Pelanggaran data Macy baru-baru ini, di mana peretas dapat mencuri informasi pribadi dan pembayaran pelanggan, adalah pengingat bahwa belanja online dan ritel bisa berisiko. Pertimbangkan bagaimana peretasan toko Target pada tahun 2014 adalah salah satu pelanggaran data sistem point-of-sale (POS) terbesar dalam sejarah Amerika Serikat yang mengekspos lebih dari 70 juta catatan pelanggan ke peretas, dan membuat CEO pengecer dan CIO kehilangan pekerjaan mereka. Kemudian terungkap bahwa serangan itu dapat dihindari jika Target baru saja menerapkan fitur pemberantasan otomatis dalam sistem anti-malware FireEye-nya.
Dengan semakin dekatnya Black Friday musim ini, organisasi harus serius melindungi sistem POS mereka. Untungnya, kenyataannya sebagian besar serangan POS dapat dihindari. Ya, ada banyak ancaman terhadap sistem POS, tetapi sekarang ada banyak cara untuk memerangi ancaman ini. Apa pun metode yang Anda gunakan, pastikan perusahaan Anda memiliki jaringan pribadi virtual (VPN) untuk melindungi data yang berjalan bolak-balik di jaringan perusahaan Anda. Baca terus untuk enam cara perusahaan Anda dapat melindungi dari gangguan POS.
Gunakan iPad untuk POS
Sebagian besar serangan yang disebutkan di atas merupakan hasil dari aplikasi malware yang dimuat ke dalam memori sistem POS. Peretas dapat secara diam-diam mengunggah aplikasi malware ke dalam sistem POS dan kemudian mencuri data, tanpa pengguna atau pedagang menyadari apa yang terjadi. Poin penting yang perlu diperhatikan di sini adalah bahwa aplikasi kedua harus berjalan (selain aplikasi POS), jika tidak, serangan tidak dapat terjadi. Inilah sebabnya mengapa iOS secara tradisional memfasilitasi lebih sedikit serangan. Karena iOS hanya dapat sepenuhnya menjalankan satu aplikasi dalam satu waktu, jenis serangan seperti ini jarang terjadi pada perangkat buatan Apple.
“Salah satu keuntungan Windows adalah menjalankan beberapa aplikasi sekaligus,” kata Chris Ciabarra, salah satu pendiri platform POS Revel Systems. “Microsoft tidak ingin keuntungan itu hilang…tapi mengapa menurut Anda Windows selalu crash? Semua aplikasi itu berjalan dan menggunakan semua memori Anda.”
Agar adil, Revel Systems menjual sistem POS yang dirancang khusus untuk iPad, jadi Ciabarra tertarik untuk mendorong perangkat keras Apple. Namun, ada alasan mengapa Anda jarang, jika pernah, mendengar tentang serangan POS yang terjadi pada sistem POS khusus Apple. Ingat ketika iPad Pro diluncurkan? Semua orang bertanya-tanya apakah Apple akan mengaktifkan fungsionalitas multitasking yang sebenarnya, yang akan memungkinkan dua aplikasi berjalan secara bersamaan dengan kapasitas penuh. Bahkan dalam iterasi terbarunya, Apple masih meninggalkan fitur ini dari iPad Pro terbaru, yang membuat kecewa semua orang kecuali para pengguna yang cenderung menjalankan perangkat lunak POS di perangkat mereka.
Gunakan Enkripsi End-to-End
Perusahaan seperti Verifone menawarkan perangkat lunak yang dirancang untuk menjamin data pelanggan Anda tidak pernah dibobol peretas. Alat-alat ini mengenkripsi informasi kartu kredit begitu diterima di perangkat POS dan sekali lagi saat dikirim ke server perangkat lunak. Ini berarti bahwa data tidak pernah rentan, di mana pun peretas mungkin memasang malware.
“Anda menginginkan unit terenkripsi point-to-point yang sebenarnya,” kata Ciabarra. “Anda ingin data langsung dari unit ke gateway. Data kartu kredit bahkan tidak akan menyentuh unit POS.”
Instal Antivirus di Sistem POS
Ini adalah solusi sederhana dan jelas untuk mencegah serangan POS. Jika Anda ingin memastikan malware berbahaya tidak menyusup ke sistem Anda, instal perangkat lunak perlindungan titik akhir di perangkat Anda.
Alat ini akan memindai perangkat lunak pada perangkat POS Anda dan mendeteksi file atau aplikasi bermasalah yang perlu segera dihapus. Perangkat lunak akan mengingatkan Anda untuk area masalah dan membantu Anda memulai proses pembersihan yang diperlukan untuk menjamin malware tidak mengakibatkan pencurian data.
Kunci Sistem Anda
Meskipun sangat tidak mungkin bahwa karyawan Anda akan menggunakan perangkat POS Anda untuk tujuan jahat, masih ada banyak potensi pekerjaan internal atau bahkan hanya kesalahan manusia yang menyebabkan masalah besar. Karyawan dapat mencuri perangkat dengan perangkat lunak POS yang terinstal di dalamnya, atau secara tidak sengaja meninggalkan perangkat di kantor atau di toko, atau kehilangan perangkat. Jika perangkat hilang atau dicuri, siapa pun yang kemudian mengakses perangkat dan perangkat lunak (terutama jika Anda tidak mengikuti aturan #2 di atas) akan dapat melihat dan mencuri catatan pelanggan.
Untuk memastikan bahwa perusahaan Anda tidak menjadi korban pencurian semacam ini, pastikan untuk mengunci semua perangkat Anda di akhir hari kerja. Akun untuk semua perangkat setiap hari, dan amankan di tempat yang tidak dapat diakses oleh siapa pun kecuali beberapa karyawan tertentu.
Hindari Menghubungkan POS Anda ke Jaringan Eksternal
Peretas paling berbahaya dapat membahayakan sistem dari jarak jauh dan tidak perlu berada di lokasi ritel untuk menyedot informasi bisnis dan klien yang berharga. Sistem yang terhubung ke jaringan eksternal lebih rentan terhadap serangan peretas. Beberapa yang mungkin telah menyusup ke sistem eksternal dengan perangkat lunak yang tidak aktif sampai mereka terhubung dengan POS. Pertimbangkan untuk menjaga hal-hal internal dan aman, gunakan jaringan perusahaan untuk menangani tugas-tugas penting seperti pemrosesan pembayaran.
Jadilah PCI-Compliant dari Atas ke Bawah
Selain mengelola sistem POS, Anda harus mematuhi Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) di semua pembaca kartu, jaringan, router, server, keranjang belanja online, dan bahkan file kertas. Dewan Standar Keamanan PCI menyarankan agar perusahaan secara aktif memantau dan menginventarisasi aset TI dan proses bisnis untuk mendeteksi kerentanan apa pun. Dewan juga menyarankan untuk menghapus data pemegang kartu kecuali benar-benar diperlukan, dan menjaga komunikasi dengan bank dan merek kartu untuk memastikan tidak ada masalah yang terjadi atau telah terjadi.
Anda dapat menyewa penilai keamanan yang memenuhi syarat untuk meninjau bisnis Anda secara berkala untuk menentukan apakah Anda mengikuti standar PCI atau tidak. Jika Anda khawatir tentang memberikan akses sistem Anda ke pihak ketiga, Dewan menyediakan daftar penilai bersertifikat.
Pekerjakan Pakar Keamanan
“CIO tidak akan tahu semua yang akan diketahui oleh pakar keamanan,” kata Ciabarra. “CIO tidak dapat selalu mengetahui semua yang terjadi dalam keamanan. Tetapi satu-satunya tanggung jawab pakar keamanan adalah untuk tetap mengetahui segala sesuatu.”
Jika perusahaan Anda terlalu kecil untuk mempekerjakan pakar keamanan khusus selain eksekutif teknologi, maka Anda setidaknya ingin mempekerjakan seseorang dengan latar belakang keamanan yang mendalam yang akan tahu kapan saatnya menghubungi pihak ketiga untuk meminta bantuan.
Leave a Reply