С приближением праздничного сезона все больше внимания уделяется сектору розничной торговли, который, как ожидается, увидит беспрецедентную активность, поскольку покупатели в укрепляющейся экономике воспользуются сезонными скидками и еще более расширенными часами покупок. Однако, затмевая энергию праздничного сезона покупок, призрак прошлых утечек данных все больше и больше занимает умы потребителей и компаний. Когда они выхватят свои кредитные карты и проведут свои дебетовые карты через миллионы POS-терминалов в ноябре, будут ли данные на этих картах в безопасности или они получат выписку после праздников, чтобы обнаружить загадочные платежи и незнакомые покупки?

За последние несколько лет произошли сотни утечек данных крупных и мелких компаний. Конечно, в заголовки попадают те, в которых замешаны миллионы и десятки миллионов клиентов. Но что можно сделать с безопасностью клиентской информации? Где дыры? И есть ли надежда на победу над киберпреступниками, чья единственная работа — находить обходные пути и обход корпоративных мер безопасности?

Что ж, по мнению экспертов по кибербезопасности, есть надежда, по крайней мере, удержаться на плаву, но только если организации предпримут серьезные шаги по внедрению и неукоснительному соблюдению строгих, систематических планов, гарантирующих, что не только их системы, но и системы их партнеров и поставщиков защищены. защищен от утечек данных. Это требует, чтобы команды по ИТ-безопасности получали надлежащую поддержку и финансирование, а также чтобы обучение и осведомленность в области безопасности стали частью корпоративной культуры. Они подчеркивают, что пришло время для высшего руководства сделать безопасность данных одной из своих главных забот, и, учитывая стоимость утечек данных и частоту, с которой они происходят, было бы глупо спорить.

Давайте рассмотрим несколько вещей, которые мы узнали из крупнейших утечек данных в розничной торговле за последние несколько лет.

Урок 1: Проверяйте сторонних поставщиков

Таргет и Хоум Депо

Подробнее

В обоих случаях расследования обнаружили доказательства того, что данные продавались партиями в «темной паутине» в течение нескольких недель после их получения. Темная паутина в значительной степени состоит из набора форумов и веб-сайтов, где преступники могут покупать и продавать информацию о кредитных картах, персональную идентификационную информацию (PII), запрещенные вещества и любую незаконную контрабанду. Банки и эксперты по киберпреступности отслеживают эти форумы, выискивая признаки того, что данные их клиентов были скомпрометированы. Именно служба безопасности банка подняла первоначальный флаг, который привел к обнаружению утечки данных Home Depot.

Вскоре после того, как стало известно об утечке данных Home Depot,Брайан Кребс, один из ведущих журналистов-расследователей в области киберпреступности, отметил, что данные из последней утечки данных появились в продаже в том же подпольном «магазине», что и данные Target почти годом ранее. По его словам, следователи обнаружили, что кассы Home Depot, подвергшиеся атаке, были заражены разновидностью того же вредоносного ПО, которое использовалось в атаках Target. Это программное обеспечение предназначено для извлечения данных с карт, когда они проводятся по зараженной POS-системе.

Так как же вредоносное ПО вообще попало в систему? В обоих случаях преступники получили доступ к сетям через систему сторонний поставщик. В случае Target это была компания HVAC, которая обслуживает их холодильники — у них был доступ к системе Targets, чтобы они могли контролировать устройства в электронном виде. Home Depot также указала, что воры проникли «используя учетные данные, украденные у стороннего поставщика». Оказавшись внутри, они смогли воспользоваться уязвимостью в Microsoft Windows, на которой работает большинство POS-систем, чтобы загрузить вредоносную программу.

Чему мы научились?

Практика поиска корпоративных данных через поставщиков и дочерние компании становится все более распространенной. В то время как корпорации могут позволить себе проводить масштабные операции по кибербезопасности (хотя многие до сих пор предпочитали этого не делать), более мелкие поставщики могут испытывать трудности с поддержанием безопасности данных на самом высоком уровне. Таким образом, здесь есть урок, который следует извлечь как крупным корпорациям, так и их сторонним поставщикам. Урок? Сделайте это. Организации, чьи системы содержат персональные и финансовые данные десятков, а иногда и сотен миллионов клиентов, обязаны проверять поставщиков, с которыми они работают (и более мелкие компании, которые они приобретают) тщательно.  Системы должны быть настроены не только для обеспечения соблюдения протокола безопасности любым поставщиком, которому предоставлен доступ к вашей системе, но и должны быть внедрены процессы, чтобы они могли получить доступ только к тому, что абсолютно необходимо, и чтобы проверить, что меры безопасности в их собственных системах являются надежными и прочными. Некоторые вещи, на которые следует обратить внимание, как в вашем собственном протоколе безопасности, так и в протоколах ваших поставщиков:

• Удовлетворительны ли процедуры предоставления и удаления доступа к системам для сотрудников и соблюдаются ли они?
• Осуществляется ли регулярный и постоянный мониторинг журналов безопасности для обеспечения быстрого выявления любых атак или утечек данных?
• Какой протокол безопасности паролей используется? Обязаны ли сотрудники регулярно менять свои пароли? Хорошо ли они осведомлены о важности безопасности паролей, методах, которые используют преступники для получения информации о логинах и паролях, и что представляет собой безопасный пароль? Использует ли компания двухфакторную аутентификацию? (Последнее может и не быть «обязательным», но это, безусловно, хорошая идея.)
• Являются ли правила использования собственных устройств понятными, всеобъемлющими и тщательно ли они соблюдаются?
• Полностью ли защищено соединение между вашими сетями? Если конфиденциальные данные передаются туда и обратно, есть ли у них возможность должным образом их зашифровать?
• Безопасна ли их сеть на базовом уровне? Есть ли у них адекватные брандмауэры, антивирусное и антиспамовое программное обеспечение? Защищены ли их терминалы или любой желающий может просто зайти и получить доступ к их системе на месте? Что они делают со списанным оборудованием?
• Какова их политика исправления? Есть ли у них процесс, гарантирующий, что частые исправления от крупных поставщиков программного обеспечения, таких как Microsoft, применяются сразу после их появления?

Строго регулируемым отраслям, таким как финансовые услуги и страхование, уже давно рекомендуется (а во многих случаях и требуется) регулярно и тщательно проверять своих сторонних поставщиков. После недавних утечек данных становится ясно, что розничным организациям стоит последовать тому же совету.

Урок 2: Защита данных на всех уровнях должна быть приоритетной

eBay

 Чему мы научились?

В отчете Международный Бизнес таймс После атаки было сообщено о расследовании, проводимом соответствующими регулирующими органами:

Особый интерес вызовет отсутствие шифрования, используемого для защиты имен клиентов, адресов электронной почты, физических адресов, телефонных номеров и дат рождения. Следователи также проанализируют, почему eBay потребовалось почти три месяца, чтобы обнаружить хакеров, сколько времени потребовалось, чтобы устранить нарушение, и как долго компания ждала, чтобы уведомить власти и клиентов.

Знание того, что пошло не так в любой ситуации, помогает предотвратить совершение тех же ошибок в будущем. С ростом кражи личных данных и мошенничества с новыми учетными записями мы теперь знаем, что шифрование PII может быть таким же важным, как и шифрование финансовой информации. Мы также знаем, что утечки данных может быть трудно обнаружить, если не установлены правильные системы, которые гарантируют, что соответствующие данные будут своевременно проверены правильными людьми. Как и любой другой бизнес-процесс, обзоры журналов, пересмотры протоколов, обновления безопасности должны быть включены в рабочий процесс компании. Не только можно установить системы, которые гарантируют, что будут приняты все возможные меры для защиты конфиденциальной информации, но и правильная система может также позволить организации плавно интегрировать новые протоколы по мере возникновения новых угроз и нахождения новых решений. Учитывая темпы развития киберпреступности, для компаний теперь стало обязательным выдвинуть планы по всеобъемлющим системам безопасности данных на передний план и поднять температуру до «высокой».

Урок 3: Каждый человек должен участвовать в кибербезопасности

ПНИ Цифровые Медиа
(поставщик для CVS, Sam's Club, Costco, Rite Aid, Wal-Mart Canada и других)

Чему мы научились?

При таком малом количестве информации об утечке PNI эксперты высказывали много предположений о том, как это произошло, почему это было допущено и почему это оставалось незамеченным так долго. Хотя, возможно, не стоит слишком доверять предположениям по конкретному случаю, они могут дать много информации о всеобъемлющих проблемах безопасности розничных данных и кибербезопасности в целом.

Поддержка Интернет-безопасности на уровне совета директоров

Когда новость об утечке данных впервые появилась в июле этого года, Брайан Кребс отметил, что PNI Digital Media была приобретена Staples Corporation примерно в то же время, когда, как предполагается, впервые произошел взлом PNI, что казалось значительным, поскольку сама Staples пострадала от взлома, который длился около шести месяцев и раскрыл более миллиона записей о кредитных картах клиентов в середине 2014 года. Хотя это может быть или не быть доказательством того, что компания уделяет недостаточно внимания кибербезопасности, это тот случай, когда важность поддержки со стороны совета директоров усилий по обеспечению интернет-безопасности находится на переднем крае беспокойства экспертов по безопасности.

Это было еще больше подчеркнуто недавняя утечка в Experian который раскрыл персональные данные – включая номера социального страхования – 15 миллионов клиентов T-Mobile. Во время расследования этого дела Кребс опросил нескольких экспертов по безопасности, которые покинули команду безопасности Experian, поскольку компания отказалась выделить достаточные ресурсы для защиты крайне конфиденциальной информации, хранящейся в цифровых файлах кредитного бюро.

После масштабного взлома в Target в 2013 году возникли похожие опасения, поскольку CIO компании ушла в отставку, и на ее место искали нового CIO, CISO и CCO. Является ли большее лидерство наверху решением проблемы, еще предстоит выяснить, но необходимость для C-suite лучше понимать и более внимательно следить за своими протоколами цифровой безопасности становится очевидной.

Обучение сотрудников

Одним из самых популярных методов проникновения для киберпреступников является фишинг. Очень просто узнать, кто работает в определенной компании и в каком отделе. С помощью небольшого скрытного общения в социальных сетях и, казалось бы, безобидного контакта по электронной почте киберпреступники могут получить большую часть информации, необходимой им для доступа к информации о логине и пароле, которая может предоставить им широкий доступ к корпоративным сетям. В наши дни сотрудники должны быть хорошо осведомлены о методах, которые преступники используют для получения конфиденциальной информации. От канцелярских работников до руководителей высшего звена, каждый должен понимать основные профилактические меры, такие как то, как распознать попытку фишинга и как создавать и поддерживать надежные пароли, а корпоративная политика должна обеспечивать для них необходимость следовать протоколу безопасности.

Профессиональная экспертиза извне компании

Еще одна повторяющаяся тема, поскольку компании стремятся быть в курсе предотвращения киберпреступности, — это вопрос о том, следует ли доверять безопасность данных экспертам. Даже для очень крупных компаний, которые могут содержать команды безопасности, которые могут работать так же, как независимый подрядчик по безопасности, реальность такова, что эти команды часто испытывают трудности с получением необходимых им ресурсов в среде, где их успех может не быть главным приоритетом. Напротив, агентство безопасности полностью полагается на эту силу, чтобы оставаться в бизнесе — у него нет других задач. Внешние агентства могут быть объективными и расставлять приоритеты в отношении безопасности, опираясь на широкий спектр опыта и глубокие знания и экспертные знания. Это, по сути, одно из главных преимуществ перехода в облако, если выбран правильный поставщик услуг. Надежный облачный хостер признает, что безопасность его серверов и его способность защищать доверенные ему данные имеют решающее значение для его дальнейшего существования. По этой причине облачные серверы вполне могут стать одними из самых безопасных мест для хранения данных в будущем.

Правительственные меры по борьбе с киберпреступностью

Эксперты разделились во мнении о том, действительно ли правительства могут многое сделать, чтобы остановить волну киберпреступности, которая по своей природе действует независимо от национальных границ. Однако многие считают, что правительствам придется вмешаться, и вскоре, прежде чем стоимость киберпреступности превзойдет выгоды от ведения бизнеса в киберпространстве. Был выдвинут призыв к созданию международного руководящего органа, который не только будет работать над тем, чтобы остановить киберпреступников, но и будет регулировать меры безопасности, чтобы компании по всему миру были обязаны использовать надежную базу методов предотвращения и обнаружения.

Индивидуальной кибергигиена 

Наконец, пришло время потребителям признать, что им придется усилить свою личную защиту в Интернете, если они хотят сохранить свою финансовую и персональную идентификационную информацию (PII) в безопасности от преступников. Так же, как когда-то пришло время, когда люди начали запирать двери и держать детей поближе к дому, теперь пришло время принять определенные меры предосторожности в виртуальном мире. Это будет означать, что определенные неудобства, такие как использование другого пароля для каждую Онлайн-сервис и хранение этих паролей в защищенном приложении или, что еще лучше, в собственных воспоминаниях должны стать делом привычки. Предложения по кредитным картам и займам, которые когда-то можно было выбросить как спам, теперь необходимо уничтожать или иным образом безопасно утилизировать, а кредитные отчеты следует просматривать каждый месяц. Люди должны быть внимательны и не открывать электронные письма с незнакомых адресов или не нажимать на неизвестные ссылки. Даже телефонные звонки, которые, как кажется, поступают от безобидных юристов или даже знакомых учреждений, таких как банки и рабочие места, в наши дни могут быть попытками фишинга. Чем больше потребителей узнают о том, как защитить себя от мошенничества и кражи личных данных, тем меньше претензий придется покрывать компании и тем меньше магазин теряет на мошеннических покупках, которые никто — ни держатель кредитной карты, ни компания, выдавшая кредитную карту, ни мошенник с кредитной картой — не будет покрывать. Более того, клиент, который знает, как защитить себя, будет больше уверен в безопасности своей информации, а более информированный потребитель всегда будет выгоден рынку.

Пришло время всем признать киберпреступность одной из главных угроз экономической безопасности, с которой сталкиваются отдельные лица и корпорации в современном мире. Мы пока не знаем, как полностью остановить киберпреступников, но еще многое предстоит сделать, прежде чем мы сможем сказать как сообщество, что сделали все, что могли.

Изображение на обложке: «System Lock» от Юрий СамойловЧерез Flickr, некоторые права защищены