El infame incompliment de seguretat Target que va exposar la informació financera i personal de desenes de milions de nord-americans a finals de l'any passat va ser el resultat del fracàs de la companyia de mantenir les seves operacions rutinàries i les funcions de manteniment en una xarxa separada de les funcions de pagament crítiques, segons informació de la seguretat. l’investigador Brian Krebs, que va denunciar per primera vegada l’incompliment al desembre.
La setmana passada, Target va revelar a The Wall Street Journal que l’incompliment inicial de la seva xarxa es va localitzar per iniciar la informació robada a un venedor de tercers. El Sr. Krebs informa que el venedor en qüestió era Fazio Mechanical Services, una empresa de Sharpsburg, basada en PA, que va contractar amb Target per proveir la instal·lació i manteniment de refrigeració i climatització. El president de Fazio, Ross Fazio, va confirmar que la companyia va rebre la visita del servei secret dels Estats Units com a part de la investigació, però encara no ha fet cap declaració pública sobre la participació denunciada de les credencials d’inici de sessió assignades als seus empleats.
Els empleats de Fazio van rebre accés remot a la xarxa de Target per controlar paràmetres com l’ús d’energia i les temperatures de refrigeració. Però, com suposadament, Target no ha pogut segmentar la seva xarxa, ha significat que els pirates informàtics de coneixement podrien utilitzar les mateixes credencials remotes de tercers per accedir als servidors de punt de venda sensibles (POS) del minorista. Els hackers encara desconeguts van aprofitar aquesta vulnerabilitat per carregar programari maliciós a la majoria dels sistemes de venda de targetes de Target, que després van capturar el pagament i la informació personal de fins a 70 milions de clients que van comprar a la botiga entre finals de novembre i mitjans de desembre.
Aquesta revelació ha posat en dubte la caracterització de l’esdeveniment per part d’executius de Target com un robatori cibernètic sofisticat i no anticipat. Tot i que el malware carregat era efectivament força complex i, tot i que els empleats de Fazio comparteixen algunes culpes per haver permès el robatori de les credencials d’inici de sessió, es manté el fet que qualsevol dels dos estats s’hauria retratat si Target hagués seguit les directrius de seguretat i hagués segmentat la seva xarxa per mantenir aïllats els servidors de pagaments. des de xarxes que permeten un accés relativament ampli.
Jody Brazil, fundador i CTO de la firma de seguretat FireMon, va explicar a Computerworld : "No hi ha res de fantasia. Target va optar per permetre l'accés de tercers a la seva xarxa, però no va poder assegurar correctament aquest accés. "
Si altres empreses no aconsegueixen aprendre dels errors de Target, els consumidors poden esperar encara més incompliments. Stephen Boyer, CTO i cofundador de la firma de gestió de riscos BitSight, va explicar: “En el món hiper-en xarxa actual, les empreses treballen amb cada cop més socis comercials amb funcions com la recollida i processament de pagaments, fabricació, informàtica i recursos humans. Els pirates informàtics troben el punt d’entrada més feble per accedir a informació sensible i sovint aquest punt es troba dins de l’ecosistema de la víctima. "
Encara no s'ha trobat l'objectiu de violar els estàndards de seguretat de la indústria de targetes de pagament (PCI) com a conseqüència de l'incompliment, però alguns analistes preveuen problemes en el futur de l'empresa. Tot i que és molt recomanable, els estàndards PCI no requereixen que les organitzacions segmentin les seves xarxes entre funcions de pagament i no de pagament, però queda alguna qüestió sobre si l’accés de tercers de Target va utilitzar l’autenticació de dos factors, que és un requisit. Les infraccions als estàndards PCI poden comportar multes grans i l'analista de Gartner, Avivah Litan, va dir al Sr Krebs que l'empresa podria afrontar penes de fins a 420 milions de dòlars per incompliment.
El govern també ha començat a actuar com a resposta a l'incompliment. L’administració Obama d’aquesta setmana va recomanar l’adopció de lleis més dures de ciberseguretat, amb la qual cosa s’obliguen tant penalitzacions més dures per als infractors com requisits federals per a que les empreses notifiquin els clients després d’incompliments de seguretat i seguissin algunes pràctiques mínimes quan es tractés de polítiques de ciberació de dades.
