Awareness

Безопасность данных POS-терминалов — проблема для киосков быстрого питания

by Альянс Лазаря 0 комментарий

Безопасность данных POS?

В следующий раз, когда вы купите бургер в McDonald's или Wendy's, компьютер может спросить: «Вам картошку фри к этому?» После десятилетий зависимости от людей, которые принимали заказы (и платили), американские сети быстрого питания наконец-то вступают в компьютерную эпоху, чему способствуют рост минимальной заработной платы, ужесточение рынка труда, стремление к эффективности и растущее число потребителей, разбирающихся в Интернете и предпочитающих взаимодействовать с компьютерами, а не с живыми клерками.

Восстание машин: безопасность данных в POS-терминалах по-прежнему будет оставаться проблемой.Обсуждение этого «Восстания машин» в СМИ в основном было сосредоточено вокруг минимальной заработной платы и вытеснения низкоквалифицированной рабочей силы. В разговоре отсутствовало какое-либо упоминание о безопасности системы точек продаж (POS) в этих автоматизированных системах заказов – даже несмотря на то, что Wendy's, которая недавно объявила будет массово запущено размещение киосков заказов, пострадал от нарушения безопасности данных POS в начале этого года. Нарушение скомпрометировано около 300 локаций, продолжалось несколько месяцев и привело к коллективному иску, в котором сеть ресторанов быстрого питания обвинялась в ненадлежащих процедурах защиты данных.

Автоматизированные системы заказов не являются чем-то новым. Региональные магазины шаговой доступности Wawa (со штаб-квартирой недалеко от Филадельфии) и Sheetz (сеть в районе Питтсбурга), оба из которых имеют обширные меню деликатесов и горячих блюд, установили сенсорные экраны для заказов более десяти лет назад. Однако эти системы, в отличие от тех, которые собираются установить Wendy's и другие рестораны быстрого питания, принимают только заказы на еду и не обрабатывают платежи клиентов; клиенты получают распечатанные квитанции о заказе, которые нужно отнести кассиру для оплаты. И, конечно же, на заправочных станциях, в супермаркетах и ​​некоторых розничных магазинах уже много лет есть линии самообслуживания.

Удивительно, что крупным сетям быстрого питания потребовалось так много времени, чтобы автоматизировать заказы и платежи клиентов, — и именно здесь кроется проблема безопасности данных POS.

В некотором смысле автоматизация в индустрии быстрого питания похожа на автоматизацию в сфере здравоохранения. Как уже упоминалось в предыдущих блогах, Одной из причин, по которой отрасль здравоохранения так подвержена кибератакам, является то, что она годами цеплялась за бумажные записи, а когда она наконец автоматизировалась, то сделала это практически за одну ночь, без какого-либо обучения сотрудников. Аналогично, большинство компаний быстрого питания продолжали использовать людей намного дольше, чем им было нужно. Толчок к автоматизации заказов в сфере быстрого питания довольно новый, но очень сильный; по крайней мере одна крупная сеть заявил, что спешит внедрить автоматизацию в связи с повышением минимальной заработной платы на уровне города и штата.

Поскольку индустрия быстрого питания известна своей крайне низкой нормой прибыли и агрессивным сокращением расходов, а ее основная специализация — приготовление бургеров, а не обеспечение безопасности данных POS, пока неясно, будут ли сети быстрого питания серьезно относиться к кибербезопасности или повторят ошибки отрасли здравоохранения.

Однако, как показали атаки программ-вымогателей и утечки данных, затронувшие сферу здравоохранения, ни одна отрасль не может позволить себе пренебрежительное отношение к кибербезопасности, особенно при установке совершенно новых систем. Индустрии быстрого питания необходимо действовать на опережение, поскольку она переходит от обслуживания официантами к киоскам самообслуживания. Среди мер, которые могут принять рестораны, можно назвать следующие:

  1. Проведите обзор своих политик и процедур безопасности, чтобы обеспечить соответствие стандарту PCI DSS. Соблюдение стандарта PCI DSS является обязательным для любой компании, принимающей платежные карты, и процедуры всегда следует пересматривать при установке новой системы, чтобы гарантировать сохранение соответствия стандарту PCI DSS. Ниже представлен полезный краткий обзор основ соответствия стандарту PCI DSS.
  2. Обязательно приобретайте новую систему у надежного дилера. Поскольку киоски быстрого заказа еды — это отрасль, которая вот-вот взорвется, неизбежно появятся теневые дилеры, предлагающие, по-видимому, фантастические предложения по новым системам, которые на поверку оказываются с множественными уязвимостями безопасности. Убедитесь, что вы покупаете свое оборудование у известной, авторитетной компании.
  3. Убедитесь, что ваша новая POS-система может работать с технологией EMV или картами с «чипами». Одним из способов, с помощью которых хакеры атакуют POS-системы, является установка скиммеров карт, которые крадут данные с магнитной полосы, используемой в старых платежных картах. Карты с чипом устраняют эту проблему. Однако в настоящее время не все платежные карты оснащены чипом, поэтому важно не оставлять киоски самообслуживания полностью без присмотра. Имейте на месте хотя бы несколько сотрудников, обученных обнаруживать скиммеры карт.
  4. Если вы предлагаете своим клиентам бесплатный Wi-Fi, не настраивайте свои POS-терминалы на доступ к нему. В противном случае хакер может проникнуть в ваш магазин и использовать Wi-Fi, чтобы проникнуть в вашу систему.
  5. Следите за подозрительной активностью ваших POS-терминалов. Получают ли ваши терминалы доступ или взаимодействуют ли с ними неизвестные внешние источники? Как и любая другая сеть, POS-системы должны контролироваться на предмет подозрительной активности; если бы Wendy's контролировала свои системы, утечка, от которой пострадала компания, возможно, не осталась бы так долго незамеченной.
  6. Разработайте комплексный план кибербезопасности, включающий обучение по защите данных POS-терминалов для всех сотрудников, имеющих доступ к компьютерам ресторана. Защита данных платежных карт ваших клиентов так же важна, как соблюдение правил безопасности пищевых продуктов и санитарных норм.

Безопасность данных POS-терминалов не должна быть проблемой!

Поскольку индустрия быстрого питания так долго полагалась на ручное оформление заказов, переход к автоматизации может показаться владельцам ресторанов сложным или даже непосильным. Именно поэтому ресторанам стоит обратиться за услугами профессиональной компании по кибербезопасности, такой как Lazarus Alliance. Эксперты по кибербезопасности из Lazarus Alliance обладают глубокими знаниями в области кибербезопасности, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить вашу POS-систему от нарушений.

Мы предлагаем полный спектр услуг по оценке рисков и программное обеспечение Continuum GRC для защиты компаний от утечек данных, фишинговых атак и других киберугроз, а также помогаем им получить и поддерживать соответствие стандарту PCI DSS. Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в кибербезопасности и узнать, как мы можем помочь вашему ресторану защитить данные POS-терминалов и обеспечить соответствие стандарту PCI DSS.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт:

Майкл Питерс — видный эксперт по кибербезопасности и предприниматель, генеральный директор и основатель Lazarus Alliance, компании, занимающейся проактивным кибербезопасным обеспечением, основанной в 2000 году, и Continuum GRC, ведущей программной платформы для управления рисками и соответствия требованиям (GRC), которую он запустил в 2015 году. Ветеран ВВС США с опытом работы в системах управления огнем, Питерс имеет степень доктора права в области кибербезопасности, степень магистра делового администрирования в области управления ИТ и многочисленные сертификаты, включая CISSP, CISM, CRISC и QSA. Признанный новатором в отрасли, он является автором книг, тысяч статей и инновационных инструментов, таких как IT Audit Machine, помогающих организациям по всему миру достигать соответствия требованиям и снижать киберриски. Проживая в Скоттсдейле, штат Аризона, Питерс также является членом Зала славы ISSA и посвящает себя развитию передового опыта в области информационной безопасности.