Зловещото нарушение на сигурността на Target, което разкри финансовата и личната информация на десетки милиони американци в края на миналата година, беше резултат от провала на компанията да запази рутинните си операции и функции за поддръжка в отделна мрежа от критичните платежни функции, сочи информация от сигурността изследователят Брайън Кребс, който за първи път докладва за нарушението през декември.
Миналата седмица Target разкри пред The Wall Street Journal , че първоначалното нарушение на мрежата му е било проследено, за да влезе в информация, открадната от трети доставчик. Г-н Krebs сега съобщава, че въпросният доставчик е Fazio Mechanical Services, фирма, базирана в Шарпсбург, Пенсилвания, която сключи договор с Target за осигуряване на хладилна и климатична инсталация и поддръжка. Президентът на Fazio Рос Фацио потвърди, че компанията е посетена от секретната служба на САЩ като част от разследването, но все още не е направила публични изявления за докладваното участие на идентификационни данни за вход, възложени на нейните служители.
Служителите на Fazio получиха дистанционен достъп до мрежата на Target за наблюдение на параметри като консумация на енергия и температура на охлаждане. Но тъй като според съобщенията Target не успя да сегментира мрежата си, това означаваше, че знаещите хакери могат да използват същите тези отдалечени идентификационни данни на трети страни за достъп до сървърите на чувствителната точка на продажба на търговците (POS). Все още неизвестните хакери се възползваха от тази уязвимост, за да качат злонамерен софтуер в по-голямата част от POS системите на Target, които след това обхванаха плащанията и личната информация на до 70 милиона клиенти, които пазаруваха в магазина между края на ноември и средата на декември.
Това разкритие постави под съмнение характеристиката на събитието от ръководителите на Target като сложна и непредвидена киберкражба. Докато каченият злонамерен софтуер наистина беше доста сложен и докато служителите на Fazio споделят известна вина за допускането на кражбата на идентификационни данни за вход, остава фактът, че всяко условие би било оправдано, ако Target е следвал указанията за сигурност и е сегментирал мрежата си, за да поддържа платежните сървъри изолирани от мрежи, които позволяват сравнително широк достъп.
Джоди Бразилия, основател и CTO на охранителната фирма FireMon, обясни пред Computerworld : „Няма нищо фантастично. Target избра да разреши достъп на трети страни до мрежата си, но не успя да осигури правилно този достъп. “
Ако други компании не успеят да се научат от грешките на Target, потребителите могат да очакват още повече нарушения. Стивън Бойер, CTO и съосновател на фирмата за управление на риска BitSight обясни: „В днешния хипер-мрежов свят компаниите работят с все повече бизнес партньори с функции като събиране на плащания и обработка, производство, ИТ и човешки ресурси. Хакерите намират най-слабата точка за влизане, за да получат достъп до чувствителна информация и често тази точка е в екосистемата на жертвата. “
Все още не е установено, че Target е нарушила стандартите за сигурност на индустрията на разплащателни карти (PCI) в резултат на нарушението, но някои анализатори предвиждат проблеми в бъдещето на компанията. Въпреки че са силно препоръчителни, PCI стандартите не изискват организациите да сегментират своите мрежи между платежни и неплащащи функции, но остава въпросът дали достъпът на трети страни на Target е използвал двуфакторна автентификация, което е изискване. Нарушаването на стандартите за PCI може да доведе до големи глоби, а анализаторът на Gartner Avivah Litan каза на г-н Krebs, че компанията може да получи наказания до 420 милиона долара за нарушението.
Правителството също започна да действа в отговор на нарушението. Администрацията на Обама тази седмица препоръча приемането на по-строги закони за киберсигурност, като се налагат както по-строги санкции за нарушителите, така и федерални изисквания за компаниите да уведомяват клиентите след нарушаване на сигурността и да следват определени минимални практики, що се отнася до политиките за киберпредаване.
