Πώς να αποτρέψετε μια παραβίαση δεδομένων τύπου στυλ καρδιάς

Το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών ανακοίνωσε σήμερα τη σύλληψη του Albert Gonzalez, ενός 28χρονου άνδρα του Μαϊάμι, στη μεγαλύτερη καταδίκη κλοπής ταυτότητας. Ο Γκονζάλες κατηγορείται, μαζί με δυο ακόμα ανώνυμους Ρώσους συν-συνωμολόγους, για συμβιβασμό περισσότερων από 130 εκατομμυρίων λογαριασμών πιστωτικών και χρεωστικών καρτών από διάφορους στόχους, όπως τα Heartland Payment Systems και 7-Eleven.

Ενώ το Υπουργείο Δικαιοσύνης θα πρέπει να επαινεθεί για την επιτυχή έρευνα και κατηγορητήριο του Γκονζάλες, η σύλληψη δεν θα «παραβιάσει» τους λογαριασμούς που είναι ήδη συμβιβασμένοι και διατίθενται στη μαύρη αγορά. Σε έναν ιδανικό κόσμο η σύλληψη θα αποτρέψει την μελλοντική κλοπή ταυτότητας, αλλά είναι απίθανο. Είναι ακόμα ένα σχεδόν εντελώς ανώνυμο έγκλημα ικανό να παράγει σημαντικά έσοδα και οι ενδεχόμενοι κλέφτες είναι πιο πιθανό να θεωρούν τον εαυτό τους πιο έξυπνο και καλύτερο από τον Γκονζάλες. Έκανε λάθη, αλλά δεν θα τα πιάσουν.

Έτσι, kudos στο Υπουργείο Δικαιοσύνης, αλλά πρέπει ακόμα να παρακολουθήσετε την πλάτη σας και να διαφυλάξετε τα δίκτυά σας και τα δεδομένα από παρόμοιες επιθέσεις. Εδώ είναι τρεις συμβουλές που θα σας βοηθήσουν να προστατέψετε τα δεδομένα σας και να βεβαιωθείτε ότι δεν θα γίνετε τα επόμενα συστήματα πληρωμών Heartland.

1. Ασφάλεια ασύρματου δικτύου . Τα ασύρματα δίκτυα υπάρχουν στις περισσότερες επιχειρήσεις αυτές τις μέρες. Το θέμα των ασύρματων δικτύων είναι ότι αφήνουν τους υπαλλήλους να περιπλανιούνται και να παραμένουν συνδεδεμένοι στο δίκτυο, αλλά παρέχουν επίσης την ευκαιρία σε μη εξουσιοδοτημένους χρήστες που βρίσκονται εντός του εύρους του ασύρματου σημείου πρόσβασης να αποκτήσουν πρόσβαση επίσης. Οι παραβιάσεις δεδομένων σε TJX και Lowes έγιναν δυνατές και μέσω της αδύναμης ή ανύπαρκτης ασφάλειας ασύρματου δικτύου.

Τα ασύρματα δίκτυα θα πρέπει να διαχωρίζονται από το πρωτεύον δίκτυο για να παρέχουν ένα επιπλέον επίπεδο προστασίας. Η ασύρματη σύνδεση θα πρέπει να εξασφαλίζεται με κρυπτογράφηση WPA ή WPA2 τουλάχιστον. Είναι ακόμα καλύτερο να χρησιμοποιείται κάποια άλλη μορφή ελέγχου ταυτότητας για την πρόσβαση στο ασύρματο δίκτυο. Θα πρέπει επίσης να υπάρχει μια πολιτική κατά της εγκατάστασης μη εξουσιοδοτημένων ασύρματων δικτύων και της σάρωσης περιόδου για να εξασφαλιστεί ότι δεν υπάρχουν δίκτυα απατεώνων

2. Συμμόρφωση . Λόγω της αποδοχής, επεξεργασίας, μετάδοσης ή αποθήκευσης δεδομένων συναλλαγών πιστωτικών καρτών, οι οργανισμοί που διακυβεύονταν σε αυτές τις επιθέσεις εμπίπτουν στις απαιτήσεις των Προτύπων Ασφάλειας Δεδομένων της Κάρτας Πληρωμών (PCI DSS). Το PCI DSS αναπτύχθηκε από τη βιομηχανία πιστωτικών καρτών για την παροχή βασικών απαιτήσεων ασφάλειας σε επιχειρήσεις που χειρίζονται ευαίσθητες πληροφορίες πιστωτικών καρτών.

Πολλές από τις εταιρείες εμπίπτουν επίσης σε άλλες εντολές συμμόρφωσης όπως η Sarbanes-Oxley (SOX) ή η Gramm-Leach -Bliley Act (GLBA). Είναι σημαντικό οι εταιρείες να σέβονται το πνεύμα καθώς και το γράμμα των απαιτήσεων συμμόρφωσης. Λάβετε υπόψη ότι η συμπλήρωση μιας λίστας ελέγχου ή η υποβολή ενός ελέγχου δεν είναι οι στόχοι της συμμόρφωσης. Ο στόχος είναι η προστασία ευαίσθητων δεδομένων και πόρων δικτύου. Το να κάνετε το ελάχιστο για να αποκομίζετε από έναν έλεγχο συμμόρφωσης μπορεί να αφήσει κάποιες αδυναμίες που θα μπορούσαν να οδηγήσουν σε συμβιβασμό δεδομένων που αποδίδει τη φήμη της εταιρείας και είναι συχνά πολύ πιο δαπανηρή από τη συμμόρφωση.

3. Diligence . Αυτό είναι το μεγάλο. Η ασφάλεια είναι εργασία πλήρους απασχόλησης 24/7/365. Το κλείδωμα του ασύρματου δικτύου και η ανάπτυξη μιας πολιτικής που απαγορεύει δίκτυα απατεώνων είναι μεγάλη, αλλά τι γίνεται αν κάποιος παραβιάζει την πολιτική και αναπτύξει ένα αδίστακτο ασύρματο δίκτυο την επόμενη εβδομάδα; Η επιτυχία του ελέγχου συμμόρφωσης PCI DSS είναι μεγάλη, αλλά οι υπάλληλοι έρχονται και πηγαίνουν, τα συστήματα υπολογιστών παρέχονται και παροπλίζονται και νέες τεχνολογίες εισάγονται στο δίκτυο. Ακριβώς επειδή το δίκτυο ήταν συμβατό κατά το χρόνο του ελέγχου, δεν σημαίνει ότι θα εξακολουθεί να συμμορφώνεται με ένα μήνα αργότερα.

Οι επιτιθέμενοι εργάζονται συνεχώς για να εκθέσουν αδυναμίες στις δικτυακές άμυνες. Οι διαχειριστές δικτύων και ασφάλειας πρέπει να παραμείνουν εξίσου επιμελής όσον αφορά την τήρηση των τεχνικών επίθεσης και των αντιμέτρων. Το πιο σημαντικό είναι ότι πρέπει να παρακολουθείτε τη δραστηριότητα του συστήματος ανίχνευσης και πρόληψης των εισβολών, των αρχείων καταγραφής τείχους προστασίας και άλλων δεδομένων για να είστε προσεκτικοί για ενδείξεις συμβιβασμού ή ύποπτης δραστηριότητας. Όσο νωρίτερα μπορείτε να εντοπίσετε και να σταματήσετε μια επίθεση, τόσο λιγότερα δεδομένα θα διακυβευτούν και τόσο περισσότερο θα είστε ένας ήρωας αντί για μηδέν.

Ο Tony Bradley είναι ένας εμπειρογνώμονας ασφάλειας πληροφοριών και ενοποιημένων επικοινωνιών με πάνω από μια δεκαετία επιχειρησιακής τεχνολογικής εμπειρίας. Δρομολογεί ως @PCSecurityNews και παρέχει συμβουλές, συμβουλές και σχόλια σχετικά με την ασφάλεια των πληροφοριών και τις τεχνολογίες ενοποιημένων επικοινωνιών στον ιστότοπό του στο tonybradley.com.