Video: Tecniche di Vendita: L'ANTI Ci Voglio Pensare Su | ICDV #8 (Settembre 2024)
Questa settimana, i criminali informatici russi hanno violato più di 330.000 sistemi di punti vendita (POS) prodotti dalla controllata Oracle Micros, uno dei tre maggiori fornitori di hardware POS al mondo. La violazione ha potenzialmente esposto i dati dei clienti nelle catene di fast food, nei negozi al dettaglio e negli hotel di tutto il mondo.
Gli attacchi POS non sono nuovi. Una delle più grandi violazioni dei dati nella storia degli Stati Uniti, l'hack Target, ha esposto oltre 70 milioni di record di clienti agli hacker e ha costato il posto di lavoro al CEO e al CIO del rivenditore. Al momento dell'attacco, è stato rivelato che l'attacco avrebbe potuto essere evitato se Target avesse implementato la funzione di eradicazione automatica all'interno del suo sistema antimalware FireEye.
La realtà è che la maggior parte degli attacchi POS può essere evitata. Esistono molte minacce ai tuoi sistemi POS, ma esistono altrettanti modi per combattere questi attacchi., Elencherò sei modi in cui la tua azienda può proteggersi dalle intrusioni POS.
1. Utilizzare un iPad per POS
La maggior parte degli attacchi recenti, inclusi gli attacchi di Wendy e Target, sono stati il risultato di applicazioni malware caricate nella memoria del sistema POS. Gli hacker sono in grado di caricare segretamente app di malware nei sistemi POS e quindi di trasferire i dati, senza che l'utente o il commerciante realizzino cosa è successo. Il punto importante da notare qui è che deve essere in esecuzione una seconda app (oltre all'app POS), altrimenti l'attacco non può verificarsi. Questo è il motivo per cui iOS ha tradizionalmente facilitato un minor numero di attacchi. Poiché iOS è in grado di eseguire solo un'app alla volta, questi tipi di attacchi si verificano raramente su dispositivi Apple.
"Uno dei vantaggi di Windows è avere più app in esecuzione contemporaneamente", ha affermato Chris Ciabarra, CTO e cofondatore di Revel Systems. "Microsoft non vuole che questo vantaggio scompaia… ma perché pensi che Windows si blocchi continuamente? Tutte quelle app sono in esecuzione e utilizzano tutta la tua memoria."
Ad essere onesti, Revel Systems vende sistemi POS appositamente progettati per l'iPad, quindi è nell'interesse di Ciabarra spingere l'hardware di Apple. Tuttavia, c'è una ragione per cui raramente, se mai, si sente parlare di attacchi POS che si verificano su sistemi POS specifici di Apple. Ricordi quando è stato presentato l'iPad Pro? Tutti si chiedevano se Apple avrebbe abilitato la vera funzionalità multitasking, che avrebbe permesso a due app di funzionare simultaneamente a piena capacità. Apple ha lasciato questa funzionalità al di fuori dell'iPad Pro, con grande disappunto di tutti tranne gli utenti che probabilmente eseguivano il software POS sui loro nuovi dispositivi.
2. Utilizzare la crittografia end-to-end
Aziende come Verifone offrono software progettato per garantire che i dati dei tuoi clienti non vengano mai esposti agli hacker. Questi strumenti crittografano le informazioni della carta di credito nel momento in cui vengono ricevute sul dispositivo POS e ancora una volta quando vengono inviate al server del software. Ciò significa che i dati non sono mai vulnerabili, indipendentemente da dove gli hacker potrebbero installare malware.
"Volete una vera unità crittografata punto a punto", ha detto Ciabarra. "Volete che i dati vadano direttamente dall'unità al gateway. I dati della carta di credito non toccheranno nemmeno l'unità POS."
3. Installare l'antivirus sul sistema POS
Questa è una soluzione semplice ed evidente per prevenire attacchi POS. Se vuoi assicurarti che malware dannosi non si infiltrino nel tuo sistema, installa il software di protezione degli endpoint sul tuo dispositivo.
Questi strumenti eseguiranno la scansione del software sul dispositivo POS e rileveranno file o app problematici che devono essere immediatamente rimossi. Il software ti avviserà delle aree problematiche e ti aiuterà a iniziare il processo di pulizia necessario per garantire che il malware non provochi il furto di dati.
4. Blocca i tuoi sistemi
Sebbene sia altamente improbabile che i tuoi dipendenti utilizzino i tuoi dispositivi POS per scopi nefasti, c'è ancora un sacco di potenziale per lavori interni o anche solo errori umani che causano enormi problemi. I dipendenti possono rubare dispositivi con il software POS installato su di essi, o lasciare accidentalmente il dispositivo in ufficio o in un negozio o perdere il dispositivo. Se i dispositivi vengono smarriti o rubati, chiunque acceda quindi al dispositivo e al software (specialmente se non hai seguito la regola 2 di cui sopra) sarà in grado di visualizzare e rubare i record dei clienti.
Per garantire che la tua azienda non sia vittima di questo tipo di furto, assicurati di bloccare tutti i tuoi dispositivi alla fine della giornata lavorativa. Contava tutti i dispositivi ogni giorno e li proteggeva in un luogo a cui solo un ristretto numero di dipendenti ha accesso.
5. Essere conformi PCI dall'alto verso il basso
Oltre a gestire i tuoi sistemi POS, ti consigliamo di conformarti allo standard PCI DSS (Payment Card Industry Data Security Standard) su tutti i lettori di carte, reti, router, server, carrelli della spesa online e persino file cartacei. Il PCI Standards Council suggerisce alle aziende di monitorare attivamente e fare l'inventario delle risorse IT e dei processi aziendali al fine di rilevare eventuali vulnerabilità. Il Consiglio suggerisce inoltre di eliminare i dati dei titolari di carta se non assolutamente necessario e di mantenere la comunicazione con banche e marchi di carte per garantire che non si verifichino o si siano già verificati problemi.
Puoi assumere valutatori della sicurezza qualificati per rivedere periodicamente la tua attività per determinare se stai seguendo gli standard PCI. Se sei preoccupato di consentire l'accesso dei tuoi sistemi a terzi, il Consiglio fornisce un elenco di valutatori certificati.
6. Assumi esperti di sicurezza
"Il CIO non saprà tutto ciò che un esperto di sicurezza saprà", ha dichiarato Ciabarra. "Il CIO non può rimanere aggiornato su tutto ciò che sta accadendo nella sicurezza. Ma la sola responsabilità di un esperto in sicurezza è quella di rimanere aggiornato su tutto".
Se la tua azienda è troppo piccola per assumere un esperto di sicurezza dedicato oltre a un dirigente della tecnologia, almeno vorrai assumere qualcuno con un profondo background di sicurezza che saprà quando è il momento di contattare un terzo per chiedere aiuto.
