Сумнівне порушення цільової безпеки, яке викрило фінансову та особисту інформацію десятків мільйонів американців наприкінці минулого року, стало наслідком неспроможності компанії зберігати свої рутинні операції та функції обслуговування в окремій мережі від критичних функцій оплати, згідно з інформацією з безпеки дослідник Брайан Кребс, який вперше повідомив про порушення в грудні.
Мишень минулого тижня The Wall Street Journal виявила, що початкове порушення її мережі простежується для входу в інформацію, викрадену у сторонніх постачальників. Зараз пан Кребс повідомляє, що йдеться про постачальника послуг Fazio Mechanical Services, фірми, що базується в Шарпсбурзі, штат Пенсільванія, яка уклала контракти з Target, щоб забезпечити охолодження та встановлення та обслуговування систем кондиціонування. Президент Fazio Росс Фаціо підтвердив, що компанію відвідала Секретна служба США в рамках розслідування, але поки не оприлюднила жодних заяв про повідомлення про залучення облікових даних для входу, призначених її працівникам.
Працівники Fazio отримали віддалений доступ до мережі Target для моніторингу таких параметрів, як споживання енергії та температури охолодження. Але оскільки, як повідомляється, Target не вдалося сегментувати свою мережу, це означало, що знаючі хакери можуть використовувати ті самі віддалені облікові дані третіх сторін для доступу до чутливих серверів торгової точки (POS) продавців. Досі невідомі хакери скористалися цією вразливістю для завантаження зловмисного програмного забезпечення до більшості POS-систем Target, які потім захопили платіж та особисту інформацію до 70 мільйонів клієнтів, які проходили в магазині з кінця листопада до середини грудня.
Це одкровення поставило під сумнів характеристику події керівниками компанії Target як складну і непередбачувану кіберкрадіжку. Хоча завантажене зловмисне програмне забезпечення справді було досить складним, і хоча співробітники Fazio покладають певну провину за допущення крадіжок даних про вхід, факт залишається фактом, що будь-яка умова була б виправдана, якби Target дотримувався вказівок безпеки та сегментував свою мережу, щоб тримати платіжні сервери ізольованими з мереж, які дозволяють відносно широкий доступ.
Джоді Бразилія, засновник і організатор технічної фірми безпеки фірми FireMon, пояснив Computerworld : "У цьому немає нічого фантазійного. Ціль вирішила дозволити сторонній стороні доступ до своєї мережі, але не змогла належним чином захистити цей доступ. "
Якщо інші компанії не зможуть навчитися помилок Target, споживачі можуть очікувати, що наступні порушення будуть наступні. Стівен Бойер, CTO і співзасновник фірми з управління ризиками BitSight, пояснив: «У сучасному гіпермережному світі компанії працюють з дедалі більшою кількістю ділових партнерів з такими функціями, як збирання та обробка платежів, виробництво, ІТ та людські ресурси. Хакери знаходять найслабший пункт входу, щоб отримати доступ до конфіденційної інформації, і часто ця точка знаходиться в екосистемі жертви ».
Досі не було встановлено, що ціль порушила стандарти безпеки галузі платіжних карток (PCI) в результаті порушення, але деякі аналітики прогнозують проблеми в майбутньому компанії. Хоча настійно рекомендується, стандарти PCI не вимагають від організацій сегментувати свої мережі між платіжними та неплатежними функціями, але залишається питання щодо того, чи використовував цільовий доступ третьої сторони двофакторну автентифікацію, що є обов'язковою умовою. Порушення стандартів PCI може призвести до великих штрафів, і аналітик Gartner Avivah Litan сказав пан Кребсу, що за це порушення компанія може загрожувати штрафами у розмірі до 420 мільйонів доларів.
Уряд також почав діяти у відповідь на порушення. Адміністрація Обами на цьому тижні рекомендувала прийняти жорсткіші закони про кібербезпеку, що передбачає як суворіші покарання для правопорушників, так і федеральні вимоги до компаній, щоб повідомляти клієнтів у зв'язку з порушеннями безпеки та дотримуватися певних мінімальних практик, що стосуються політики щодо кібер-даних.
