Règlement Général sur la Protection des Données (RGPD / GDPR)
Le ministère de la Justice des États-Unis a annoncé aujourd'hui l'arrestation d'Albert Gonzalez, un homme de Miami âgé de 28 ans, dans la plus grande poursuite pour vol d'identité enregistrée. Gonzalez est accusé, avec deux co-conspirateurs russes encore sans nom, de compromettre plus de 130 millions de comptes de cartes de crédit et de débit à partir d'une variété de cibles, y compris Heartland Payment Systems et 7-Eleven.
Alors que le ministère de la Justice Il convient de féliciter Gonzalez pour son enquête et son inculpation, l'arrestation ne permettra pas de «briser» les comptes déjà compromis et disponibles sur le marché noir. Dans un monde idéal, l'arrestation empêchera le vol d'identité, mais c'est peu probable. Il s'agit toujours d'un crime presque entièrement anonyme, capable de générer des revenus importants, et les voleurs d'identité potentiels sont plus susceptibles de se considérer comme plus intelligents et meilleurs que Gonzalez. Il a fait des erreurs, mais * ils * ne seront pas attrapés.
Alors, félicitations au ministère de la Justice, mais vous devez toujours surveiller votre dos et protéger vos réseaux et vos données contre des attaques similaires. Voici trois conseils pour vous aider à protéger vos données et vous assurer de ne pas devenir les prochains systèmes de paiement Heartland.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]1. Sécurité sans fil . Les réseaux sans fil existent dans la plupart des entreprises ces jours-ci. Le problème avec les réseaux sans fil, c'est qu'ils permettent aux employés de se déplacer et de rester connectés au réseau, mais ils offrent également la possibilité aux utilisateurs non autorisés qui se trouvent à portée du point d'accès sans fil d'y accéder également. Les violations de données chez TJX et Lowes ont toutes deux été rendues possibles grâce à une sécurité réseau faible ou inexistante.
Les réseaux sans fil doivent être séparés du réseau principal pour fournir une couche de protection supplémentaire. La connexion sans fil doit être sécurisée au minimum avec un chiffrement WPA ou WPA2. C'est encore mieux si une autre forme d'authentification est utilisée pour accéder au réseau sans fil. Il devrait également y avoir une politique contre la mise en place de réseaux sans fil non autorisés et l'analyse périodique pour s'assurer que les réseaux non autorisés n'existent pas
2. Conformité . En acceptant, traitant, transmettant ou stockant des données de transaction de carte de crédit, les organisations qui ont été compromises dans ces attaques sont soumises aux exigences des normes PCI DSS (Payment Card Industry Data Security Standards). PCI DSS a été développé par l'industrie des cartes de crédit pour fournir des exigences de sécurité de base pour les entreprises qui traitent les informations sensibles sur les cartes de crédit.
Beaucoup de sociétés sont également soumises à d'autres obligations de conformité telles que Sarbanes-Oxley ou Gramm-Leach -Bliley Act (GLBA). Il est important pour les entreprises de respecter l'esprit ainsi que la lettre des exigences de conformité. Gardez à l'esprit que remplir une liste de contrôle ou passer une vérification ne sont pas les objectifs de la conformité. L'objectif est de protéger les données sensibles et les ressources réseau. Faire le strict minimum pour se débarrasser d'un audit de conformité peut laisser des faiblesses qui pourraient compromettre la réputation de l'entreprise et coûtent souvent beaucoup plus cher que la conformité.
3. Diligence . C'est le grand. La sécurité est un travail à temps plein 24/7/365. Verrouiller le réseau sans fil et élaborer une politique interdisant les réseaux malveillants est une bonne idée, mais que se passe-t-il si quelqu'un enfreint la politique et déploie un réseau sans fil malveillant la semaine prochaine? Passer un audit de conformité PCI DSS est génial, mais les employés vont et viennent, les systèmes informatiques sont provisionnés et désaffectés, et de nouvelles technologies sont introduites sur le réseau. Le fait que le réseau soit conforme au moment de l'audit ne signifie pas qu'il sera toujours conforme un mois plus tard.
Les attaquants travaillent constamment pour exposer les faiblesses des défenses réseau. Les administrateurs de réseau et de sécurité doivent rester aussi diligents à suivre les techniques d'attaque et les contre-mesures. Plus important encore, vous devez surveiller l'activité du système de détection et de prévention des intrusions, les journaux du pare-feu et d'autres données pour rester vigilant face aux signes de compromission ou d'activité suspecte. Plus tôt vous pourrez identifier et arrêter une attaque, moins les données seront compromises et plus vous serez un héros au lieu d'un zéro.
Tony Bradley est un expert de la sécurité de l'information et des communications unifiées avec plus d'une décennie d'expérience en informatique d'entreprise. Il tweete comme @PCSecurityNews et fournit des astuces, des conseils et des avis sur la sécurité de l'information et les technologies de communications unifiées sur son site tonybradley.com.
Heartland se déchaine après une violation de données
Dans les mois qui ont suivi la divulgation de ce qui pourrait être la plus grande violation de données de l'histoire américaine, le PDG de Heartland Au cours des mois qui ont suivi la divulgation de ce qui pourrait être la plus grande violation de données dans l'histoire des États-Unis, Robert O. Carr, président et chef de la direction de Heartland, est sorti balancer. Plutôt que de se lancer dans une spirale mortelle de contrôle des dommages, atténuant la révélation de la fuite de 100 millions
Le courtier ChoicePoint, victime d'une violation de données en 2004 affectant plus de 160 000 résidents américains, a accepté de renforcer ses efforts de sécurité des données et de payer une amende pour une deuxième violation en 2008, a annoncé lundi la Federal Trade Commission. une filiale de Reed Elsevier paiera 275 000 $ US pour régler la plus récente plainte de FTC. La FTC a accusé la société de ne pas avoir mis en place un programme complet de sécurité de l'information pour protéger les ren
La violation d'avril 2008 compromettait les données personnelles de 13 750 personnes un communiqué de presse. ChoicePoint a désactivé un outil de sécurité électronique «clé» utilisé pour surveiller l'accès à l'une de ses bases de données et n'a pas détecté que l'outil de sécurité avait été éteint pendant quatre mois, a déclaré la FTC. depuis votre PC Windows]
Fortify Software, une société privée basée à San Mateo en Californie, se spécialise dans les logiciels des problèmes dans le code pouvant entraîner des vulnérabilités logicielles, qui pourraient être exploitées par un attaquant, provoquant des problèmes tels qu'une violation de données.
HP a déclaré que l'expertise de Fortify dans l'analyse de sécurité des applications statiques viendrait compléter son analyse dynamique de sécurité applicative. Selon le site Web de Fortify, les tests de sécurité des applications statiques peuvent révéler des vulnérabilités lors du développement ou de l'assurance qualité d'un projet. Les tests dynamiques de sécurité applicative détectent les vulnérabilités dans une application active et évaluent la sécurité globale de l'application.