Liūdnai pagarsėjęs „Target“ saugumo pažeidimas, kuris praėjusių metų pabaigoje paviešino dešimčių milijonų amerikiečių finansinę ir asmeninę informaciją, įvyko dėl to, kad bendrovė, laikydamasi saugumo informacijos, neišlaikė įprastų operacijų ir priežiūros funkcijų atskirame tinkle nuo kritinių mokėjimo funkcijų. tyrėjas Brianas Krebsas, kuris pirmą kartą pranešė apie pažeidimą gruodį.
Praėjusią savaitę taikinys „ The Wall Street Journal“ atskleidė, kad pradinis jo tinklo pažeidimas buvo atsektas prisijungimo informacijai, pavogtai iš trečiosios šalies pardavėjo. Ponas Krebsas dabar praneša, kad minėtas pardavėjas buvo „Fazio Mechanical Services“, Šarpsburge, PA įsikūrusi įmonė, kuri sudarė sutartį su „Target“ dėl šaldymo ir ŠVOK įrengimo bei priežiūros. „Fazio“ prezidentas Rossas Fazio patvirtino, kad atliekant tyrimą įmonė lankėsi JAV slaptojoje tarnyboje, tačiau kol kas nepateikė jokių viešų pareiškimų apie praneštą apie jos darbuotojams priskirtų prisijungimo kredencialų dalyvavimą.
„Fazio“ darbuotojams buvo suteikta nuotolinė prieiga prie „Target“ tinklo, kad būtų galima stebėti tokius parametrus kaip energijos sunaudojimas ir šaldymo temperatūra. Kadangi Target, kaip pranešama, nesugebėjo segmentuoti savo tinklo, tai reiškė, kad kvalifikuoti įsilaužėliai gali naudoti tuos pačius trečiųjų šalių nuotolinius kredencialus, kad pasiektų mažmenininko jautrius pardavimo vietos (POS) serverius. Vis dar nežinomi įsilaužėliai pasinaudojo šia pažeidžiamumu, norėdami įkelti kenkėjišką programinę įrangą į didžiąją dalį „Target“ POS sistemų, kuriose buvo užfiksuota iki 70 milijonų klientų, kurie parduotuvėje apsipirko nuo lapkričio pabaigos iki gruodžio vidurio, mokėjimai ir asmeninė informacija.
Šis apreiškimas suabejojo „Target“ vadovų įvykio apibūdinimu kaip sudėtinga ir nenumatyta kibernetinė vagystė. Nors įkelta kenkėjiška programa iš tikrųjų buvo gana sudėtinga, ir nors „Fazio“ darbuotojai kaltinami dėl prisijungimo duomenų vagysčių leidimo, faktas lieka faktu, kad kuri nors iš sąlygų būtų buvusi blogai padaryta, jei „Target“ būtų laikęsis saugumo gairių ir segmentavęs savo tinklą, kad mokėjimo serveriai būtų atskirti. iš tinklų, leidžiančių palyginti plačią prieigą.
Apsaugos firmos „FireMon“ įkūrėjas ir techninės priežiūros vadovas Jody Brazilija paaiškino „ Computerworld “: „Nieko neįdomu. „Target“ pasirinko leisti trečiosioms šalims patekti į savo tinklą, tačiau tinkamai neužtikrino šios prieigos “.
Jei kitos įmonės neišmoks iš Target klaidų, vartotojai gali tikėtis dar daugiau pažeidimų. Steponas Boyeris, CTO ir rizikos valdymo firmos „BitSight“ įkūrėjas, paaiškino: „Šiandieniniame hipersisteminiame pasaulyje įmonės dirba su vis daugiau ir daugiau verslo partnerių, atliekančių tokias funkcijas kaip mokėjimų rinkimas ir apdorojimas, gamyba, IT ir žmogiškieji ištekliai. Piratai nustato silpniausią įėjimo vietą, kad galėtų patekti į neskelbtiną informaciją, ir dažnai tai yra aukos ekosistemoje. “
Kol kas nenustatyta, kad dėl šio pažeidimo būtų pažeisti mokėjimo kortelių pramonės (PCI) saugumo standartai, tačiau kai kurie analitikai numato problemų įmonės ateityje. Nors labai rekomenduojami, PCI standartai nereikalauja, kad organizacijos segmentuotų savo tinklus tarp mokėjimo ir nemokėjimo funkcijų, tačiau išlieka keletas klausimų, ar trečiosios šalies „Target“ prieigai buvo naudojamas dviejų faktorių autentifikavimas, o tai yra reikalavimas. PCI standartų pažeidimai gali užtraukti dideles baudas, o „Gartner“ analitikas Avivahas Litanas sakė p. Krebsui, kad už pažeidimą įmonei gali grėsti baudos iki 420 mln. USD.
Vyriausybė taip pat pradėjo reaguoti į pažeidimą. Obamos administracija šią savaitę rekomendavo priimti griežtesnius kibernetinio saugumo įstatymus, numatant griežtesnes bausmes pažeidėjams ir federalinius reikalavimus įmonėms pranešti klientams dėl saugumo pažeidimų ir laikytis tam tikros minimalios praktikos, kai kalbama apie kibernetinių duomenų politiką.
