierte Sicherheitsprüfer beauftragen, Ihr Unternehmen regelmäßig zu überprüfen, um festzustellen, ob Sie die PCI-Standards einhalten. Wenn Sie Bedenken haben, einem Dritten Zugriff auf Ihre Systeme zu gewähren, stellt der Rat eine Liste zertifizierter Prüfer zur Verfügung.
6. Stellen Sie Sicherheitsexperten ein
"Der CIO wird nicht alles wissen, was ein Sicherheitsexperte wissen wird", sagte Ciabarra. "Der CIO kann sich nicht über alle Sicherheitsvorgänge auf dem Laufenden halten. Es liegt jedoch in der alleinigen Verantwortung eines Sicherheitsexperten, sich über alle Sicherheitsvorgänge auf dem Laufenden zu halten."
Wenn Ihr Unternehmen zu klein ist, um einen engagierten Sicherheitsexperten zusätzlich zu einem Technologiemitarbeiter einzustellen, sollten Sie zumindest jemanden mit tiefem Sicherheitshintergrund einstellen, der weiß, wann es Zeit ist, sich an einen Dritten zu wenden, um Hilfe zu erhalten.
