Niesławne celowe naruszenie bezpieczeństwa, które ujawniło dane finansowe i osobiste dziesiątek milionów Amerykanów pod koniec ubiegłego roku, było wynikiem braku utrzymania przez firmę rutynowych operacji i funkcji konserwacyjnych w sieci innej niż krytyczne funkcje płatnicze, zgodnie z informacjami z bezpieczeństwa badacz Brian Krebs, który pierwszy zgłosił naruszenie w grudniu.
Cel w zeszłym tygodniu ujawnił The Wall Street Journal, że początkowe naruszenie jego sieci było śledzone w celu skradzienia informacji logowania skradzionych przez zewnętrznego dostawcę. Pan Krebs informuje teraz, że wspomnianym sprzedawcą był Fazio Mechanical Services, firma z Sharpsburga, PA, która zawarła umowę z firmą Target w celu zapewnienia chłodzenia i instalacji i konserwacji HVAC. Prezes Fazio, Ross Fazio, potwierdził, że firma została odwiedzona przez tajne służby USA w ramach dochodzenia, ale nie wydał jeszcze żadnych publicznych oświadczeń na temat zgłoszonego zaangażowania danych logowania przypisanych jej pracownikom.
Pracownicy Fazio otrzymali zdalny dostęp do sieci Target w celu monitorowania parametrów takich jak zużycie energii i temperatury chłodzenia. Ponieważ jednak firma Target podobno nie dokonała segmentacji sieci, oznaczało to, że znani hakerzy mogli korzystać z tych samych zdalnych poświadczeń stron trzecich w celu uzyskania dostępu do wrażliwych serwerów punktu sprzedaży (POS) sprzedawcy detalicznego. Wciąż nieznani hakerzy wykorzystali tę lukę do przesłania złośliwego oprogramowania do większości systemów POS Target, które następnie przechwyciły informacje o płatnościach i dane osobowe do 70 milionów klientów, którzy robili zakupy w sklepie od końca listopada do połowy grudnia.
To objawienie poddało w wątpliwość charakterystykę tego wydarzenia przez kierownictwo Target jako wyrafinowaną i nieoczekiwaną kradzież cybernetyczną. Chociaż przesłane złośliwe oprogramowanie było rzeczywiście dość skomplikowane i podczas gdy pracownicy Fazio ponoszą winę za umożliwienie kradzieży danych logowania, faktem jest, że którykolwiek z warunków zostałby unieważniony, gdyby firma Target postępowała zgodnie z wytycznymi bezpieczeństwa i segmentowała swoją sieć, aby utrzymać izolację serwerów płatniczych z sieci, które umożliwiają stosunkowo szeroki dostęp.
Jody Brazil, założycielka i dyrektor ds. Bezpieczeństwa firmy FireMon, wyjaśniła Computerworld : „Nie ma w tym nic szczególnego. Firma Target postanowiła zezwolić stronom trzecim na dostęp do swojej sieci, ale nie zapewniła odpowiedniego dostępu. ”
Jeśli inne firmy nie wyciągną wniosków z błędów Target, konsumenci mogą spodziewać się kolejnych naruszeń. Stephen Boyer, CTO i współzałożyciel BitSight, firmy zarządzającej ryzykiem, wyjaśnił: „W dzisiejszym hipersieciowym świecie firmy współpracują z coraz większą liczbą partnerów biznesowych z funkcjami takimi jak zbieranie i przetwarzanie płatności, produkcja, informatyka i zasoby ludzkie. Hakerzy znajdują najsłabszy punkt wejścia, aby uzyskać dostęp do poufnych informacji, i często ten punkt znajduje się w ekosystemie ofiary ”.
W wyniku naruszenia nie ustalono, że cel naruszył standardy bezpieczeństwa branży kart płatniczych (PCI), ale niektórzy analitycy przewidują problemy w przyszłości firmy. Chociaż wysoce zalecane, standardy PCI nie wymagają od organizacji dzielenia sieci na funkcje płatnicze i niepłatne, ale pozostaje pewne pytanie, czy dostęp strony trzeciej firmy Target wykorzystuje uwierzytelnianie dwuskładnikowe, co jest wymogiem. Naruszenie standardów PCI może skutkować wysokimi grzywnami, a analityk Gartner Avivah Litan powiedziała panu Krebsowi, że firma może zostać ukarana karą w wysokości do 420 milionów dolarów za naruszenie.
Rząd zaczął także działać w odpowiedzi na naruszenie. Administracja Obamy w tym tygodniu zaleciła przyjęcie surowszych przepisów w zakresie bezpieczeństwa cybernetycznego, przynoszących zarówno surowsze kary dla przestępców, jak i federalne wymagania dla firm w zakresie powiadamiania klientów po naruszeniach bezpieczeństwa i przestrzegania pewnych minimalnych praktyk, jeśli chodzi o zasady dotyczące danych cybernetycznych.
