Atsiskaitymo duomenų saugumas: Ką reikia žinoti ir kaip apsaugoti jūsų verslą
Grėsmės duomenų saugumui nestovi vietoje – būkite žingsniu priekyje, kad galėtumėt apsisaugoti nuo rimtų problemų.
Prekybininkai turi išlikti budrūs, kadangi nusikaltėliai ir toliau siekia nelegaliai išgauti bankinių kortelių transakcijų duomenis. Kaip liudija naujausi tyrimai, hakeriai ir vagys toliau tobulėja, įgydami priėjimą prie milijonų kreditinių ir debetinių kortelių sąskaitų kasmet. Pasak Trustwave 2013 Pasaulinės APSAUGOS ataskaitos, 96% visų duomenų saugumo pažeidimų buvo nukreipti į pirkėjų mokėjimo kortelių duomenis ir el. pašto adresus. Daugiau nei 69% nukentėjusiųjų nuo atakų buvo mažmeninės prekybos, maisto ir gėrimų pramonės įmonės.
Tad kaip prekybininkai gali apsisaugoti nuo šių pavojų?
Kaip šie nusikaltėliai veikia?
Susiduriame ne su mėgėjais. Šioje veikloje galima sutikti tikrai profesionaliai pasirengusius IT specialistus, kurie net ir vienijasi į nusikalstamas grupes. Jos nuolat vysto ir tobulina savo strategijas ir techniką, kad pergudrautų prekybininkus ir apeitų atsiskaitymo duomenų saugojimo sistemų apsaugą. Tokios grupuotės pasklidusios po visą pasaulį – nuo Rytų iki Vakarų valstybių.
Atakas galima skirstyti į dedikuotas ir nededikuotas. Pastarosios yra atsitiktinės ir mažiau pavojingos, jas atlieka ne tokie kvalifikuoti žmonės. Jos yra labiausiai paplitusios – o apsisaugoti nuo šių užtenka standartinių priemonių.
Visgi vis dažniau girdime apie dedikuotas atakas, kurios gali būti nukreiptos į konkrečias įmones, kuriose laikomi bankinių kortelių duomenys. Jos gali būti nukreipiamos tiek į įmones, užsiimančias internetine prekyba, tiek įmones, kurios atlieka bankinius atsiskaitymus per kasos aparatus, naudojant bankinius terminalus. Šio tipo atakoms pasiruošiama kur kas geriau, atitinkamai, sėkmingos duomenų vagystės tikimybė daug didesnė nei atsitiktinių atakų atveju. Pavogti duomenys toliau gali būti perduodami kitoms grupuotėms, kurios jau užsiima kortelių gamyba ir bandymu jas panaudoti. Tokios veiklos geografija labai plati.
Kokie galimi sprendimai?
Pirmiausia, prekybininkas turi suprasti, kad saugumo užtikrinimas yra itin svarbi jo veiklos dalis, kurią galima patikėti ir trečiajai įmonei, tačiau visuomet rekomenduojama ir patiems kontroliuoti, kaip vykdomas procesas. Egzistuoja įvairūs standartai, kurie padeda prekybininkams įmonėje įsidiegti teisingą saugumo praktiką:
- PCI saugumo standartai taikomi įmonės fiziniam, programiniam ir veiklos procesų saugumui.
- PA (payment application) saugumo standartas, kuris taikomas programinei įrangai, naudojančiai bankinių kortelių duomenis.
- Duomenų kriptografija P2PE (point-to-point encryption) skirta duomenų enkriptavimui nuo pradinio taško, kuriame galėtų prasidėti saugumo duobės (pvz., bankinių kortelių terminalo), be jokių tarpinių taškų, kuriuose būtų perkriptuojama, o iškriptuojant tiktai banke arba kitame labai saugiame taške. Šis standartas dažniausiai taikomas bankinių terminalų įrangai.
Svarbu atsižvelgti, jog vienas standartas visų problemų tikrai neišspręs, maksimalios apsaugos užtikrinimui reikalingas kompleksinis šių priemonių panaudojimas. Šie standartai nėra privalomi, visgi, jais pasidomėjus, įmonėje galima panaudoti bent geriausias šių praktikas. Taip pat svarbu nepamiršti, jog saugumo taisyklių laikymasis nėra trumpalaikis, jį vykdyti reikia nuolatos per visą įmonės gyvavimo laikotarpį.
Kiekvienas prekybininkas turėtų turėti vidinę žmonių grupę, atsakingą už įmonės saugumą. Jie turėtų nuolat organizuoti susitikimus, kurių metu aptartų einamąsias grėsmes ir rengtų veiksmų planus joms išvengti. Planai turėtų būti nuolat koreguojami ir tobulinami, kadangi kylančios grėsmės taip pat nuolat evoliucionuoja.
Pagrindinės gairės užtikrinant duomenų saugumą
Fizinė apsauga: manoma, kad kiber atakos vyksta tik virtualioje aplinkoje, tačiau, iš tiesų, egzistuoja labai realus ir fizinis pavojus, nes sukčiai gali prieiti prie jūsų sistemos per neapsaugotus prietaisus, pavyzdžiui, atrakintus POS terminalus su neapsaugota USB sąsaja.
Prekybininkai turi būti užtikrinti, kad pasirūpino fizine visų naudojamų technologijų apsauga, įskaitant POS, mokėjimo kortelių terminalus, front-office ir back-office serverius. Keli saugumo patarimai:
- Suburkite tvirtą incidentų reagavimo komandą, kuri veiksmingai aptiktų grėsmes ir veiktų greitai
- Kiekvieną serverinę aprūpinkite durimis su skaitmeninėmis praėjimo kortelėmis
- Laikykite visus front-office ir back-office kompiuterius bei serverius apsaugotose vietose
- Įsirenkite vaizdo kamerų tinklo sistemą visoms kasų zonoms ir serverinėms stebėti
Loginė apsauga: kontroliuoti prieigą prie tinklo yra vienas svarbiausių veiksmų, kurio prekybininkai gali imtis siekdami apsisaugoti nuo duomenų saugumo pažeidimų. Tai apima atidų ugniasienių, nuotolinio jungimosi ir prisijungimų teisių stebėjimą bei priežiūrą. Valdyti ateinančių ir išeinančių duomenų srautą yra būtina – tai gali padėti išvengti daugiau nei 95% įsilaužimų į sistemą. Keli patarimai:
- Įsitikinkite, kad tvirtai kontroliuojate įmonės IT struktūros naudotojų teises
- Stebėkite jūsų POS sistemų išeinantį ir įeinantį duomenų srautą
- Jei jūsų IT sistemose dėl kokių nors priežasčių naudojamos nebeatnaujinamos ar pažeidžiamos sistemos, pasistenkite užtikrinti ypatingą šių sistemų apsaugą
- Nuolat keiskite slaptažodžius ir nenaudokite dažnai pasitaikančių, standartinių prisijungimo slaptažodžių. Rekomenduojamas tapatybės nustatymas pagal du faktorius, ypač privilegijuotiems vartotojams
- Suteikite minimalias teises vartotojams ir aplikacijoms
Programinės įrangos apsauga: prekybininkai turi stiprinti savo front-office, back-office ir POS sistemų programinę įrangą. PCI, PA-DSS yra efektyviausias šiame apsaugos rate. Keli patarimai:
- Front-office, back-office ir POS vartotojai turėtų turėti minimalias vartotojo teises, reikalingas išpildyti savo darbui
- Visada naudokite naujausias operacines sistemas ir nuolat naujinkite antivirusinę programinę įrangą
- Užblokuokite prieigą prie automatinio paleidimo, komandinės eilutės, registro, pradžios meniu, užduočių tvarkytuvo, perkrovimo/ išjungimo ir dešinio paspaudimo funkcijų kiekviename įrenginyje
Nepamirškite, atsiskaitymo duomenų saugumas yra išskirtinai svarbus šiandieninių besivystančių grėsmių kontekste. Jei sukčiai negalės įsibrauti į jūsų sistemą, negalės ir pasiekti jūsų duomenų. Būkite atidūs ir iniciatyvūs, kad išvengtumėte rimtų rūpesčių!