كيفية منع خرق البيانات على نمط هارتلاند

أعلنت وزارة العدل الأمريكية اليوم عن اعتقال ألبرت جونزاليس ، وهو شاب من ميامي يبلغ من العمر 28 عاماً ، في أكبر عملية تحقيق لملاحقة سرقة الهوية. واتهم غونزاليس ، جنبا إلى جنب مع اثنين من المتآمرين الروس الذين لم يتم الكشف عنهم بعد ، بتسوية أكثر من 130 مليون حساب بطاقة ائتمان وخصم من مجموعة متنوعة من الأهداف بما في ذلك أنظمة الدفع Heartland و 7-Eleven.

بينما وزارة العدل ينبغي الإشادة بالتحقيق الناجح وإدانة غونزاليس ، فإن الاعتقال لن يخرق حسابات تم اختراقها بالفعل ومتاحة في السوق السوداء. في عالم مثالي ، فإن الاعتقال من شأنه أن يردع سرقة الهوية في المستقبل ، لكن هذا أمر مستبعد. إنها لا تزال جريمة مجهولة تمامًا تمامًا وقادرة على توليد إيرادات كبيرة ، ومن المرجح أن يكون لصوص الهوية المحتملين أكثر قدرة على اعتبار أنفسهم أكثر ذكاءً وأفضل من جونزاليس. لقد ارتكب أخطاء ، ولكن * لن يتم القبض عليهم.

لذا ، تنويذ وزارة العدل ، ولكنك لا تزال بحاجة إلى مراقبة ظهرك وحماية شبكاتك وبياناتك من هجمات مماثلة. فيما يلي ثلاث نصائح لمساعدتك على حماية بياناتك والتأكد من أنك لن تصبح نظام الدفع Heartland التالي.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

1. أمان لاسلكي . الشبكات اللاسلكية موجودة في معظم الشركات في هذه الأيام. الشيء الذي يدور حول الشبكات اللاسلكية هو أنها تسمح للموظفين بالتجول ولا يزالون على اتصال بالشبكة ، ولكنهم يوفرون أيضًا فرصة للمستخدمين غير المصرح لهم الذين هم ضمن نطاق نقطة الوصول اللاسلكية للوصول كذلك. كانت خروقات البيانات في TJX و Lowes ممكنة عبر أمان الشبكة اللاسلكية الضعيف أو غير الموجود.

يجب فصل الشبكات اللاسلكية عن الشبكة الأساسية لتوفير طبقة إضافية من الحماية. يجب تأمين الاتصال اللاسلكي بتشفير WPA أو WPA2 كحد أدنى. من الأفضل إذا تم استخدام نوع آخر من المصادقة للوصول إلى الشبكة اللاسلكية. يجب أن يكون هناك أيضًا سياسة ضد إعداد شبكات لاسلكية غير مصرح بها ومسح زمني لضمان عدم وجود شبكات خفية.

2. الامتثال . بحكم قبول أو معالجة أو نقل أو تخزين بيانات معاملات بطاقات الائتمان ، فإن المؤسسات التي تم اختراقها في هذه الهجمات تندرج تحت متطلبات معايير أمان بيانات بطاقة الصناعة (PCI DSS). تم تطوير نظام PCI DSS من قبل صناعة بطاقات الائتمان لتوفير متطلبات الأمان الأساسية للشركات التي تتعامل مع معلومات البطاقة الائتمانية الحساسة.

كما تقع العديد من الشركات تحت ولايات الامتثال الأخرى مثل Sarbanes-Oxley (SOX) ، أو Gramm-Leach - قانون بليلي (GLBA). من المهم أن تحترم الشركات الروح وكذلك متطلبات الامتثال. ضع في اعتبارك أن إكمال قائمة المراجعة أو تمرير التدقيق ليست أهدافًا للامتثال. الهدف هو حماية البيانات الحساسة وموارد الشبكة. قد يؤدي القيام بالحد الأدنى للتخلص من تدقيق الامتثال إلى ترك بعض نقاط الضعف التي قد تؤدي إلى تنازل البيانات التي تسيء سمعة الشركة وغالباً ما تكون أكثر تكلفة من الامتثال.

3. الاجتهاد . هذا هو واحد كبير. الأمن هو 24/7/365 وظيفة بدوام كامل. إن إغلاق الشبكة اللاسلكية ووضع سياسة تحظر الشبكات المارقة أمر رائع ، ولكن ماذا لو انتهك شخص ما السياسة وينشر شبكة لاسلكية مارقة الأسبوع المقبل؟ يعد اجتياز تدقيق الامتثال لـ PCI DSS أمرًا رائعًا ، لكن الموظفين يأتون ويذهبون ، ويتم توفير أنظمة الكمبيوتر وإيقافها ، ويتم إدخال تقنيات جديدة إلى الشبكة. فقط لأن الشبكة كانت متوافقة في وقت المراجعة لا يعني أنها ستظل متوافقة بعد شهر.

يعمل المهاجمون باستمرار على كشف نقاط الضعف في دفاعات الشبكة. يجب على مديري الشبكات والأمن أن يظلوا مثابرين في مواكبة أساليب الهجوم والتدابير المضادة. الأهم من ذلك ، يجب مراقبة نشاط نظام كشف التطفل ومنعه ، وسجلات جدار الحماية ، وغيرها من البيانات لتبقى في حالة تأهب لعلامات التضارب أو أي نشاط مشبوه. في وقت سابق يمكنك تحديد وإيقاف هجوم ، سيتم اختراق البيانات أقل وكلما ستكون بطلا بدلا من الصفر.

توني برادلي هو خبير في أمن المعلومات وخبير اتصالات موحد مع أكثر من عقد من الخبرة في تكنولوجيا المعلومات للشركات. وهو يعمل على PCSecurityNews ويقدم نصائح ومشورة ومراجعات حول أمن المعلومات وتقنيات الاتصالات الموحدة على موقعه على tonybradley.com.