Как оградить сети POS-терминалов от кибермошенников?

Антон Разумов, руководитель группы консультантов по безопасности компании Check Point

Могут ли ритейлеры защитить свои сети POS-терминалов от атак и незаконного использования и тем самым обеспечить безопасность данных платежных карт своих покупателей, какие меры помогут снизить вероятность успешной атаки на POS-системы, рассказывает Антон Разумов, руководитель группы консультантов по безопасности компании Check Point.

Мошенничество с платежными картами известно с тех пор, как они вошли в обиход в 1970-х годах. Однако за последние три года оно выросло до «промышленных масштабов» – злоумышленники регулярно проводят кибератаки на сектор розничной торговли, чтобы похитить данные платежных карт потребителей. Так, в 2014 году произошли атаки на информационные системы и сети POS-терминалов таких известных ритейлеров, как Target, Neiman Marcus, Staples и Home Depot.

В отчете Gemalto 2015 года сообщается, что в прошлом году во время 1500 кибератак в мире было скомпрометировано около одного миллиарда учетных записей, причем более половины подтвержденных случаев утечки данных относится к предприятиям розничной торговли и сервиса. Более того, ущерб от этих потерь, скорее всего, будет больше зафиксированного уровня, так как компаниям уже после инцидентов приходится вкладывать средства в расследование утечек и выплачивать страховку пострадавшим клиентам (в частности, исследование LexisNexis 2014 года показало, что каждый украденный в результате мошенничества доллар приносит торговым сетям убытки в 3,08 доллара на ликвидацию последствий). И все это – под постоянным потоком критики со стороны медиа и инвесторов.

Мошенничество с платежными картами известно с тех пор, как они вошли в обиход в 1970-х годах, однако за последние три года оно выросло до «промышленных масштабов»

Картина угроз меняется
Одно из главных изменений картины угроз безопасности для ритейлеров, которое мы наблюдаем сегодня, состоит в том, что «самым слабым звеном» в защите карт и персональных данных клиентов теперь являются не центры обработки данных. Основной мишенью мошенников стали сами розничные точки и POS-терминалы. Яркий пример этого нового подхода злоумышленников – состоявшиеся атаки на компании Target и Neiman Marcus с использованием вредоносных программ RAM Scraper. Киберпреступники заражали вредоносным ПО сами POS-системы, позволяя взломщикам перехватывать и красть данные платежных карт. Последний «свежий» пример такого рода крупномасштабных атак относится к марту 2015 года, когда компания-разработчик POS-систем – NEXTEP Systems – получила уведомление от правоохранительных органов о том, что многие из их точек обслуживания в США были скомпрометированы в результате широкомасштабной утечки данных держателей банковских карт.

Как же ритейлеры должны защищать свои сети POS-терминалов от атак и незаконного использования? Часто самой удобной «точкой входа» в сеть для мошенников становятся сами POS-терминалы. Обычно сегодня эти устройства используют довольно простые операционные системы предыдущего поколения, чаще всего вообще без какой-либо защиты на программном уровне. Как правило, терминальное ПО редко обновляется, что делает устройства уязвимыми. Кроме того, они подключены в сеть как друг с другом, так и с корпоративной ИТ-системой, а это значит, что вирусы могут легко распространяться.

Вредоносное ПО может попасть в POS-терминал даже на самом заводе в процессе производства, – именно так это было в случае с вредоносной программой BlackOff, которая поразила POS-терминальные сети более чем 1000 ритейлеров в США. «Слабые» административные пароли, которые регулярно не менялись, позволили хакерам получить удаленный доступ к зараженным устройствам.

Некоторые эксперты считают, что эмиссия карт более защищенного типа – EMV – в США должна существенно усилить общий уровень безопасности транзакций. Напомним, что и решения EMV не обеспечивают безопасность онлайн-транзакций и не действуют в случае с зараженными вредоносным ПО POS-терминалами. Поэтому и EMV-ми- грация не является универсальной защитой от всех уязвимостей.

Защита POS-систем
Компании в сложившейся ситуации должны принять ряд мер для эффективной защиты от быстроразвивающихся атак и новых угроз. В 2014 году американский центр реагирования на кибератаки US-CERT опубликовал свои рекомендации для владельцев и операторов POS-систем в США, посвященные разбору вопроса о том, как можно уменьшить риск возможных атак. Вот некоторые выдержки:

• Используйте сложные пароли для POS-систем и всегда меняйте пароли, установленные по умолчанию.
• Обновляйте POS-терминальное ПО точно так же, как и любое другое ПО для бизнеса.
• Установите межсетевой экран для защиты POS-систем и изоляции их от других сетей.
• Используйте антивирусные программы и постоянно их обновляйте.
• Ограничьте доступ в интернет для компьютеров или терминалов, подключаемых к POS-системе, чтобы предотвратить риск угроз, а также отключите функцию удаленного доступа к POS-системам.

Нелишняя безопасность
В дополнение к этим мерам мы предлагаем еще три рекомендации, снижающие вероятность успешной атаки на POS-системы в ритейле.

Усиленная сегментация сетей
Совет US-CERT по изоляции POS-систем с помощью межсетевых экранов логичен, однако ритейлеры, на наш взгляд, могут и должны пойти еще дальше. Старая фраза «Хороший сосед начинается с высокого забора», несомненно, применима к безопасности: сегментация с помощью firewall усложняет горизонтальное перемещение хакеров по сетям. Анализ взлома систем ритейлера Target показал интересный путь злоумышленников. Так, сначала киберпреступники получили учетные данные компании, предоставляющей магазинам Target услуги отопления и вентиляции. При этом эта фирма имела право доступа к информационной сети Target (для отслеживания расхода энергии в магазинах). Это и дало хакерам доступ к корпоративной сети ритейлера, откуда они уже смогли проникнуть в сегменты, отвечающие за платежные системы, и в сеть POS-терминалов, установленных в магазинах. Сегментация сетей (изоляция различных ее частей друг от друга на программном уровне) остановила бы эту атаку, основанную на перемещении из сети в сеть.

Дополнительные уровни защиты от вредоносного ПО
Организациям розничной торговли нужно также добавить дополнительный уровень защиты от вредоносного ПО, чтобы противостоять новым и неизвестным атакам. Мошенники относительно легко могут сделать небольшие изменения в коде вредоносного ПО, которые позволят им обойти проверку антивируса. Такая технология безопасности, как эмуляция угроз (т. н. «песочница») позволяет обнаружить и изолировать вредоносные файлы до того, как они проникнут в сеть, таким образом исключив возможность случайного заражения. Эту технологию можно дополнить решениями, которые автоматически удаляют вредоносный код из документов, прикрепленных к электронной почте, т. к. заражение ИТ-систем через пересылаемые почтой вложенные файлы сегодня является наиболее распространенным способом в арсенале злоумышленников. Такие решения направлены на предотвращение возможного заражения корпоративной сети сотрудниками, открывающими вредоносный файл.

Шифрование данных
Шифрование (полное или выборочное) клиентских данных также помогает существенно снизить масштабные риски в случае взлома. О масштабах возможных последствий для бизнеса может говорить, например, исследование недавнего взлома ИТ-систем страховой компании Anthem в 2015 году, которое показало, что злоумышленникам удалось украсть незащищенные персональные данные более 80 миллионов (!) клиентов. В немалой степени такие инциденты происходят, потому что (согласно отчету Gemalto об утечках данных в 2014 г.1 ) лишь 4% всех украденных данных было полностью или частично зашифровано.

Внедрение вышеперечисленных мер в комплексе поможет розничным компаниям значительно снизить риски атак на свои POS-терминалы и сети, таким образом обеспечив безопасность данных платежных карт своих покупателей.