Video: Upserve POS Demo – Backend Reporting [Restaurant POS System] (Oktober 2024)
I desember 2013 erkjente Target at en hacker fikk tilgang til mer enn 70 millioner av sine kundekreditt- og debetkortnumre via selskapets salgs-system (POS). Et av de største datainnbruddene i USAs historie, Target hack koste selskapets administrerende direktør og CIO jobbene sine.
Dessverre for alle involverte, kunne hacket blitt unngått hvis bare Target-ledere hadde implementert funksjonen for automatisk utryddelse i FireEye-antivirusprogrammet. FireEye-verktøyet fanget malware-koden i november samme år og kunne ha slettet den fra Targets nettverk før noen av dataene ble hentet.
Selv om det fremdeles er uklart hvordan hackeren infiserte Targets nettverk med skadelig programvare, er det mange måter å utnytte et selskaps POS-system. For små til mellomstore bedrifter (SMB) er truslene enda større og rikere enn for større virksomheter. Dette er fordi de fleste SMBer ikke har ressurser til å lage de nødvendige sikkerhetsbegrensningene for å holde hackere i sjakk (eller til å treffe hvis hackere infiltrerer systemene deres)., vil vi undersøke de åtte øverste sikkerhetsproblemene i POS som truer SMB i dag. Vi forteller deg ikke bare hva du skal se etter, men hvordan du kan være trygg.
1. Leverandører som administrerer encyclotaster uten maskinvaresikkerhetsmodul
Her er problemet for hånden: Hvis selskapet lagrer krypteringsinformasjon på samme sted der det lagrer brukerdata, legger du alle eggene dine i en skjør kurv. Hvis du imidlertid fysisk holder krypteringsnøkkeldata atskilt fra brukerdata, vil en hacker som får tilgang til brukerdataene ikke ha tilgang til krypteringsinformasjonen.
En maskinvaresikkerhetsmodul er en fysisk enhet som lagrer krypteringsdataene dine. Du kan koble denne enheten direkte til datamaskinene eller serverne dine for å få tilgang til POS-data når den først er lastet opp til nettverket ditt. Det er enda et trinn i avlastingen av data, men det er ikke så vanskelig som å forklare firmaets advokat hvorfor dine kundedata er i andres hender.
2. Forretningsnettverk med usegmenterte POS-data
Hvis bedriften bruker bedriftsnettverket til å sende system- og sikkerhetsoppdateringer til POS-datamiljøer og enheter, setter du virksomheten din alvorlig risiko. I dette scenariet, hvis en hacker får tilgang til nettverket ditt, har han eller hun også fått tilgang til alle POS-dataene dine.
Bedrifter med dype lommer og IT-eksperter skiller disse to nettverkene fra hverandre og lager små veier fra forretningsnettverket til POS-datamiljøet for å gjøre systemendringer. Dette er Fort Knox-versjonen av POS-sikkerhet. Imidlertid er det utrolig vanskelig og dyrt å konfigurere. Så, mindre organisasjoner nøyer seg ofte med å aktivere multifaktorautentisering (MFA) fra forretningsnettverket til POS-enheten. Dette er ikke et drømmesikkerhetsscenario, men det er det sikreste alternativet som er tilgjengelig for beskjedne selskaper.
En annen viktig merknad her: Kaféer og restauranter som tilbyr Wi-Fi til kunder, bør sørge for at POS-enhetene deres ikke er koblet til det samme nettverket. Når en hacker setter seg ned, nipper til latte og får tilgang til Wi-Fi-en, kan han eller hun deretter finne en vei inn i POS-datamiljøet.
3. Kjører på gamle operativsystemer
Ikke alle vil oppdatere til Microsoft Windows 10. Jeg får det til. Fint, men hvis du fremdeles kjører en gammel versjon av Windows, ber du om problemer. Microsoft avsluttet støtten for Windows XP i 2009, for Microsoft Windows Vista i 2012, og for Microsoft Windows 7 i 2015 - og den vil avslutte støtten for Microsoft Windows 8 i 2018. Hvis du har bedt Microsoft om utvidet støtte, vil du være trygt i minst fem år etter opphør av mainstream-støtte. Hvis du ikke har utvidet støtten din eller hvis utvidet støtte er bortfalt (som med Windows XP), er det viktig å merke seg at Microsoft ikke lenger vil legge til sikkerhetsoppdateringer for å løse problemer som oppstår i operativsystemet (OS). Så hvis hackere finner et inngangspunkt i programvaren, vil du være POS-data.
4. Standard produsent passord
Selv om du er en tallveiviser som kan huske de intrikate passordene som leveres av POS-enhetens produsent, er det utrolig viktig at du endrer passordet når du har koblet enheten til programvaren din. Det er fordi hackere har vært kjent for å trekke lister over disse passordene fra produsentenes nettverk og spore dem tilbake til enhetene dine. Så selv om du tok alle forholdsregler som mulig for å sikre dine data, lar du fortsatt døra være ulåst for hackere.
5. Bedrageriske enheter
Sørg for at du samarbeider med et selskap med et solid rykte. Ellers kan det hende du kan avvikle med å kjøpe et uredelig POS-system, som egentlig er et spill for bedriften og kundedataene dine. Ved direkte å få tilgang til kundens kredittkort, kan disse kjeltringene trekke data uten at du eller kunden din vet at noe gikk galt. Disse maskinene forteller bare kunden at transaksjonen ikke kan fullføres, slik at kunden kan tro at det er et problem med kredittkortet hans eller at det er et problem med back-end-systemet. Faktisk trekker maskinen ganske enkelt inn kundens data uten at noen er klokere.
6. Malware via phishing
Det er viktig at du varsler dine ansatte om ikke å åpne mistenkelige e-poster. Hackere legger inn lenker i e-post som, hvis de blir klikket, gir dem tilgang til din ansattes datamaskin. Når hackeren har tatt kontroll over maskinen, kan han eller hun navigere gjennom nettverket og serverne dine for å få tilgang til data. Hvis du er heldig nok til å ikke lagre POS-dataene dine i det samme nettverksmiljøet, er du fremdeles ikke i det fjerne, da hackere eksternt kan få tilgang til en POS-enhet som er koblet til den kaprede datamaskinen.
7. RAM-skraping
Dette er et gammeldags angrep som fortsatt har litt bitt. RAM-skraping er en teknikk som angriperne ripper kredittkortdata fra POS-enhetens minne før de blir kryptert i nettverket ditt. Som jeg nevnte før, bør det å holde POS-systemene dine isolert fra virksomhetsnettverket begrense denne typen angrep (gitt at hackere har færre inngangspunkter til POS-enheter enn de gjør til bedriftsnettverket). Imidlertid bør du også stramme firmaets brannmurer for å sikre at POS-systemer bare kommuniserer med kjente enheter. Dette vil begrense måtene hackere kan få tilgang til dataene på POS-enhetene dine ved å tvinge dem til å kapre datamaskiner eller servere i nettverket ditt for å skrape RAM.
8. Skimming
Dette er en enkel å ignorere, da det krever sikkerhet på bakken for å sikre at ingen tegnehåndterer dine POS-enheter. I hovedsak krever skimming hackere å installere maskinvare på POS-enheten, som deretter lar dem skanne kredittkortinformasjon. Dette kan også gjøres via malware hvis du ikke har fulgt noen av trinnene jeg nevnte tidligere. Hvis du driver flere grener, er det viktig at du overvåker hvordan POS-enhetene dine brukes og av hvem.
