这目标违约2013年未必历史上最大的零售违规行为,但对于许多零售商来说,这是他们的流域时刻。
销售点(PoS)终端的问题持续了两个多星期。4000万张信用卡的详细信息和7000万张个人信息记录被扫描,其中一部分是“回溯列表”,历史交易信息可以追溯到或多或少十年前.信用卡工会为重新发行信用卡支付了超过2亿美元的成本。随后,他们对塔吉特提起了集体诉讼,以收回这笔费用。
和所有人的最重要的事实?目标实际上(并且仍然确实有)网络安全措施以及员工的安全政策。如何以及为什么违规甚至发生的方式发生了很长时间仍然是讨论的主题,并且了解到的努力课程。
零售商的好消息是它没有(总是)必须这样做。
提出了正确的问题
所有形状的零售商和尺寸关心他们的企业和客户。没有商人希望在目标或TJX的鞋子里一分钟,后突发。事实上,如果他们可以保持一些大而凌乱的东西和昂贵的事情,他们就会做任何事情。
可以理解的是,在零售行业本来就有很多“事情要做”的情况下,再添加更多内容是一项挑战;然而,网络安全不应再被视为事后考虑,也不应被视为一种选择,人们可以今天炒作,明天就忘记。为了业务的连续性、客户的保留和品牌的完整性,它已经迅速成为任何组织不可分割的一部分。
如果您仍然不相信您是否真的需要在您的业务中纳入网络安全,也许这是一个想法:如果您的组织使用连接到数据通信大道和/或互联网的任何形式的技术,您可以需要网络安全。
“我该从哪里开始呢?”一旦你决定开始这段旅程,可能就不应该问这样的问题,因为你肯定会立即收到“我不知道”或“我不知道”的回答。相反,要具体和实际。想一些你认为是你的问题能够回答。我们列出了以下一些,您可以使用它来指导您的方式。
我在需要保护的业务中使用了什么?
在这里,您可以列出您的宝贵资产,从有形资产(零售商店、闭路电视摄像机、移动电话、销售点机器等)开始,然后是无形资产(您的网站、客户数据、知识产权等)。一旦完成,您就可以根据您的业务需求找到单独保护它们的方法。大多数时候,您所需要做的就是配置您的设备和外设,以最大限度地利用与安全相关的设置。
例如,安装智能CCTV摄像头的内部内容可以减少捕获犯罪分子的物理盗窃和援助执法的风险,应该在商店发生糟糕的事情。但谁在看着你的观察者?更好的是:还有谁可以看通过你的观众吗?许多闭路电视摄像头可以通过互联网公开访问。你可以确保这些摄像头的安全,并确保你和你的员工是唯一可以使用它们的人,通过将它们设置为本地模式,并更改它们的管理员名和密码。
您还可以决定以更复杂的设备和系统寻求服务提供商的帮助。
如果你想投资软件或工具,选择那些尽可能保护你的资产的软件或工具。例如,许多端点安全解决方案允许用户在多个运行Windows的设备上安装它。
有哪些潜在的威胁会影响我的业务?
零售业务的网络安全威胁可以以人物或技术形式出现。我们非常熟悉前者:从小偷到一个有组织犯罪集团.还有恶意内部人士,基本上有人意味着赚钱赚钱。
另一方面,有一件事商人在识别可能对其公司造成的威胁时,商家会错过的是他们使用或投资仍然具有竞争力的技术(应用,现代支付系统和其他人)。由此引入的危险或风险通常是偶然的,并且可以完全避免。
客户数据仍然是零售业欺诈的主要目标。For those who may not be in the know, one customer data may contain their credit or debit card details, spending patterns or habits, and loyalty behaviors, which can be retrieved from online shopping, digital marketing, and loyalty schemes they’re enrolled in.
其他威胁零售商必须记住,他们必须防御恶意内部人员,矛网络钓鱼,DDOS攻击,蛮力攻击,侦察攻击,侦察和可疑活动攻击,供应链攻击等。如果您是一个使用全频道方法的商家,请注意现在在此环境中存在新类型的欺诈。我们将在未来的帖子中深入解决这一问题。
如何将网络安全威胁远离我的业务?
商人真的善于处理传统风险和威胁他们的业务。但是管理潜在的身体风险,这是一个奇妙的,是一回事,管理数字风险是另一件事。对于新的和旧商人相似,谢天谢地,他们不必从头开始。已经存在行业标准,如支付卡行业安全理事会的数据安全标准(PCI DSS),他们可以易于收集。对象管理组(OMG),国际技术标准财团,也有网络安全标准这位商家也可能想要调查。哦,如果您在英国和欧盟国家的客户,我们不会忘记GDPR.
至于其他需要解决的网络安全威胁,比如那些影响商家网站的威胁,我们的实验室博客有很多很棒的资源:
全国零售新闻报告联合会(NFRN),该组织由英国和北爱尔兰成千上万的独立零售商组成,发表一本也用作清单的小册子为商人评估零售犯罪风险。这个列表包括物理安全和网络安全。
最后,客商必须定期决定进行风险评估,季度,平均或每年进行风险评估。
我的员工是否应该参与减轻网络安全风险?
绝对地。在零售业务中实施良好的安全实践时,商家不能单独做。他们可以开始员工的一种方式是在开始时创造一个网络安全文化。商家甚至可以在他们的培训过程中纳入意识和基本的网络安全概念。让他们迅速随着数字威胁的各种威胁,在未来的某些时候,业务可能面对面地面对面,并为他们提供如何对红色警报案件有效响应的步骤。
请注意,培训必须定期完成,而不仅仅是一次性发生。它也必须是相关的,实用的,并与员工参与。使用像目标违规的熟悉的案例研究,或者您的组织过去经历过一种网络攻击形式,也可以使用作为教学时刻。
一旦我担保业务资产,我还能做些什么?
一旦你做得很大的保护,就会意识到工作没有结束那里。还有一些需要做的事情:
- 定期监控PCI环境.这样做会在您的付款系统中的潜在入侵时将您通知您,因此您可以在环境升级之前扼杀芽中的线程。
- 计划定期审计安全和合规.这将确保您的零售业务符合安全和行业标准。
- 加入社区.当涉及网络安全时,商人之间的信息共享正在成为一个趋势。公司从彼此的胜利和错误中学习。毕竟,网络犯罪不仅仅是行业中每个组织的问题。在这方面,网络安全现在是一个社区努力。
- 保持学习.掌握最新的安全新闻和行业挑战可以帮助商家熟悉威胁行为者针对零售商使用的策略,评估他们的当前情况,并相应地调整他们的防御和协议。
- 在创建应用程序时确定安全性和隐私.确保您应该选择开发软件,例如应用程序,您鼓励您的客户安装,确保您在制作这些应用程序时有安全性。
- 创建安全策略.这使得良好的计算实践不仅感觉到指导方针,而且实际程序员工需要坚持。是示例模板商家可以用作和调整他们的偏好。
停止追逐错误的答案
违规是不可避免的。这是一个已知的事实和网络安全行业人民经常重复的线条。公司已被建议准备。
也就是说,也许是商人的下一个和最后一个问题是这样的:如果违规是不可避免的,那么做所有这一切的观点是什么?
的确,没有人愿意在安全工具、服务和人员上投入大量时间和金钱,但却被告知这是不可能的。他们听到的信息是“坏人总是会赢,你对此无能为力。”然而,这与现实完全不符。
虽然不存在完美的安全,但许多公司已经制定了协议,帮助他们阻止了许多入侵尝试。
不幸的是,有时威胁行为者做成功渗透零售商的网络。在这种情况下,逻辑行动是包含它以防止其升级并导致更多损坏。但如果适当的安全措施,准则和良好的安全架构未到达,则无法完成遏制和预防步骤,以便开始。此外,识别它取得成功的原因,因此组织可以做出改变是整体网络安全战略的一部分。所以把它们放在那里真的没有真正的。
评论