12 مورد از بزرگترین تهدیدات امنیتی پرداخت

خبر بانکداری نوین و پرداخت
20 سال گذشته مودم‌های کنترل نشده فرصت‌های بی‌شماری را برای سواستفاده‌ی هکرها بوجود آورد. اما امروزه بدافزارها، پچ کردن ضعیف و میان‌افزارها دلایل سواستفاده هستند. جایی که پسوردهای نامناسب وجود دارد، کمپین‌های فیشینگ هدفمند، راه آسانی را برای افراد فاسد فراهم می‌سازد. چیزهای زیادی تغییر کرده و اگر ما بخواهیم در این نبرد علیه کلاه‌برداری سایبری برنده شویم، باید تکنولوژی، روندها و طرز فکرها را تغییر دهیم.

به گزارش گروه تحقیق و ترجمه عصر بانک؛مشتریان اغلب خواهان سهولت، سرعت و مهمتر از همه امنیت هستند. این خواسته‌‌ها فعالان این صنعت را مجبور می‌کند تا تجربه‌‌ای بدون دردسر و بسیار امن را به مشتریان ارائه دهند.بنابراین وقتی شما مسئولیت پرداخت را می‌‌پذیرید، باید امنیت را در همه‌‌ی بخش‌‌های سازمان برقرار سازید. در اینجا به یک مثال واقعی می‌‌پردازیم: وقتی یک شرکت تامین‌‌کننده‌‌ی تهویه‌‌ی هوا توسط متخلفان هک شده بود، هکرها به شبکه‌‌ی شرکت و سرانجام به شبکه‌‌ی پایانه‌‌ی فروش دسترسی پیدا کردند که باعث بوجود آمدن شکاف بزرگی در روند کار آن شرکت شد.

یک شرکت امنیتی لیست سالانه‌‌ای از 12 تهدید امنیتی سایبری بسیار مهم در 20 سال گذشته را گردآوری کرده که کلیات آن احتمالاً برای همه یکسان، اما جزئیات آن در کسب و کارها متفاوت است. بنابراین 12 مورد  از عمده‌‌ترین تهدیدهای سایبری در پرداخت‌‌های امروزی به ترتیب زیر است:

12 – کارمندی که دوره‌‌ی خدمتش پایان می‌‌یابد
طبق گزارش اف‌‌بی‌‌آی 90% از جرم‌‌ها توسط کارمندان داخلی انجام می‌‌شوند. این کارمندان اغلب دسترسی و امتیازات زیادی دارند که ممکن است ضرورتی نداشته باشد. در حقیقت 55 درصد از این اتفاقات شامل سواستفاده‌‌ از این امتیازات است. یک کارمند سابق ناراضی ممکن است از دسترسی‌‌اش به‌‌منظور انجام کارهای شرورانه استفاده کند، همچنین یک کارمند ناآگاه نیز ممکن است از روی سادگی به شیوه‌‌ای عمل کند که داده‌‌های حساس را افشا کند. از این رو اتخاذ سیاست‌‌های امنیتی در رابطه با اتمام دوره‌‌ی خدمت کارمندان امری بسیار اساسی است. همچنین شما باید دسترسی کارکنان را فقط به اطلاعات مورد نیاز محدود کنید و برای جلوگیری از نابودی یک مجموعه توسط یک شخص اقدامات امنیتی را چند برابر کنید.

11- اشباع رسانه‌‌ای مسبب حساسیت‌‌زدایی
وقتی برای اولین بار تخلف بزرگی در شرکتی اتفاق می‌افتد حساسیت زیادی نسبت به آن وجود دارد و بطور غیرقابل باوری ارزش خبری برای آن بوجود میآید. ولی متاسفانه به حدی انتشار اینگونه خبرها از تخلفات روز به روز بیشتر شده که می‌‌توان گفت کارمندان و مدیران اجرایی نسبت به جدیت این‌‌گونه تخلفات حساسیت‌‌شان را از دست می‌دهند.

بسیار مهم است که امنیت را در ذهن تیم خود به اولویت تبدیل کنید. به یاد داشته باشید که این یک تخلفات کوچک نیست و دلایلی وجود دارد که این مسئله را به تیتر خبرها تبدیل کرده است.

10- حملات اینترنت اشیا
به عنوان مشتری، وقتی صحبت از دستگاه‌‌های اینترنت اشیا به میان می‌‌آید، به نظر می‌‌رسد که زیاد به آن اعتماد نداریم. در حقیقت هر چیز که قابلیت اینترنت را داشته باشد در معرض خطر هک شدن است. حتی ماشین‌‌ها، یخچال‌‌ها و حتی اسباب‌‌بازی‌‌ها نیز ممکن است مورد سو استفاده‌‌ی هکرها قرار بگیرند.

طبق پیش‌‌بینی گارتنر، 50 تریلیون گیگ دیتا توسط دستگاه‌‌های اینترنت اشیا تا سال 2020 ارسال خواهد شد که فرصت‌‌های بیشماری را برای سواستفاده‌‌ی هکرها بوجود می‌‌آورد. وقتی در حال استفاده‌‌ی این دستگاه‌‌ها هستید بطور مداوم کلمه‌‌ی عبور و تنظیمات امنیتی کارخانه‌‌ای را عوض کنید.

9- اعتماد بیش از حد به رمزگذاری داده‌‌ها
رمزگذاری چیز بسیار خوبی است، اما همه چیز نیست. امنیت رمزگذاری داده‌‌ها تنها به نوع رمزگذاری مورد استفاده‌‌ی شما و چگونگی مدیریت کلیدها بر‌می‌گردد. PCI اجازه‌‌ی بیرون بردن داده‌‌های رمزگذاری شده از حوزه استاندارد PCI را نمی‌‌دهد. به زبان ساده، رمزگذاری باید به‌‌عنوان بخشی از راه‌‌حل کلی به‌‌کار گرفته شود نه به‌‌عنوان تنها راه.

8 – آمادگی فضای ابری
همه افراد برای گذاشتن داده‌‌هایشان در فضای ابری هجوم می‌‌آورند و این قابل درک است زیرا فضای ابری مزایای متعددی را ارائه می‌‌دهد و این راهی به سمت پیشرفت است، ولی نقل مکان کردن به فضای ابری نیازمند مراقبت‌‌هایی است که فقط با پرسیدن چند سوال بجا شروع می‌‌شود، نظیر: چه‌‌کسی صاحب داده‌‌ها خواهد بود؟  کدام داده‌‌ها باید در فضای ابری قرار بگیرند؟  کدام داده‌‌ها باید از فضای ابری حذف شوند؟ داده‌‌هایی که دیگر نیازی به آنها نیست چگونه باید مدیریت شوند؟ سرانجام، زمانی بگذارید تا بفهمید شما مسئول ارائه‌‌ی چه نوع نظارتهایی برای حفاظت داده‌‌ هستید؟

7 – حمله‌‌ی سایبری هوشمند و حمله‌‌ی سایبری هدفمند
به طور معمول فیشینگ را به آسانی می‌‌توان از طریق نوشتار و املای ضعیف و همچنان شخصی نبودن ایمیل، تشخیص داد که جزء حقه‌‌های قدیمی محسوب می‌‌شود، در واقع در فیشینگ توده‌‌ای از ایمیل‌‌های مختلف به سمت مردم عادی فرستاده می‌‌شود تا آن‌‌ها را گمراه کنند. ولی  فیشینگ هدف دار نوعی حمله‌‌ی سایبری، هدفمند است که مخاطبان خاص، افراد سطح بالا با دسترسی کامل و دارای مجوز پرداخت را مورد هدف قرار می‌‌دهد. فیشینگ هدف دار حتی میتواند محتاط‌‌ترین افراد را فریب دهد. هرگز به افرادی که نمی‌‌شناسید اجازه‌‌ی دسترسی یا پرداخت ندهید. این را به عهده‌‌ی مسئول این‌‌گونه وظایف در سازمان بسپارید.

6- استفاده از دستگاه شخصی و موبایل
استفاده ازدستگاه‌‌های موبایل درسازمان‌‌های ما رایج هستند و همه‌‌ی آنها متعلق به شرکت نیستند، بلکه دستگاه‌‌های شخصی خود ما هستند.

دستگاه‌‌های موبایل‌‌های مدیریت نشده تهدیدهای جدی را ایجاد می‌‌کنند. بهره‌‌برداری از دستگاه‌‌های متفرقه خیلی آسانتر است و کارمندانی که از وضعیت خود ناراضی هستند ممکن است از کنترل شما خارج شوند.

این موضوع را با طراحی استراتژی مدیریت جامع دستگاه موبایل پیش‌‌بینی کنید و از آن پیروی کنید. تلاش کنید که بفهمید کارمندانتان به چه منظور از این دستگاه‌‌ها استفاده می‌‌کنند و  سیاست‌‌هایی را برای پیشگیری از مشکلات گفته شده اتخاذ کنید و همچنین اطلاع در این مورد که ایا همه‌‌ی دستگاه‌‌ها در حال استفاده از شبکه‌‌ی شما هستند را در اولویت قرار دهید.

5- عدم درک درست از اطلاعات امنیتی و خطرهای سایبری
گاهی اوقات ما بدترین دشمنان خودمان هستیم و چیزهایی که درباره‌‌شان نمی‌‌دانیم، می‌‌توانند به سازمان ما صدمه میزند. خطرها همیشه بوسیله‌‌ی افراد ریسک‌‌پذیر حس می‌‌شوند و اگر آنها را به‌‌ زبان نیاورند افراد از آن‌‌ها با خبر نخواهند شد.

آموزش را در اولویت قرار دهید. فک نکنید که همه افراد امنیت را به‌‌اندازه‌‌ی شما با ارزش می‌‌دانند. خودتان را جای افراد ریسک-پذیر قرار دهید و برنامه‌‌ای را برای خطرهای آنها طراحی کنید.

4 – ارائه دهندگان خدمات
شرکت‌های طرف سوم به بخش بزرگی از بسیاری از سازمان‌‌ها تبدیل شده که صرفه‌‌جویی در هزینه، تخصص و توانایی مختص به خودشان را دارند. به برخی از آنها اطلاعات بسیار حساسی سپرده می‌‌شود و همکاری بسیار تنگاتنگی با سازمان شما دارند. طبق گفته‌‌ی موسسه‌‌ی Ponemon ، متاسفانه سازمان‌‌های طرف سوم 42 درصد از تخلفات داده‌‌ای را به خود اختصاص داده‌‌اند.

نسبت به ارزیابی ارائه‌‌دهندگان خدمات طرف سوم سختگیر باشید و مطمئن شوید که آنها دارای سوابق قابل اطمینانی از نظر امنیت هستند.

3- آسیب‌‌پذیری اپلیکیشن یا میان‌‌افزارها
متجاوزان در حال سواستفاده از تعداد زیاد اپلیکیشن‌‌ها در سراسر سازمان‌‌های معمول هستند. بیشتر تامین کنندگان بزرگ کالا و خدمات در رابطه با آسیب‌‌پذیری و پچ کردن اقدامات درستی را انجام می‌‌دهند اما شما باید هوشیار باشید.

یک برنامه‌‌ی امنیتی کاربردی را طراحی کنید که این نیازها را برطرف سازد. اپلیکیشن‌‌ها را اسکن کنید و و بطور مکرر به بازبینی کد بپردازید. برنامه‌‌ی امنیتی‌‌تان را با نصب مداوم آخرین نسخه‌‌ی همه‌‌ی راه‌‌حل‌‌های امنیتی به روز کنید.

2- ضعف در اصلاح نقاط آسیب‌‌دیده
پچ در واقع یک اقدام بسیار مهم درجهت هرگونه پیشرفت و امنیت هوشیارانه در سازمان‌‌هاست که در جهت برطرف‌‌سازی آسیب‌های موجود مورد استفاده قرار می‌‌گیرد. متاسفانه ملزومات پچ کردن باید روی سیستم‌‌های عملیاتی، اپلیکیشن‌‌ها و زیرسازی شبکه پیاده شود.اینکه پچ بصورت کامل و مکرر انجام شود بسیار مهم است. با نگاهی به سال 2014 می‌‌بینیم که 99.99 درصد از آسیب‌‌های بوجود‌‌آمده در بیشتر از یک سال از شناخته شدن آنها اتفاق می‌افتد، بنابراین شما باید بطور مکرر و مداوم پچ را انجام دهید.

1- بد افزارهای پیچیده
بدافزارها بسیار پیچیده و پیشرفته شده‌‌اند، در همه چیز از ضربه زدن به کلیدها گرفته تا کشف کلمه‌‌عبور و نفوذپذیری به لپ‌تاپ‌ها، دوربین‌‌ها و میکروفون‌‌ها خلل ایجاد می‌کنند. URL  بدافزاری است که می‌‌تواند جایی که شما آنلاین شده بودید را تشخیص دهد و بدون اینکه شما متوجه شوید ممکن است ربات‌‌ها در سیستم شما نصب شوند. بدین ترتیب همه‌‌ی این اطلاعات نظیر اینکه شما که هستید، چه‌‌کار می‌‌کنید و کلمه‌‌ی عبورتان چیست،  در اختیار مجرمان قرار می‌‌گیرد.

با وجود افزایش بدافزارها و باج‌‌افزارها شما باید آخرین و بهترین نرم ا‌‌فزار امنیتی را نصب و اجرا کنید و همچنین باید در مورد لینک‌‌هایی که بر آن کلیک می‌‌کنید، صفحاتی که مشاهده می‌‌کنید و افرادی که با آنها در فضای انلاین تعامل دارید، مراقب باشید.

منبع: paymentscardsandmobile

ممکن است شما دوست داشته باشید بیشتر از نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.