Video: Soyalism | DW Documentary (Oktober 2024)
Minggu ini, penjahat cyber Rusia melanggar lebih dari 330.000 sistem point-of-sale (POS) yang diproduksi oleh anak perusahaan Oracle, Micros - salah satu dari tiga vendor perangkat keras POS terbesar di dunia. Pelanggaran ini berpotensi mengekspos data pelanggan di rantai makanan cepat saji, toko ritel, dan hotel di seluruh dunia.
Serangan POS bukan hal baru. Salah satu pelanggaran data terbesar dalam sejarah AS, hack Target, mengekspos lebih dari 70 juta catatan pelanggan untuk hacker, dan merugikan CEO dan CIO pengecer pekerjaan mereka. Pada saat serangan, terungkap bahwa serangan itu bisa dihindari jika Target telah menerapkan fitur auto-eradication dalam sistem anti-malware FireEye-nya.
Kenyataannya adalah bahwa sebagian besar serangan POS dapat dihindari. Ada banyak ancaman pada sistem POS Anda, tetapi ada banyak cara untuk memerangi serangan ini., Saya akan daftar enam cara perusahaan Anda dapat melindungi terhadap intrusi POS.
1. Gunakan iPad untuk POS
Sebagian besar serangan baru-baru ini, termasuk serangan Wendy dan Target, adalah hasil dari aplikasi malware yang dimuat ke dalam memori sistem POS. Peretas dapat secara diam-diam mengunggah aplikasi malware ke dalam sistem POS dan kemudian mencuri data, tanpa pengguna atau pedagang menyadari apa yang terjadi. Poin penting yang perlu diperhatikan di sini adalah aplikasi kedua harus dijalankan (selain aplikasi POS), jika tidak, serangan tidak akan terjadi. Inilah sebabnya mengapa iOS secara tradisional memfasilitasi lebih sedikit serangan. Karena iOS hanya dapat sepenuhnya menjalankan satu aplikasi pada satu waktu, jenis serangan ini jarang terjadi pada perangkat buatan Apple.
"Salah satu kelebihan Windows adalah menjalankan banyak aplikasi sekaligus, " kata Chris Ciabarra, CTO dan salah seorang pendiri Revel Systems. "Microsoft tidak ingin keuntungan itu hilang… tetapi mengapa Anda berpikir Windows crash sepanjang waktu? Semua aplikasi itu berjalan dan menggunakan semua memori Anda."
Agar adil, Revel Systems menjual sistem POS yang dirancang khusus untuk iPad, jadi Ciabarra berkepentingan untuk mendorong perangkat keras Apple. Namun, ada alasan mengapa Anda jarang, jika pernah, mendengar serangan POS yang terjadi pada sistem POS khusus Apple. Ingat saat iPad Pro diluncurkan? Semua orang bertanya-tanya apakah Apple akan mengaktifkan fungsionalitas multitasking sejati, yang akan memungkinkan dua aplikasi berjalan secara bersamaan pada kapasitas penuh. Apple meninggalkan fitur ini dari iPad Pro, sangat disesalkan semua orang kecuali para pengguna yang cenderung menjalankan perangkat lunak POS pada perangkat baru mereka.
2. Gunakan Enkripsi End-to-End
Perusahaan seperti Verifone menawarkan perangkat lunak yang dirancang untuk menjamin data pelanggan Anda tidak pernah terpapar oleh peretas. Alat-alat ini mengenkripsi informasi kartu kredit pada saat diterima di perangkat POS dan sekali lagi ketika dikirim ke server perangkat lunak. Ini berarti bahwa data tidak pernah rentan, terlepas dari di mana peretas mungkin memasang malware.
"Anda ingin unit terenkripsi point-to-point benar, " kata Ciabarra. "Kamu ingin datanya langsung dari unit ke gateway. Data kartu kredit bahkan tidak akan menyentuh unit POS."
3. Instal Antivirus pada Sistem POS
Ini adalah solusi sederhana dan jelas untuk mencegah serangan POS. Jika Anda ingin memastikan malware berbahaya tidak menyusup ke sistem Anda, instal perangkat lunak perlindungan titik akhir pada perangkat Anda.
Alat-alat ini akan memindai perangkat lunak pada perangkat POS Anda dan mendeteksi file atau aplikasi yang bermasalah yang perlu segera dihapus. Perangkat lunak ini akan memperingatkan Anda untuk masalah daerah dan membantu Anda memulai proses pembersihan yang diperlukan untuk menjamin malware tidak mengakibatkan pencurian data.
4. Kunci Sistem Anda
Meskipun sangat tidak mungkin bahwa karyawan Anda akan menggunakan perangkat POS Anda untuk tujuan jahat, masih ada banyak potensi untuk pekerjaan orang dalam atau bahkan hanya kesalahan manusia yang menyebabkan masalah besar. Karyawan dapat mencuri perangkat dengan perangkat lunak POS diinstal pada mereka, atau secara tidak sengaja meninggalkan perangkat di kantor atau di toko, atau kehilangan perangkat. Jika perangkat hilang atau dicuri, siapa pun yang kemudian mengakses perangkat dan perangkat lunak (terutama jika Anda tidak mengikuti aturan # 2 di atas) akan dapat melihat dan mencuri catatan pelanggan.
Untuk memastikan bahwa perusahaan Anda tidak menjadi korban pencurian semacam ini, pastikan untuk mengunci semua perangkat Anda di akhir hari kerja. Menyimpan semua perangkat setiap hari, dan mengamankannya di tempat yang tidak dapat diakses oleh siapa pun kecuali beberapa karyawan tertentu.
5. Jadilah PCI-Compliant dari Atas ke Bawah
Selain mengelola sistem POS, Anda harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) di semua pembaca kartu, jaringan, router, server, kereta belanja online, dan bahkan file kertas. Dewan Standar Keamanan PCI menyarankan perusahaan secara aktif memantau dan melakukan inventarisasi aset TI dan proses bisnis untuk mendeteksi kerentanan apa pun. Dewan juga menyarankan untuk menghapus data pemegang kartu kecuali benar-benar diperlukan, dan menjaga komunikasi dengan bank dan merek kartu untuk memastikan tidak ada masalah yang terjadi atau telah terjadi.
Anda dapat mempekerjakan penilai keamanan yang berkualifikasi untuk secara berkala meninjau bisnis Anda untuk menentukan apakah Anda mengikuti standar PCI atau tidak. Jika Anda khawatir tentang memberikan akses sistem Anda ke pihak ketiga, Dewan memberikan daftar penilai tersertifikasi.
6. Sewa Ahli Keamanan
"CIO tidak akan tahu segalanya yang akan diketahui pakar keamanan, " kata Ciabarra. "CIO tidak bisa tetap up-to-date tentang segala sesuatu yang terjadi dalam keamanan. Tapi tanggung jawab ahli keamanan adalah untuk tetap up-to-date dalam segala hal."
Jika perusahaan Anda terlalu kecil untuk menyewa ahli keamanan khusus selain seorang eksekutif teknologi, Anda setidaknya ingin mempekerjakan seseorang dengan latar belakang keamanan yang mendalam yang akan tahu kapan saatnya menghubungi pihak ketiga untuk meminta bantuan.
