Het recente datalek van Macy, waarbij hackers de persoonlijke en betalingsinformatie van klanten konden stelen, herinnert ons eraan dat online en winkelaankopen riskant kunnen zijn.
Bedenk hoe de Target Store-hack in 2014 een van de grootste gegevensinbreuken op het point-of-sale (POS) -systeem in de geschiedenis van de Verenigde Staten was, waarbij meer dan 70 miljoen klantrecords aan hackers werden blootgesteld en de CEO en CIO van de retailer hun baan kostten.
Later werd onthuld dat de aanval had kunnen worden vermeden als Target zojuist de functie voor automatische uitroeiing had geïmplementeerd in zijn FireEye-antimalwaresysteem.
Nu de Black Friday van dit seizoen snel nadert, moeten organisaties serieus worden over het beschermen van hun kassasystemen.
Gelukkig is de realiteit dat de meeste POS-aanvallen kunnen worden vermeden.
Ja, er zijn veel bedreigingen voor POS-systemen, maar er zijn nu net zoveel manieren om deze bedreigingen te bestrijden.
Welke methode u ook gebruikt, zorg ervoor dat uw bedrijf een virtueel particulier netwerk (VPN) heeft om gegevens te beschermen die heen en weer gaan op het netwerk van uw bedrijf.
Lees verder voor de zes manieren waarop uw bedrijf zich kan beschermen tegen POS-inbraken.
1.
Gebruik een iPad voor POS
De meeste van de bovengenoemde aanvallen zijn het resultaat van malwaretoepassingen die in het geheugen van het POS-systeem zijn geladen.
Hackers kunnen in het geheim malware-apps uploaden naar de kassasystemen en vervolgens gegevens stelen, zonder dat de gebruiker of de handelaar zich realiseert wat er is gebeurd.
Het belangrijke punt om hier op te merken is dat er een tweede app moet draaien (naast de POS-app), anders kan de aanval niet plaatsvinden.
Daarom heeft iOS traditioneel minder aanvallen mogelijk gemaakt.
Omdat iOS slechts één app tegelijk volledig kan uitvoeren, komen dit soort aanvallen zelden voor op door Apple gemaakte apparaten.
"Een van de voordelen van Windows is dat er meerdere apps tegelijk worden uitgevoerd", zegt Chris Ciabarra, medeoprichter van POS-platform Revel Systems.
"Microsoft wil niet dat dat voordeel verdwijnt ...
maar waarom denk je dat Windows de hele tijd crasht? Al die apps draaien en gebruiken al je geheugen."
Om eerlijk te zijn, Revel Systems verkoopt POS-systemen die specifiek zijn ontworpen voor de iPad, dus het is in het belang van Ciabarra om Apple's hardware te pushen.
Er is echter een reden waarom u zelden of nooit hoort van POS-aanvallen op Apple-specifieke POS-systemen.
Weet je nog toen de iPad Pro werd onthuld? Iedereen vroeg zich af of Apple echte multitasking-functionaliteit zou inschakelen, waardoor twee apps tegelijkertijd op volle capaciteit zouden kunnen werken.
Zelfs in de nieuwste iteratie heeft Apple deze functie nog steeds verwijderd van de nieuwste iPad Pro ($ 899, 00 bij Amazon) ? tot grote ergernis van iedereen behalve die gebruikers die waarschijnlijk POS-software op hun apparaten gebruiken.
2.
Gebruik end-to-end-versleuteling
Bedrijven zoals Verifone bieden software die is ontworpen om te garanderen dat de gegevens van uw klant nooit worden blootgesteld aan hackers.
Deze tools versleutelen creditcardgegevens zodra ze op het POS-apparaat worden ontvangen en nogmaals wanneer ze naar de server van de software worden verzonden.
Dit betekent dat de gegevens nooit kwetsbaar zijn, ongeacht waar hackers malware installeren.
"Je wilt een echt point-to-point versleutelde eenheid", zei Ciabarra.
"U wilt dat de gegevens rechtstreeks van het apparaat naar de gateway gaan.
De creditcardgegevens zullen de POS-eenheid niet eens raken."
3.
Installeer Antivirus op het POS-systeem
Dit is een eenvoudige en voor de hand liggende oplossing om POS-aanvallen te voorkomen.
Als u zeker wilt zijn dat schadelijke malware uw systeem niet infiltreert, installeert u software voor eindpuntbeveiliging op uw apparaat.
Deze tools scannen de software op uw POS-apparaat en detecteren problematische bestanden of apps die onmiddellijk moeten worden verwijderd.
De software waarschuwt u voor probleemgebieden en helpt u bij het starten van het opschoningsproces dat nodig is om te garanderen dat de malware niet leidt tot gegevensdiefstal.
4.
Vergrendel uw systemen
Hoewel het hoogst onwaarschijnlijk is dat uw werknemers uw POS-apparaten voor snode doeleinden zullen gebruiken, is er nog steeds veel potentieel voor interne banen of zelfs menselijke fouten om enorme problemen te veroorzaken.
Medewerkers kunnen apparaten stelen waarop POS-software is geïnstalleerd, of het apparaat per ongeluk op kantoor of in een winkel achterlaten, of het apparaat kwijtraken.
Als apparaten verloren of gestolen zijn, kan iedereen die vervolgens toegang krijgt tot het apparaat en de software (vooral als u regel 2 hierboven niet hebt gevolgd) klantrecords bekijken en stelen.
Om ervoor te zorgen dat uw bedrijf niet het slachtoffer wordt van dit soort diefstal, moet u aan het einde van de werkdag al uw apparaten vergrendelen.
Houd elke dag rekening met alle apparaten en beveilig ze op een plek waartoe niemand anders dan een beperkt aantal werknemers toegang heeft.
5.
Vermijd het verbinden van uw POS met externe netwerken
De gevaarlijkste hackers kunnen systemen op afstand in gevaar brengen en hoeven niet in een winkel te zijn om waardevolle bedrijfs- en klantinformatie weg te sluizen.
Systemen die verbinding maken met externe netwerken zijn gevoeliger voor aanvallen van hackers.
Sommigen die mogelijk externe systemen hebben geïnfiltreerd met software die inactief blijft totdat ze verbinding maken met een POS.
Overweeg om dingen intern en veilig te houden, gebruik een bedrijfsnetwerk om kritieke taken uit te voeren, zoals betalingsverwerking.
6.
Wees van boven tot onder PCI-compatibel
Naast het beheer van uw kassasystemen, wilt u ook voldoen aan de Payment Card Industry Data Security Standard (PCI DSS) voor alle kaartlezers, netwerken, routers, servers, online winkelwagentjes en zelfs papieren bestanden.
De PCI Security Standards Council raadt bedrijven aan om IT-middelen en bedrijfsprocessen actief te monitoren en inventariseren om eventuele kwetsbaarheden op te sporen.
De Raad stelt ook voor om kaarthoudergegevens te schrappen, tenzij absoluut noodzakelijk, en om de communicatie met banken en kaartmerken te onderhouden om ervoor te zorgen dat er zich geen problemen voordoen of al hebben plaatsgevonden.
U kunt gekwalificeerde beveiligingsbeoordelaars inhuren om uw bedrijf periodiek te beoordelen om te bepalen of u al dan niet PCI-normen volgt.
Als u zich zorgen maakt over het verlenen van toegang tot uw systemen aan een derde partij, dan stelt de Raad een lijst met gecertificeerde beoordelaars ter beschikking.
7.
Huur beveiligingsdeskundigen in
"De CIO zal niet alles weten wat een beveiligingsexpert zal weten", zei Ciabarra.
"De CIO kan niet op de hoogte blijven van alles wat er op het gebied van beveiliging gebeurt.
Maar de enige verantwoordelijkheid van een beveiligingsexpert is om op de hoogte te blijven van alles."
Als uw bedrijf te klein is om naast een technologie-manager ook een toegewijde beveiligingsexpert in te huren, dan wilt u in ieder geval iemand met een diepgaande beveiligingsachtergrond die weet wanneer het tijd is om contact op te nemen met een derde partij voor hulp.