Neslavné narušení bezpečnosti Target, které odhalilo finanční a osobní informace desítek milionů Američanů koncem loňského roku, bylo výsledkem toho, že společnost nedokázala udržet své rutinní operace a funkce údržby v oddělené síti od kritických platebních funkcí, podle informací ze zabezpečení výzkumník Brian Krebs, který poprvé ohlásil porušení v prosinci.
Cíl minulý týden odhalil časopisu Wall Street Journal , že počáteční porušení jeho sítě bylo vysledováno k přihlašovacím informacím ukradeným prodejcem třetích stran. Pan Krebs nyní hlásí, že dotyčným prodejcem byla společnost Fazio Mechanical Services, firma se sídlem v Sharpsburgu, PA, která uzavřela smlouvu se společností Target, aby zajistila instalaci a údržbu chladicího zařízení a HVAC. Prezident Fazia Ross Fazio potvrdil, že společnost byla v rámci šetření navštívena americkou tajnou službou, ale dosud neučinila žádná veřejná prohlášení o nahlášeném zapojení přihlašovacích údajů přidělených jejím zaměstnancům.
Zaměstnancům společnosti Fazio byl poskytnut vzdálený přístup k síti Target za účelem sledování parametrů, jako je spotřeba energie a teploty chlazení. Ale protože Target údajně nedokázal segmentovat svou síť, znamenalo to, že znalí hackeři by mohli použít stejné vzdálené pověření třetí strany pro přístup k citlivým serverům prodejního místa (POS). Stále neznámí hackeři využili této zranitelnosti k nahrání malwaru do většiny POS systémů POS, které poté zachytily platební a osobní informace až 70 milionů zákazníků, kteří nakupovali v obchodě od konce listopadu do poloviny prosince.
Toto odhalení zpochybnilo charakterizaci události ze strany vedoucích pracovníků Targetu jako sofistikovanou a neočekávanou krádež počítačů. Zatímco nahraný malware byl skutečně docela složitý a zatímco zaměstnanci společnosti Fazio sdílejí určitou vinu za umožnění krádeže přihlašovacích údajů, faktem zůstává, že kterákoli podmínka by byla vyvedena z míry, kdyby se společnost Target řídila bezpečnostními pokyny a segmentovala svou síť, aby platební servery zůstaly izolované ze sítí, které umožňují relativně široký přístup.
Jody Brazil, zakladatel a CTO bezpečnostní firmy FireMon, vysvětlil Computerworld : „O tom není nic fantastického. Target se rozhodl povolit přístup třetích stran do své sítě, ale tento přístup se nepodařilo řádně zabezpečit. “
Pokud se jiné společnosti neučí z chyb Targetu, mohou spotřebitelé očekávat, že budou následovat ještě více porušení. Stephen Boyer, CTO a spoluzakladatel firmy BitSight pro řízení rizik, vysvětlil: „V dnešním hyper-propojeném světě společnosti spolupracují s více a více obchodními partnery s funkcemi, jako je výběr a zpracování plateb, výroba, IT a lidské zdroje. Hackeři najdou nejslabší místo vstupu, aby získali přístup k citlivým informacím, a často je tento bod v ekosystému oběti. “
Dosud nebylo zjištěno, že by cíl v důsledku porušení porušil bezpečnostní standardy v odvětví platebních karet (PCI), ale někteří analytici předpokládají potíže v budoucnosti společnosti. I když je vysoce doporučeno, standardy PCI nevyžadují, aby organizace rozdělily své sítě mezi platební a neplacené funkce, ale zůstává otázkou, zda přístup třetí strany k cíli využíval dvoufaktorové ověření, což je požadavek. Porušení standardů PCI může mít za následek vysoké pokuty a analytik společnosti Gartner Avivah Litan řekl panu Krebsovi, že společnost by za porušení mohla čelit pokutám až 420 milionů dolarů.
Vláda také začala jednat v reakci na porušení. Obamova administrativa tento týden doporučila přijetí přísnějších zákonů o kybernetické bezpečnosti, které přinesly jak přísnější sankce pro pachatele, tak federální požadavky na společnosti, aby informovaly zákazníky v důsledku narušení bezpečnosti a dodržovaly určité minimální postupy, pokud jde o politiku kybernetických dat.
