Neslávne narušený cieľový bezpečnostný systém, ktorý odhalil finančné a osobné informácie desiatok miliónov Američanov koncom minulého roka, bol podľa informácií z bezpečnostných dôvodov dôsledkom zlyhania spoločnosti v udržiavaní rutinných operácií a funkcií údržby v oddelenej sieti od kritických platobných funkcií. vedec Brian Krebs, ktorý ohlásil porušenie prvýkrát v decembri.
Cieľ minulý týždeň spoločnosti The Wall Street Journal odhalil, že počiatočné porušenie jeho siete bolo dôsledkom prihlasovacích informácií odcudzených predajcom tretej strany. Pán Krebs teraz uvádza, že príslušným predajcom bola spoločnosť Fazio Mechanical Services, spoločnosť so sídlom v Sharpsburgu, PA, ktorá uzavrela zmluvu so spoločnosťou Target s cieľom zabezpečiť chladenie a inštaláciu a údržbu HVAC. Prezident Fazia Ross Fazio potvrdil, že spoločnosť v rámci vyšetrovania navštívila americká tajná služba, zatiaľ však nevyjadril žiadne verejné vyhlásenia o údajnom zapojení prihlasovacích údajov pridelených jej zamestnancom.
Zamestnanci spoločnosti Fazio dostali vzdialený prístup do siete Target za účelom monitorovania parametrov, ako je spotreba energie a teploty chladenia. Keďže však Target údajne nedokázal segmentovať svoju sieť, znamenalo to, že znalí hackeri by mohli na prístup k serverom citlivých predajných miest maloobchodníka (POS) používať vzdialené identifikačné údaje tretích osôb. Stále neznámy hackeri využili túto zraniteľnosť na odovzdanie škodlivého softvéru do väčšiny POS systémov POS, ktoré potom zachytili platobné a osobné informácie až 70 miliónov zákazníkov, ktorí nakupovali v obchode od konca novembra do polovice decembra.
Toto odhalenie spochybnilo charakterizáciu udalosti zo strany vedúcich pracovníkov Target ako sofistikovanej a neočakávanej počítačovej krádeže. Aj keď bol nahraný malware skutočne dosť zložitý a zamestnanci Fazio zdieľajú určitú vinu za umožnenie krádeže prihlasovacích údajov, faktom zostáva, že ktorákoľvek z týchto podmienok by bola vytrhnutá, ak by sa spoločnosť Target riadila bezpečnostnými pokynmi a segmentovala svoju sieť, aby boli platobné servery izolované. zo sietí, ktoré umožňujú pomerne široký prístup.
Jody Brazil, zakladateľ a CTO bezpečnostnej firmy FireMon, spoločnosti Computerworld vysvetlil: „Nie je na tom nič fantastické. Target sa rozhodol povoliť prístup tretích strán do svojej siete, ale zlyhal pri zabezpečení tohto prístupu. “
Ak sa iné spoločnosti neučia z chýb spoločnosti Target, spotrebitelia môžu očakávať ďalšie porušenia. Stephen Boyer, CTO a spoluzakladateľ firmy BitSight v oblasti riadenia rizík, vysvetlil: „V dnešnom hyper-sieťovanom svete spoločnosti spolupracujú s čoraz viac obchodnými partnermi s funkciami, ako je výber a spracovanie platieb, výroba, IT a ľudské zdroje. Hackeri nachádzajú najslabší bod vstupu, aby získali prístup k citlivým informáciám, a tento bod sa často nachádza v ekosystéme obete. “
Zistilo sa, že Target v dôsledku porušenia neporušil bezpečnostné štandardy v oblasti platobných kariet (PCI), ale niektorí analytici predpokladajú problémy v budúcnosti spoločnosti. Aj keď je to vysoko odporúčané, štandardy PCI nevyžadujú, aby organizácie rozdelili svoje siete medzi platobné a neplacené funkcie, ale zostáva tu otázka, či prístup spoločnosti Target od tretej strany využíval dvojfaktorové overenie, čo je požiadavka. Porušenie štandardov PCI môže mať za následok vysoké pokuty a analytik spoločnosti Gartner Avivah Litan povedal pánovi Krebsovi, že spoločnosť by za porušenie mohla čeliť pokutám až do výšky 420 miliónov dolárov.
Vláda tiež začala konať v reakcii na porušenie. Obamova administratíva tento týždeň odporučila prijatie prísnejších zákonov v oblasti kybernetickej bezpečnosti, ktoré spoločnostiam ukladajú prísnejšie sankcie, ako aj federálne požiadavky na informovanie zákazníkov v prípade porušenia bezpečnosti a dodržiavanie určitých minimálnych postupov, pokiaľ ide o politiky týkajúce sa kybernetických údajov.
