Zloglasna kršitev varnosti Target, ki je konec lanskega leta razkrila finančne in osebne podatke več deset milijonov Američanov, je bila posledica tega, da podjetje svojih rutinskih operacij in vzdrževalnih funkcij ni ločeno od omrežja kritičnih plačilnih funkcij. raziskovalec Brian Krebs, ki je kršitev prvič prijavil decembra.
Target je prejšnji teden za Wall Street Journal razkril, da je bila za prvotno kršitev omrežja zaslediti informacije o prijavi, ukradene od tretjega prodajalca. G. Krebs zdaj poroča, da je bil zadevni prodajalec Fazio Mechanical Services, podjetje s sedežem v Sharpsburgu, PA, ki je s Targetom sklenilo pogodbo za zagotavljanje hladilne in HVAC-ove namestitve in vzdrževanja. Predsednik Fazia Ross Fazio je potrdil, da je podjetje obiskala ameriška tajna služba v okviru preiskave, vendar še ni dal nobenih javnih izjav o prijavljeni vpletenosti poverilnic za prijavo, ki so ji bile dodeljene.
Zaposleni v Faziou so imeli dostop na daljavo do Targetovega omrežja za spremljanje parametrov, kot sta poraba energije in hladilne temperature. Ker pa Target po navedbah ni uspel segmentirati svojega omrežja, je to pomenilo, da bodo dobro obveščeni hekerji lahko uporabili iste oddaljene poverilnice tretjih oseb za dostop do strežnikov občutljive prodajalne (POS). Še vedno neznani hekerji so to ranljivost izkoristili za nalaganje zlonamerne programske opreme v večino POS-jevih sistemov Target, ki so nato zajeli plačilo in osebne podatke do 70 milijonov kupcev, ki so v trgovini nakupovali od konca novembra do sredine decembra.
To razkritje je postavilo dvom v karakterizacijo dogodka s strani direktorjev podjetja Target kot prefinjeno in nepričakovano kibernetsko tatvino. Medtem ko je bila naložena zlonamerna programska oprema res precej zapletena in čeprav zaposleni v podjetju Fazio trdijo nekaj krivde za dovoljenje za krajo poverilnic za prijavo, ostaja dejstvo, da bi bil eden od pogojev sprejet, če bi Target upošteval varnostne smernice in razdelil svojo mrežo, da bi plačilni strežniki ostali izolirani iz omrežij, ki omogočajo razmeroma širok dostop.
Jody Brazil, ustanovitelj in CTO varnostnega podjetja FireMon, je za Computerworld razložil: "Nič kaj fajn. Target se je odločil, da bo omogočil dostop tretjim osebam do svojega omrežja, vendar tega dostopa ni pravilno zavaroval. "
Če se druga podjetja ne naučijo napak v storitvi Target, lahko potrošniki pričakujejo še več kršitev. Stephen Boyer, CTO in soustanovitelj podjetja za upravljanje tveganj BitSight, je pojasnil: „Podjetja v današnjem hiper-omrežnem svetu sodelujejo z vedno več poslovnimi partnerji s funkcijami, kot so zbiranje in obdelava plačil, proizvodnja, IT in človeški viri. Hekerji najdejo najšibkejšo vstopno točko za dostop do občutljivih informacij in pogosto je ta točka znotraj ekosistema žrtve. "
Zaenkrat še ni bilo ugotovljeno, da je tarča kršila varnostne standarde industrije plačilnih kartic (PCI), vendar nekateri analitiki napovedujejo težave v prihodnosti podjetja. Standardi PCI sicer zelo priporočajo, da organizacije ne zahtevajo, da segmentirajo svoja omrežja med plačilnimi in neplačilnimi funkcijami, vendar ostaja nekaj vprašanj, ali Targetov tretji dostop uporablja dvofaktorno avtentikacijo, kar je pogoj. Kršitve standardov PCI lahko povzročijo velike globe, Gartnerjeva analitičarka Avivah Litan pa je gospodu Krebsu povedala, da se lahko zaradi kršitve podjetju spopadejo kazni v višini do 420 milijonov dolarjev.
Vlada je začela ukrepati tudi kot odziv na kršitev. Obamova administracija je ta teden priporočila sprejetje strožjih zakonov o kibernetski varnosti, ki bodo prinesle tako strožje kazni za kršitelje, kot tudi zvezne zahteve, da podjetja obvestite stranke ob kršitvah varnosti in upoštevajo določene minimalne prakse, kar zadeva politike kibernetskih podatkov.
