Existuje mnoho společností, které si myslí, že za jejich systémy Point-of-Sales (POS) zodpovídají pouze jejich pokladní, kteří sedí za prodejním pultem.
Doslova zapomínají, že jejich POS systémy čelí mnoha úrovním rizik, např. problémům se sítí, otevřenými porty, kybernetickými útoky, problémy s dostupností, komunikací s řetězem jejich četných back-endových procesů. Častěji tyto POS systémy také komunikují s nejcitlivějšími daty společnosti, jako jsou osobní identifikační údaje (PII) jejich zákazníků.
Vaše společnost, vlastně každá společnost, by měla své POS systémy přesněji považovat za rozšíření firemního datového centra, vzdálené pobočky vašich kritických aplikací. Měli byste je vnímat jako vysoce nebezpečné prostředí a podle toho navrhnout cílenou bezpečnostní strategii.
👉 Co je zabezpečení POS?
Zabezpečení POS je o vytvoření bezpečného prostředí pro vaše zákazníky, aby mohli nakupovat a bezpečně provádět transakce. Jde o vytvoření určitých preventivních opatření, která odradí všechny neoprávněné uživatele od přístupu k elektronickým platebním systémům a sníží rizika spojená s podvody nebo krádeží informací o kreditních kartách zákazníků.
Vaše POS systémy jsou vždy atraktivním cílem pro kyberzločince. Musíte si plně uvědomit, že všechny POS aplikace obsahují některé velmi důležité zákaznické údaje, jejich PII a údaje o kreditní kartě, adresu, mobilní číslo nebo e-mailové ID atd. Vaším úkolem je tato data za každou cenu hlídat.
Útočníci mohou pro začátek využít jakoukoli známou zranitelnost nebo použít nejrůznější taktiky sociálního inženýrství. Může se jim dobře podařit nainstalovat do vašich systémů nějaký druh malwaru, který je speciálně navržen tak, aby kradl podrobnosti o kreditních/debetních kartách z vašich POS systémů a terminálů. Obvykle takové malware procházejí pamětí (RAM), aby shromáždily data a poté je exfiltrovaly podle potřeby.
Pokud se zlomyslnému aktérovi hrozeb podaří nabourat vaši POS aplikaci, může získat přístup k tisícům nebo milionům kreditních/debetních karet. Tyto informace mohou použít k podvodnému použití nebo prodeji na dark webu nebo jakékoli třetí straně. Mohou získat přístup k dalším aplikacím a systémům, se kterými vaše společnost pracuje.
Útoky na společnosti nebo maloobchodní POS systémy jsou na denním pořádku i v České republice
👉 Pochopte celý rozsah
Jako profesionálové v oblasti kybernetické bezpečnosti musíte nejprve plně porozumět rozsahu úkolu v případě systému POS. Pamatujte, že vaše POS systémy představují velmi unikátní útočnou plochu. Nejsou jako vaše běžné IT systémy.
Vaše POS systémy mohou být instalovány jako „in-store“ terminály, stejně jako „veřejné kiosky“ a „samoobslužné stanice“ na místech, jako jsou nákupní centra, letiště a nemocnice, benzínové pumpy, vaše pobočky atd.
Jsou tak geograficky rozptýlené, že byste měli problém sledovat každé zařízení jednotlivě a sledovat jejich připojení jako skupinu. Museli byste se potýkat s nedostatkem zdrojů, logistickými potížemi a mnoha dalšími faktory pro zabezpečení všech POS zařízení. Měli byste mít potíže s rychlou reakcí, pokud by došlo k nějakému porušení nebo byla nalezena jakákoli zranitelnost.
Můžete čelit řadě hrozeb, protože mnoho POS řešení je postaveno na starších operačních systémech (OS).
Pokud si myslíte, že vaše ITbude schopno opravit vše na dálku, pak vás čeká spousta bolesti. IT často nebude mít správnou viditelnost, pokud jde o to, aby byli schopni přesně vidět datové a komunikační toky. To vytváří slepá místa, která brání plnému pochopení otevřených rizik, kterým čelíte ve vaší síti POS systémů.
Rizika jsou tak vysoká, že je nelze opomenout, — nepodceňujte rizika. Zde opakuji, že vaše POS systémy jsou propojeny s mnoha důležitými aktivy vaší společnosti. Chci, abyste si plně uvědomili, že všechna taková zařízení samotná jsou vysoce exponovaná, protože k nim může mít přístup téměř kdokoli.
Má k nim přístup kdokoli od číšníka v restauraci po kolemjdoucího v obchodním domě. Škodlivou aplikaci si v nich může stáhnout každý přes USB.
Tato zařízení jsou také zranitelná vůči vzdáleným útokům přes internet, protože většina z nich se také připojuje k internetu.
Tolikrát bylo zjištěno, že mobilní aplikace prodejců mají zranitelnost, protože tyto aplikace používaly Bluetooth. Dokonce i další aplikace nainstalované na takových zařízeních představují další sadu hrozeb a zranitelností.
Většina systémových administrátorů sice umožňuje vzdálený internetový přístup k takovým zařízením za účelem podpory a údržby, ale totéž je vystavuje vzdáleným útokům. Výzkum společnosti Trustwave v roce 2017 tvrdil, že 62 % útoků na prostředí POS bylo dokončeno prostřednictvím vzdáleného přístupu.
Existuje také notoricky známý malware, pojmenovaný jako POSeidon. Tento malware obsahuje škrabku paměti a keylogger, takže podrobnosti o kreditní kartě a další přihlašovací údaje lze shromáždit na infikovaném počítači a odeslat je hackerům. POSeidon získává přístup prostřednictvím nástrojů vzdálené podpory třetích stran, jako je LogMeIn. Z tohoto snadného přístupového bodu pak mají útočníci prostor pro pohyb po obchodní síti eskalací uživatelských oprávnění nebo prováděním bočních pohybů.
Existuje celá řada variant takových POS malwarů.
Jde o to, že vaše POS systémy je těžké zabezpečit, přesto představují velmi vysoká rizika!
👉 JAK SE MŮŽETE BRANIT PROTI ÚTOKŮM NA POS SYSTÉMY?
Vaše společnost musí učinit zabezpečení POS vysokou prioritou.
Musíte zavést nejrůznější preventivní opatření, abyste mohli chránit své POS systémy a zabezpečit transakce vašich zákazníků. Mezi taková opatření patří přidávání aplikací na seznam povolených, omezení rizik aplikací POS, zajištění toho, aby byl software POS vždy aktuální, sledování aktivity v systémech POS, používání složitých a bezpečných hesel, nasazení dvoufaktorové autentizace (2FA), používání antivirového softwaru a fyzických bezpečnostních opatření. .
Některé konkrétní doporučené postupy jsou uvedeny níže:
➤ Proti takovýmto vektorům útoků se můžete bránit, pokud nasadíte správnou technologii, která je účelově vytvořena tak, aby zabránila malwarům POS. Tato technologie se může skládat z určité bílé listiny konkrétní technologie samotné, pomocí „podepisování kódu“, aby se zabránilo jakémukoli zásahu do kódu softwaru. Může to také zahrnovat používání „čteček čipů“, protože u čteček čipů vaši zákazníci nemusí vůbec otáčet svou kreditní/debetní kartou. Útočníkům by to znesnadnilo replikaci dat na kartě.
➤ Měli byste svým zaměstnancům poskytnout školení o tom, jaké bezpečnostní incidenty mohou nastat a jaké jsou bezpečnostní zásady vaší společnosti POS, které musí dodržovat.
Pro POS byste měli používat iPady. Fortinet vysvětluje, že k mnoha vysoce profilovaným POS útokům došlo v důsledku načtení malwaru do paměti POS systému. To umožňuje hackerovi nahrát další malwarové aplikace a krást data, aniž by si ho uživatelé nebo prodejci všimli. Ale, co je zásadní, tato metoda útoku vyžaduje, aby byla spuštěna druhá aplikace.
V důsledku toho mohou systémy iOS společnosti Apple pomoci předcházet útokům na POS, protože tento operační systém (OS) může vždy plně spustit pouze jednu aplikaci, zatímco zařízení POS se systémem Windows stále spoléhají na více aplikací současně. Organizace proto mohou používat iPad POS řešení k provozování svých POS systémů a snížit pravděpodobnost útoků POS.
➤ To zahrnuje zajištění toho, aby vaši zaměstnanci uzamkli svá zařízení na konci každého pracovního dne, pečlivě sledovali každé podnikové zařízení po celý den a zajistili zařízení na místech, kam má přístup jen několik důvěryhodných jednotlivců.
➤ Vždy pamatujte, že vaše POS zařízení jsou zranitelná vůči vzdáleným kybernetickým útokům. Proto by se tato zařízení nikdy neměla připojovat přímo k internetu. Měli byste se zaměřit na omezení zpracování důležitých obchodních úkolů, jako jsou transakce a zpracování plateb, abyste zajistili podnikové sítě. Bez ohledu na zdroje, ke kterým se potřebují připojit, by k nim měli přistupovat POUZE PŘES zabezpečené sítě vaší společnosti.
➤ Vaše společnost by měla usilovat o to, aby se stala společností vyhovující PCI-DSS. Abyste toho dosáhli, zavedete nejrůznější bezpečnostní opatření. Vaše společnost musí dodržovat všechny pravidla pro transakce prováděné na čtečkách karet, online nákupních vozících, sítích, směrovačích, serverech a papírových souborech.
————————–
Moje doporučení:
Váš hlavní cíl musí být způsob, jak získat ‚Viditelnost‘. Namísto čekání, až dojde k nějakému narušení, byste se měli velmi usilovně snažit získat plný kontextový přehled o vašem ekosystému POS a o tom, jak různé aplikace v tomto ekosystému mezi sebou komunikují. Pokud se to podaří, bezpečnostní týmy by jistě přesně identifikovaly všechny druhy podezřelých aktivit a kde k nim dochází.