Sektör de Kaybetmemek İçin 8 Kural

ABD’nin Nebraska şehrindeki Wendy’s şubesinde kasa önünde bekleyen müşterilerin niyeti sadece bir hamburger veya bir bardak kahve almaktı. Siparişini verdikleri yiyecek ve içecekleri alabilmek konusunda şanslı olsalar da, şanslarının o kadar da iyi gitmediği bir başka konu vardı: onlar daha restorandan ayrılmadan siber suçlular POS sistemine girmiş ve binlerce kartın bilgisini çalmıştı. Böyle bir şey nasıl mümkün olabilirdi? Meşhur fast-food zinciri, anlaşılması zor olsa da, POS sistemine bir güvenlik çözümü yüklemiş fakat güncellemesini zamanında yapmamıştı. Bunun sonucunda ne yazık ki müşterilerinin bilgilerini ve tüm markanın itibarını tehlikeye atmıştıdi.

POS sistemlerine yapılan saldırılar, CodeRed ve SQLSlammer gibi solucanların ortaya çıkmasıyla son birkaç yıldır artarak devam ediyor ve küçük perakendecilerden tutun, büyük otel ve restoran zincirlerine kadar herkesi etkiliyor. Verizon Veri İhlali Araştırması 2016 raporuna göre sadece 2015 yılında 525POS’a sızılması sonucunda önemli miktarda veri açık edildi. 2014’te ABD’denin ikinci büyük perakende zinciri Target’a düzenlenen ve 100 binden fazla kişinin etkilendiği vaka ise hala hatıralardan silinmiş değil. Peki POS’lara sızmak siber suçlular için neden olağanüstü karlı bir uğraş olmaya devam ediyor?

Suçluların bir numaralı motivasyonu genellikle maddi kazanç. Fiziksel satış noktaları (point-of-sale) bir kredi kartının manyetik şeridinde saklı tüm önemli bilgiyi bulundurur ve dolayısıyla bu veriler kopyalanıp sahte alışverişler için kullanılabilir. Ödeme kartı verileri ayrıca “dark web” pazarlarının yanı sıra, bu konuda uzmanlaşan,“Dump Shop” adı verilen ve suçlulara kartları coğrafi olarak filtreleme fırsatı sunarak işlerini kolaylaştıran (Örneğin: McDumpals gibi) sanal dükkânlarda satılabiliyor.

POS terminallerinin büyük bir kısmı hala 30 sene önce geliştirilmiş bir teknoloji olan manyetik şerit teknolojisine bel bağladıkları için çok kolay lokmalar olmaya devam ediyorlar. İnternet bağlantılı ve ön tanımlı varsayılan şifrelere sahip POS sistemlerisuçluların bu teknolojiye saldırmasını kolaylaştırıyor. Özel yazılımlarla korunmayan POS sistemlerinin mimarilerinde dört temel zayıf nokta bulunur:
• Verilerin bellekte saklanması
• Şifrelenmemiş verilerin aktarılması
• Yamaları yapılmamış işletim sistemleri
• Ayarlar (ön tanımlı varsayılan şifreler)

Bununla birlikte, aşağıda göreceğiniz ve birsiber güvenlik şirketi tarafından önerilenbirkaç basit önlemi almak POS saldırılarından korunmayı büyük ölçüde kolaylaştırıyor.

1) Çalışanların eğitilmesi: 2015Verizon İhlal Raporu’na göre, siber suçluların POS sistemlerine sızmak için kullandıkları ve popülaritesi giderek artan taktiklerin başında sosyal mühendislik geliyor. Gerektiğinde şifre bilgilerini vermeleri için çalışanları kolayca kandıran basit telefon aramaları, bir suçluya POS’a uzaktan erişim sağlayabilir. Çalışanlarınızın POS sistemleriniz konusunda bir karar verirken iki kere düşünmelerini sağlayın ve iş yerinde, özellikle de POS ile bağlantılı bilgisayarları kullanarak, sosyal medya linklerine veya e-posta iletilerine öylesine tıklamanın kabul edilemeyecek bir davranış olduğunu anladıklarından emin olun.

2) Şifre yönetimi: Bir POS sistemi kurulduktan hemen sonra ön tanımlı varsayılan şifreyi mutlaka değiştirin. Ayrıca her bir çalışanın sisteme erişimi için kendine özel kullanıcı adı ve şifresi olduğundan, şifrelerin paylaşılmadığından ve düzenli olarak yenilendiklerinden emin olun. Bir çalışanınız iş yerinden ayrıldığında, kullanıcı bilgilerinin sistemden silinmesini sağlayın.

3) Bağlantıları şifreleyin: İş yerinizdeki kablosuz ağ sistemlerinin şifreyle korunduğundan ve her bir internet bağlantısının bir güvenlik duvarı ile korunduğundan emin olun.

4) Fiziksel erişimi sınırlayın: Siber suçluların bir POS sistemini kurcalamak için kısa bir zaman aralığına ihtiyaçları vardır. Bu sebeple POS cihazınızı uzun süre başı boş bırakmayın. Cihazın etrafına, müşterilerin ona erişimini zorlaştıracak fiziksel bir engel koyun.

5) Her bir cihazın işletim sisteminin güncel olduğundan emin olun: Çalışanlarınızı Windows’un ve diğer uygulamaların güncelleme uyarılarını görmezden gelmemeleri konusunda eğitin.

6) Bulabildiğiniz en iyi POS güvenliği yazılımını yükleyin: Perakendecilere yapılan saldırılar büyük oranda sofistike zararlı yazılımlarla yapılır, dolayısıylaPOS’lar özelinde koruma hayati önem taşır. KasperskyLab, ödeme kartı sistemlerini POS dolandırıcılarından korumak amacıyla Kaspersky Embedded Systems Security adlı çözümü sunuyor. Bu noktada güvenlik yazılımlarının, yani tüm yama ve veri tabanı güncellemelerinin zamanında yapılması da önem teşkil ediyor.

7) İnternet erişimi yönetimi: Çalışanlarınızın POS cihazı üzerinden internete girişini tamamen yasaklamak iyi bir fikir olabilir. İnternet gerekli olduğunda ise bazı sitelere erişim kısıtlanabilir. Örneğin Kaspersky Small Office Security çözümü, işverenlere çalışanlarının bir takım sitelere (örneğin sosyal medya sitelerine) girişini veya yazılımlar indirmelerini engelleyebilme imkanı tanıyor.

8) Şifreleyin ve yedekleyin: Birçok ülkede, müşteri verisi saklayan şirketler yasal olarak söz konusu veriyi şifrelemekle yükümlüdür.Bu zorunlu değilse bile, ödeme bilgileri gibi hassas verilerin korunması her zaman önerilir. Ayrıca, iş özelindeki tüm önemli kayıtların harici bir bellekte veya bulutta yedeklenmesi gerekir. Bu yedekleme dosyalarının şifrelenmesi yanlışlıkla silinmelerini de önleyecektir.

ABD dahil, birçok ülkenin EMV tipi kartlara geçiş yapmasıyla dünya daha güvenli bir hale geliyor. Fakat bu da hackerları iyi korunmayan POS sistemlerine saldırıya teşvik ediyor. Perakendeciler ve restoran sahipleri, bu saldırılara hedef olmamak için müşterilerinin kart bilgilerini güvenle sakladıklarından emin olmalı.