פריצה לחשבון התחברות מאובטחת מרחוק של ספק חיצוני חשפה נתוני כרטיסי אשראי של לקוחות. כיצד ניתן להפחית את הסיכון להתרחשותו של אירוע מסוג זה?
חברת ISS האמריקאית, אשר מספקת פתרונות לקופות אלקטרוניות (POS), הודיעה לאחרונה ללקוחותיה - בעיקר רשתות של מסעדות בארה"ב - שחשבון ה-LogMeIn, אשר משמש עבורה לגישה אל הקופות באתרי לקוחותיה - נפרץ.
כתוצאה מכך, נתוני כרטיסי אשראי של לקוחות אותן המסעדות עלולים היו להיות חשופים במשך תקופה של כחודשיים בין החודשים פברואר לאפריל השנה. החברה לא ציינה כמה מסעדות או כרטיסי אשראי נחשפו, ולא הגיבה על שאלות בנושא.
האירוע מדגים היטב מדוע כל ארגון המחזיק, מאחסן או מעבד מידע רגיש - בוודאי ובוודאי מספרי ופרטי כרטיסי אשראי - חייב לשקול ביצוע סקר הערכת סיכונים ע"י חברה צד-שלישי אובייקטיבית ונטולת פניות, בכדי לאתר היכן נמצאות פרצות אבטחה קריטיות מסוג זה.
פריצה אל חשבון ספק - אשר מטבע הדברים מוגדרות עבורו הרשאות כניסה וגישה נרחבות אל אפליקציות קריטיות ומידע רגיש - הינה אחת מנקודות הכשל הבעייתיות ביותר, אשר מייצגת במקרים רבים איומים מיידיים וקונקרטיים. אפילו ארגונים מאובטחים ביותר חשופים לאיום זה, שכן מימושו תלוי גם ברמת האבטחה אשר מוגדרת אצל הספק - שהוא בהגדרה צד שלישי שאינו נתון בפיקוח אנשי אבטחת המידע וה-IT של הארגון אשר אליו מבוצעת ההתחברות.
הנקודות העיקריות החשובות עליהן מומלץ להקפיד בהקשר של התחברויות מאובטחות מרחוק הינן:
- להגדיר תצורת הזדהות חזקה אל מול השירות (Two-Factor Authentication)
- לבצע ניטור שוטף של ההתחברויות באמצעים שונים
- במידת הניתן, להגדיר את חוקי הפיירוול כך שניתן יהיה להפעילם רק על-פי דרישה מפורשת של הספק (כך שכברירת מחדל יהיו חוקים אלו בלתי פעילים)
- להגדיר את חוקי הפיירוול באופן המוקשח ביותר האפשרי אשר מחד יאפשר לספק לבצע את עבודתו, אולם מאידך - יאפשר לספק לבצע אך ורק את עבודתו, ולא דבר מעבר לכך
חברת איי פי סקיוריטי מבצעת באופן שוטף מספר גדול של ביקורות, סקרים ומבדקי אבטחת מידע, המשלבים היבטים טכניים, תהליכיים ורגולטוריים. בין השאר מוצעים מבדקי חדירה ממקורות האיום השונים - חיצוניים (אינטרנט), פנימיים (רשת ארגונית) ושותפים עסקיים (התחברות מאובטחת מרחוק), סקר ספקים ועוד.
לידיעה המלאה - כאן