Bēdīgi slavenais Target drošības pārkāpums, kas pagājušā gada beigās atklāja desmitiem miljonu amerikāņu finanšu un personisko informāciju, bija saistīts ar uzņēmuma nespēju saglabāt ierastās darbības un uzturēšanas funkcijas atsevišķā tīklā no kritiskām maksājumu funkcijām, liecina drošības informācija pētnieks Braiens Krebs, kurš pirmo reizi paziņoja par pārkāpumu decembrī.
Mērķis pagājušajā nedēļā laikrakstam The Wall Street Journal atklāja, ka sākotnējais tā tīkla pārkāpums tika meklēts pēc pieteikšanās informācijas, kas nozagta no trešās puses pārdevēja. Krebs kungs tagad ziņo, ka attiecīgais pārdevējs bija Fazio Mechanical Services, Sharpsburg, PA balstīta firma, kas noslēdza līgumu ar Target par saldēšanas un HVAC uzstādīšanu un uzturēšanu. Fazio prezidents Ross Fazio apstiprināja, ka izmeklēšanas laikā uzņēmumu apmeklēja ASV slepenais dienests, taču pagaidām nav sniedzis publiskus paziņojumus par paziņoto pieteikšanās akreditācijas datu iesaistīšanu tā darbiniekiem.
Fazio darbiniekiem tika piešķirta attāla piekļuve Target tīklam, lai uzraudzītu tādus parametrus kā enerģijas patēriņš un saldēšanas temperatūra. Tā kā Target, kā ziņots, neizdevās segmentēt savu tīklu, tas nozīmēja, ka labi zināmi hakeri var izmantot tos pašus trešo personu attālos akreditācijas datus, lai piekļūtu mazumtirgotāja sensitīvajiem tirdzniecības vietu (POS) serveriem. Joprojām nezināmie hakeri izmantoja šo ievainojamību, lai augšupielādētu ļaunprātīgu programmatūru lielākajā daļā Target POS sistēmu, kas pēc tam fiksēja līdz 70 miljoniem klientu, kuri iepirkās veikalā no novembra beigām līdz decembra vidum, samaksu un personisko informāciju.
Šī atklāsme ir radījusi šaubas par to, kā Target vadītāji notikušo raksturo kā izsmalcinātu un negaidītu kibernoziegumu. Kaut arī augšupielādētā ļaunprogrammatūra patiešām bija diezgan sarežģīta, un, lai arī Fazio darbinieki ir daļēji vainīgi par pieteikšanās akreditācijas datu zādzību, fakts joprojām ir tāds, ka jebkurš nosacījums būtu ticis pārdomāts, ja Target būtu ievērojis drošības vadlīnijas un segmentējis savu tīklu, lai maksājumu serveri būtu izolēti. no tīkliem, kas ļauj samērā plašu piekļuvi.
Džodijs Brazīlijs, apsardzes firmas FireMon dibinātājs un CTO, Computerworld paskaidroja: “Nav nekā iedomātā. Mērķis izvēlējās atļaut trešo personu piekļuvi savam tīklam, taču nespēja pienācīgi nodrošināt šo piekļuvi. ”
Ja citi uzņēmumi nemācās no Target kļūdām, patērētāji var cerēt uz vēl lielākiem pārkāpumiem. Stīvens Bojers, CTO un riska pārvaldības firmas BitSight līdzdibinātājs, paskaidroja: “Mūsdienu hiper tīkla tīklā uzņēmumi strādā ar arvien vairāk biznesa partneriem ar tādām funkcijām kā maksājumu iekasēšana un apstrāde, ražošana, IT un cilvēkresursi. Hakeri atrod vājāko ieejas punktu, lai piekļūtu slepenai informācijai, un bieži vien tas atrodas upura ekosistēmā. ”
Mērķis vēl nav atklāts, ka pārkāpuma rezultātā ir pārkāpti maksājumu karšu nozares (PCI) drošības standarti, taču daži analītiķi paredz nepatikšanas uzņēmuma nākotnē. Lai arī PCI standarti ir ļoti ieteicami, organizācijām nav pienākums segmentēt savus tīklus starp maksājuma un nemaksāšanas funkcijām, taču joprojām pastāv jautājums par to, vai Target trešās puses piekļuvei tika izmantota divu faktoru autentifikācija, kas ir prasība. PCI standartu pārkāpumi var izraisīt lielu naudas sodu, un Gartner analītiķis Avivah Litan sacīja Krebs kungam, ka uzņēmumam par pārkāpumu var draudēt soda naudas līdz 420 miljoniem USD.
Arī valdība ir sākusi rīkoties, reaģējot uz pārkāpumu. Obamas administrācija šonedēļ ieteica pieņemt stingrākus kiberdrošības likumus, ieviešot gan bargākus sodus likumpārkāpējiem, gan federālās prasības uzņēmumiem paziņot klientiem pēc drošības pārkāpumiem un ievērot noteiktu minimālo praksi, kad runa ir par kiberdatu politikām.
