Jak zabránit porušování dat ve stylu Heartland

Americké ministerstvo spravedlnosti dnes oznámilo zatčení Alberta Gonzaleze, 28letého muže z Miami, v největším trestním stíhání krádeží identity. Gonzalez je obžalován spolu s dvěma dosud nepojmenovanými ruskými spiklenci, kteří kompromisují více než 130 milionů účtů kreditních a debetních karet z různých cílů, včetně Heartland Payment Systems a 7-Eleven.

Zatímco ministerstvo spravedlnosti by měl být oceněn za úspěšné vyšetřování a obžalobu Gonzalez, zatčení nebude "neporušovat" účty, které jsou již ohroženy a dostupné na černém trhu. V ideálním světě zatčení by odradilo budoucí krádež identity, ale je nepravděpodobné. Stále je to téměř úplně anonymní trestný čin, který může přinést významné příjmy, a případné zloděje ID se pravděpodobně budou považovat za chytřejší a lepší než Gonzalez. Udělal chyby, ale oni nebudou uloveni. Takže, kudos k ministerstvu spravedlnosti, ale stále potřebujete sledovat záda a chránit vaše sítě a data před podobnými útoky. Zde jsou tři tipy, které vám pomohou chránit vaše data a ujistěte se, že se nestanete dalším Heartland Payment Systems.

1.

. Bezdrátové sítě dnes existují ve většině firem. Věc o bezdrátových sítích spočívá v tom, že umožňují zaměstnancům túrovat a stále zůstat připojeni k síti, ale poskytují také příležitost pro neoprávněné uživatele, kteří jsou v dosahu bezdrátového přístupového bodu, získat také přístup. Narušení dat v sítích TJX a Lowes bylo dosaženo díky slabé nebo neexistující bezpečnosti bezdrátových sítí. Bezdrátové sítě by měly být odděleny od primární sítě a poskytovat další vrstvu ochrany. Bezdrátové připojení by mělo být zabezpečeno pomocí šifrování WPA nebo WPA2 minimálně. Je ještě lepší, pokud se k bezdrátové síti používá nějaká jiná forma ověřování. Měla by také existovat politika proti neoprávněným bezdrátovým sítím a časovému skenování, aby se zajistilo, že neexistující sítě neexistují.

2.

Soulad . Na základě přijetí, zpracování, přenosu nebo ukládání dat o transakcích s kreditními kartami se organizace, které byly v těchto útokech ohroženy, spadají pod požadavky PCI DSS. Společnost PCI DSS byla vyvinuta odvětvím kreditních karet, aby poskytla základní bezpečnostní požadavky pro firmy, které zpracovávají citlivé informace o kreditní kartě. Mnoho firem také spadá pod jiné mandáty jako Sarbanes-Oxley (SOX) nebo Gramm-Leach -Bliley Act (GLBA). Je důležité, aby společnosti respektovaly ducha i písmeno požadavků na dodržování předpisů. Mějte na paměti, že dokončení kontrolního seznamu nebo předání auditu nejsou cílem souladu. Cílem je ochrana citlivých dat a síťových zdrojů. Dosažení absolutního minimálního úsudku při kontrole dodržování předpisů může zanechat některé slabiny, které by mohly vést k kompromisu údajů, které mají dobré jméno pro společnost a jsou často mnohem nákladnější než dodržování předpisů.

3.

Diligence . To je ten velký. Bezpečnost je práce na plný úvazek 24/7/365. Zablokování bezdrátové sítě a vyvíjení politiky, která zakazuje neoprávněné sítě, je skvělá, ale co když někdo poruší tuto politiku a nasadí příští týden bezdůvodnou bezdrátovou síť? Provedení auditu shody s PCI DSS je skvělé, ale zaměstnanci přicházejí a odcházejí, počítačové systémy jsou poskytovány a vyřazovány z provozu a do sítě jsou zavedeny nové technologie. Jen proto, že síť byla v době auditu v souladu, neznamená to, že bude o měsíc později vyhovovat. Útočníci neustále pracují na odhalení slabých stránek v síti. Správci sítí a bezpečnosti musí zůstat stejně opatrní, aby se drželi techniky útoku a protiopatření. Ještě důležitější je, abyste sledovali činnost detekce a prevence vniknutí, protokoly firewallu a další data, abyste byli opatrní kvůli známkám kompromisů nebo podezřelých aktivit. Čím dříve můžete identifikovat a zastavit útok, tím méně dat bude ohroženo a čím více budete hrdina místo nuly.

Tony Bradley je odborník na bezpečnost informací a sjednocené komunikace s více než desetiletou zkušeností v oblasti IT.

@PCSecurityNews poskytuje tipy, rady a recenze týkající se bezpečnosti informací a technologií sjednocené komunikace na svých stránkách