Печально известное нарушение безопасности Target, которое раскрыло финансовую и личную информацию десятков миллионов американцев в конце прошлого года, было результатом неспособности компании сохранить свои повседневные операции и функции обслуживания в отдельной сети от критических платежных функций, согласно информации из безопасности исследователь Брайан Кребс, который впервые сообщил о нарушении в декабре.
Target на прошлой неделе сообщил The Wall Street Journal, что первоначальное нарушение его сети было связано с регистрационной информацией, украденной у стороннего поставщика. В настоящее время г-н Кребс сообщает, что рассматриваемым поставщиком была Fazio Mechanical Services, фирма из Шарпсбурга, штат Пенсильвания, которая заключила контракт с Target на поставку холодильного оборудования, а также на установку и обслуживание систем отопления, вентиляции и кондиционирования воздуха. Президент Fazio Росс Фацио подтвердил, что секретная служба США посетила компанию в рамках расследования, но еще не сделал публичных заявлений об участии в учетных данных, присвоенных его сотрудникам.
Сотрудникам Fazio был предоставлен удаленный доступ к сети Target для контроля таких параметров, как потребление энергии и температуры охлаждения. Но поскольку, как сообщается, Target не удалось сегментировать свою сеть, это означало, что знающие хакеры могли использовать те же самые сторонние удаленные учетные данные для доступа к чувствительным точкам продаж (POS) серверов розничной торговли. Все еще неизвестные хакеры воспользовались этой уязвимостью для загрузки вредоносных программ в большинство POS-систем Target, которые затем собирали информацию о платежах и личную информацию до 70 миллионов покупателей, которые делали покупки в магазине с конца ноября до середины декабря.
Это откровение поставило под сомнение характеристику события руководителями Target как изощренное и непредвиденное кибер-воровство. Хотя загруженное вредоносное ПО действительно было довольно сложным, и хотя сотрудники Fazio разделяют некоторую вину за то, что допустили кражу учетных данных для входа в систему, остается факт, что любое условие было бы отменено, если бы Target следовал рекомендациям по безопасности и сегментировал свою сеть, чтобы сохранить изолированность серверов оплаты из сетей, которые позволяют относительно широкий доступ.
Джоди Бразил, основатель и технический директор охранной фирмы FireMon, объяснил Computerworld : «В этом нет ничего фантастического. Компания Target решила разрешить доступ третьей стороне к своей сети, но не смогла должным образом защитить этот доступ ».
Если другие компании не смогут извлечь уроки из ошибок Target, потребители могут ожидать еще большего количества нарушений. Стивен Бойер, технический директор и соучредитель фирмы по управлению рисками BitSight, пояснил: «В современном мире гипер-сетей компании работают со все большим числом деловых партнеров, выполняющих такие функции, как сбор и обработка платежей, производство, ИТ и управление персоналом. Хакеры находят самую слабую точку входа, чтобы получить доступ к конфиденциальной информации, и часто эта точка находится в экосистеме жертвы ».
До сих пор не было обнаружено, что цель нарушила стандарты безопасности индустрии платежных карт (PCI) в результате нарушения, но некоторые аналитики предвидят проблемы в будущем компании. Несмотря на то, что настоятельно рекомендуется, стандарты PCI не требуют, чтобы организации сегментировали свои сети между функциями оплаты и неплатежей, но остается некоторый вопрос относительно того, использовал ли сторонний доступ Target двухфакторную аутентификацию, что является требованием. Нарушение стандартов PCI может привести к крупным штрафам, и аналитик Gartner Авива Литан сказала г-ну Кребсу, что компания может столкнуться со штрафами в размере до 420 миллионов долларов за нарушение.
Правительство также начало действовать в ответ на нарушение. Администрация Обамы на этой неделе рекомендовала принять более жесткие законы о кибербезопасности, предусматривающие как более суровые меры наказания для нарушителей, так и федеральные требования к компаниям уведомлять клиентов в случае нарушений безопасности и следовать определенным минимальным правилам, когда дело доходит до политик кибер-данных.
