6 خطوات لتأمين نظام نقاط البيع

هذا الأسبوع ، قام مجرمو الإنترنت الروس باختراق أكثر من 330،000 نظام نقاط بيع (POS) تم تصنيعه من قِبل شركة Oracle Micros الفرعية - أحد أكبر بائعي أجهزة نقاط البيع في العالم. من المحتمل أن يؤدي الاختراق إلى كشف بيانات العملاء في سلاسل الوجبات السريعة ومحلات البيع بالتجزئة والفنادق حول العالم.

هجمات نقاط البيع ليست جديدة. واحدة من أكبر انتهاكات البيانات في تاريخ الولايات المتحدة ، اخترق المستهدف ، أكثر من 70 مليون سجل عميل للمتسللين ، وكلف الرئيس التنفيذي لشركة التجزئة و CIO وظائفهم. في وقت الهجوم ، تم الكشف عن أن الهجوم كان يمكن تجنبه إذا كان Target قد نفذ ميزة الاستئصال التلقائي ضمن نظام مكافحة البرامج الضارة FireEye الخاص به.

الحقيقة هي أنه يمكن تجنب معظم هجمات نقاط البيع. هناك العديد من التهديدات لأنظمة نقاط البيع لديك ولكن هناك العديد من الطرق لمكافحة هذه الهجمات. ، سأدرج ست طرق يمكن لشركتك حمايتها من تدخلات نقاط البيع.

1. استخدم جهاز iPad لنظام نقاط البيع

معظم الهجمات الأخيرة ، بما في ذلك هجمات Wendy's و Target ، كانت نتيجة لتطبيقات البرامج الضارة التي تم تحميلها في ذاكرة نظام POS. يمكن للمتسللين تحميل تطبيقات البرامج الضارة سراً إلى أنظمة نقاط البيع ثم سرقة البيانات ، دون أن يدرك المستخدم أو التاجر ما حدث. النقطة المهمة التي يجب ملاحظتها هنا هي أن التطبيق الثاني يجب أن يكون قيد التشغيل (بالإضافة إلى تطبيق POS) ، وإلا فلن يحدث الهجوم. هذا هو السبب في أن نظام التشغيل iOS قد سهل تقليديا هجمات أقل. نظرًا لأن نظام التشغيل iOS قادر فقط على تشغيل تطبيق واحد بالكامل في المرة الواحدة ، نادرًا ما تحدث هذه الأنواع من الهجمات على الأجهزة التي صنعتها شركة Apple.

وقال كريس تشابارا ، CTO ومؤسس شركة Revel Systems: "أحد مزايا Windows هو تشغيل العديد من التطبيقات في آن واحد". "لا ترغب Microsoft في إبعاد هذه الميزة… ولكن لماذا تعتقد أن Windows يتعطل طوال الوقت؟ كل هذه التطبيقات تعمل وتستخدم كل ذاكرتك."

لكي نكون منصفين ، تبيع Revel Systems أنظمة نقاط البيع المصممة خصيصًا لأجهزة iPad ، لذلك من مصلحة Ciabarra دفع أجهزة Apple. ومع ذلك ، هناك سبب نادراً ما تسمع ، إن حدث من قبل ، عن هجمات نقاط البيع التي تحدث على أنظمة نقاط البيع الخاصة بـ Apple. أتذكر عندما تم كشف النقاب عن جهاز iPad Pro؟ تساءل الجميع عما إذا كانت Apple ستقوم بتمكين وظيفة تعدد المهام الحقيقية ، والتي ستسمح بتشغيل تطبيقين في وقت واحد بكامل طاقتهما. لقد تركت Apple هذه الميزة من جهاز iPad Pro ، مما أثار غضب الجميع باستثناء المستخدمين الذين من المحتمل أن يشغلوا برنامج نقاط البيع على أجهزتهم الجديدة.

2. استخدام التشفير من النهاية إلى النهاية

تقدم شركات مثل Verifone برنامجًا مصممًا لضمان عدم تعرض بيانات عميلك للمتسللين أبدًا. تقوم هذه الأدوات بتشفير معلومات بطاقة الائتمان والثانية التي يتم استلامها على جهاز POS ومرة ​​أخرى عندما يتم إرسالها إلى خادم البرنامج. هذا يعني أن البيانات ليست عرضة أبدًا ، بغض النظر عن المكان الذي قد يقوم فيه المتسللون بتثبيت البرامج الضارة.

وقال تشابارا "تريد وحدة مشفرة حقيقية من نقطة إلى نقطة". "تريد أن تنتقل البيانات مباشرة من الوحدة إلى البوابة. حتى بيانات بطاقة الائتمان لن تمس وحدة نقاط البيع."

3. تثبيت مكافحة الفيروسات على نظام POS

هذا حل بسيط وواضح لمنع هجمات نقاط البيع. إذا كنت تريد التأكد من أن البرامج الضارة الضارة لا تتسلل إلى نظامك ، فقم بتثبيت برنامج حماية نقطة النهاية على جهازك.

ستقوم هذه الأدوات بمسح البرنامج ضوئيًا على جهاز POS الخاص بك والكشف عن الملفات أو التطبيقات الإشكالية التي يجب إزالتها على الفور. سوف ينبهك البرنامج إلى مناطق المشاكل ويساعدك على بدء عملية التطهير المطلوبة لضمان ألا تؤدي البرامج الضارة إلى سرقة البيانات.

4. قفل أسفل الأنظمة الخاصة بك

على الرغم من أنه من غير المحتمل أن يستخدم موظفوك أجهزة نقاط البيع الخاصة بك لأغراض ضارة ، إلا أنه لا يزال هناك الكثير من الإمكانيات للوظائف الداخلية أو حتى الأخطاء البشرية فقط للتسبب في مشكلة كبيرة. يمكن للموظفين سرقة الأجهزة مع تثبيت برنامج POS عليها أو ترك الجهاز عن طريق الخطأ في المكتب أو في أحد المتاجر أو فقد الجهاز. إذا فقدت الأجهزة أو سُرقت ، فسيتمكن أي شخص يصل إلى الجهاز والبرنامج (خاصة إذا لم تتبع القاعدة رقم 2 أعلاه) من عرض وسرقة سجلات العملاء.

لضمان عدم وقوع شركتك ضحية لهذا النوع من السرقة ، تأكد من قفل جميع أجهزتك في نهاية يوم العمل. يتم حساب جميع الأجهزة يوميًا ، وتأمينها في مكان لا يستطيع الوصول إليه سوى عدد قليل من الموظفين.

5. كن متوافق مع PCI من أعلى إلى أسفل

بالإضافة إلى إدارة أنظمة نقاط البيع الخاصة بك ، ستحتاج إلى الامتثال لمعايير أمان بيانات صناعة بطاقة الدفع (PCI DSS) عبر جميع برامج قراءة البطاقات والشبكات وأجهزة التوجيه والخوادم وعربات التسوق عبر الإنترنت وحتى الملفات الورقية. يقترح مجلس معايير PCI للأمان أن تقوم الشركات بمراقبة جرد أصول تكنولوجيا المعلومات والعمليات التجارية بشكل نشط من أجل اكتشاف أي ثغرة أمنية. يقترح المجلس أيضًا حذف بيانات حامل البطاقة ما لم يكن ذلك ضروريًا للغاية ، والحفاظ على التواصل مع البنوك والعلامات التجارية للبطاقات لضمان عدم حدوث مشكلات أو حدوثها بالفعل.

يمكنك تعيين مقيمين أمنيين مؤهلين لمراجعة أعمالك بشكل دوري لتحديد ما إذا كنت تتبع معايير PCI أم لا. إذا كنت مهتمًا بإتاحة الوصول إلى أنظمتك لطرف ثالث ، فإن المجلس يقدم قائمة من المقيّمين المعتمدين.

6. توظيف خبراء الأمن

وقال تشابارا: "لن يدرك مدير المعلومات أن كل شيء يعرفه خبير أمني". "لا يمكن لمديري المعلومات (CIO) أن يظلوا على اطلاع دائم على كل ما يحدث في الأمن. لكن مسؤولية خبير الأمن وحدها هي البقاء على اطلاع دائم على كل شيء."

إذا كانت شركتك أصغر من أن تقوم بتعيين خبير أمني متخصص بالإضافة إلى مسؤول تنفيذي في التكنولوجيا ، فأنت على الأقل ترغب في توظيف شخص لديه خلفية أمنية عميقة تعرف متى حان الوقت للوصول إلى جهة خارجية للحصول على المساعدة.