Şirketlerin Kredi Kartı Veri Güvenliği Standartlarına (PCI DSS) uyum sağlamasına yardımcı olan SecurityMetrics, kredi kartı verisinin ele geçirildiğinden şüphelenilen kuruluşların e-ticaret ortamlarının adli incelemesini gerçekleştirdi.
Araştırmada, tanınmış şirketlerin veri ihlali konusunda artan farkındalığına rağmen, ihlalin en önemli sebebinin güvenli olmayan uzaktan erişim olduğu saptandı: SecurityMetrics’in belirttiğine göre bir önceki yıl incelenen ihlallerinin %39’unda güvenlik bariyerini aşma yöntemleri kullanıldı.
Bilgisayar korsanları bu işe yarayan yöntemi kullanmaya devam edeceklerdir, ancak neyse ki bu ihlallerden korunmanın yolları var; ki bu uygulamalar yalnızca öneri değil, aynı zamanda şirketlerin PCI-DSS uyumunu sağlamaları için gerekli olan adımlar.
İşte, korsanları şirket verilerinden uzak tutmaya yarayan 10 SecurityMetrics yöntemi:
Sisteminizi güvenlik duvarıyla koruyun.
İhlal yaşayan şirketler arasından %52’si sistemlerinin herhangi bir korumaya sahip olmadığını söyledi, sadece %30’u güvenlik duvarına sahip olduğunu belirtti.
Yeterli konfigürasyon standardı kullanın.
Üreticilerin verdiği varsayılan şifreler saldırıya uğramış şirketlerin %55’i tarafından kullanılmaktadır.
Güvenli olmayan şekilde depolanan kart verilerini sistemden temizleyerek kart sahibi verilerini güvenli hale getirin.
Araştırılan şirketlerin %82’si bunu yapmıyor. Şifrelenmemiş kredi kartı verileri sızıntı yollarından biri. Ancak bilgisayar korsanları orada bulunmayan şeyleri hackleyemezler.
Açık ve genel ağlar üzerinden veri güvenliği sağlayın.
SSL hassas bilgilerin iletilmesini sağlamak için bir tarayıcı ve web sitesi arasındaki bağlantıyı şifrelemek için kullanılan bir internet güvenliği standardıydı. Bunun yerine TLS (Transport Layer Security – Taşıma Katmanı Güvenliği) kullanılmaya başlandı. SSL şifreleme yöntemi veya TLS’nin erken bir sürümüne sahip olmak güvenlik için çok tehlikelidir, çünkü birçok güvenlik açığına sahiptir. Mümkün olduğunca erken bunları değiştirin.
Sisteminizi antivirüs ve anti-malware yazılımları ile koruyun.
Bunu herkes bilir ancak incelenen şirketlerin %61’i bunu yapmıyordu.
Sistemleri ve sistem eklerini güncelleyin.
Uygulama geliştiriciler mükemmel değildir, bu nedenle güvenlik açıklarını düzeltmek için güncellemelere ihtiyaç duyarız. Bir hacker sistem açığından nasıl geçeceğini öğrendiğinde bu bilgileri diğer arkadaşlarına iletir. Ve şirketlerin neredeyse yarısı kapısını onlar için açık tutmaktadır.
Kart sahibi bilgileri ve sistemine erişimi kısıtlayın.
Şirketlerin göreve dayalı erişim kontrol sistemlerine sahip olması gerekir. Böylece sadece bilmesi gereken kişiler ve gruplar kart verisi ve sistemlerine erişime sahip olur. Ancak şirketlerin %85’i buna uymamaktadır.
Özgün kimlik bilgileri kullanın. Zayıf şifreler ve kullanıcı adları şifre kırma aracıyla kolayca kırılabilir. Bu nedenle onları uzun ve karmaşık yapmak en iyisidir.
Fiziksel güvenliği sağlayın. Bunun çok basit olduğunu düşünebilirsiniz ancak incelenen şirketlerin %94’ü varlıklarını korumak için hiçbir adım atmamıştır. Birçok veri hırsızlığı gün ortasında çalışanlar birisinin sunucu, şirket bilgisayarı veya telefonla ofisten çıktığını fark etmeyecek kadar yoğunken yaşanmaktadır.
Log kaydı tutun ve log gözetimi ypın.
Sistem etkinlik logları güvenlik duvarları, ofis bilgisayarları ve yazıcıları gibi bilgisayar sistemlerinde gerçekleştirilen eylemleri kaydeder. İzlendiği takdirde loglar şüpheli bir eylem durumunda şirketi uyarırlar. Loglar günlük olarak gözden geçirilmelidir.
