27
אוק
08

אבטחת מידע בפיצוציה

אני לא צוחק. הכותרת רצינית.

אני כל הזמן שומע כמה קשה להטמיע מנגנוני אבטחת מידע בארגונים לא טכנולוגיים (כולל זה שלי). קשה למשתמשים, קשה למטמיעים, זה קשה…

לפני כמה ימים קניתי סנדביץ' בפיצוציה ובזמן שהכינו את הבאגט, אחד המוכרים התחבר לאפליקציה כלשהי וקפץ לו חלון הזדהות ל – eToken. בין השניצל לסלט, הוא תקתק את תהליך ההזדהות כאילו הוא מפתח C++ מיומן. שום בעיות, שום פניות ל – Help Desk. ביקשתי ממנו רשות וצילמתי. תלחצו על התמונה להגדלה.

טוקן בפיצוציה

מודעות פרסומת

7 Responses to “אבטחת מידע בפיצוציה”


  1. 29/10/2008 ב- 6:40

    מסכים איתך.
    שמעתי מיליון פעם את הטענה שיהיה קשה להטמיע כי אף אחד לא יוכל להתרגל וכ"ו.
    האמת היא שזה הרבה יותר פשוט:אם אין ברירה – המשתמשים יתרגלו.

  2. 2 ניב
    31/10/2008 ב- 12:06

    גיא, זה לא ממש נכון. יש ארגונים שההתנגדות לאמצעי אבטחת מידע או אפילו סתם אמצעים שלכאורה נועדו להקל על המשתמשים נתקלו בכל כך הרבה התנגדות מהעובדים (ובעיקר איפה שיש ועד עובדים חזק) שהדברים ירדו מן הפרק.
    זכור לי למשל בנק שעבדתי עבורו. מטה הבנק עבר לבנין משרדים חדיש ומודרני והקב"ט ביקש בתמימות רבה להתקין זיהוי ביומטרי בכניסה למעליות כדי לחסוך לאנשים להוציא את התג (שלא לדבר על כאלה ששכחו את התג בבית או השאירו במשרד) ולהקל על עבודת השומרים. זה עורר כזו התנגדות שהעסק ירד. ומדוע? אחת הסיבות הפרוזאיות היתה שמסתבר שיש אנשים שלא באמת באים לעבודה ומישהו אחר מעביר עבורם את התג… בזיהוי ביומטרי זה לא יעבור… היו גם סיבות נוספות כמובן.

  3. 3 ניב
    31/10/2008 ב- 12:09

    נחמד. חשבתי שאתה הולך לדבר על משהו אחר: אותי מטריד בכל פעם שאני רואה בית עסק, מסעדה, פיצוציה וכיו"ב – במקומות רבים בעולם כיום הקופה או מערכת הקופות מחוברת לאינטרנט משום שהתקשורת בין הסניף למרכז או לשב"א למשל מתבצעת דרך אינטרנט (עם VPN או בלעדיו…).
    פה ושם אתה אפילו רואה את העובד גולש באינטרנט דרך מחשב הקופה… ונשאלת השאלה כמה זה מאובטח משום שאפשר לחדור לקופות אלה, לגנוב נתוני לקוחות, מספרי אשראי וכן הלאה ואולי אפילו לבצע הונאות מקוונות.
    נדמה לי שלאחרונה פורסם יותר ויותר שחלק מהכנופיות הגלובליות העוסקות בגניבת מידע ומספרי כרטיסי אשראי עשו זאת בין היתר דרך מקומות בלתי מאובטחים שכאלה.

  4. 02/11/2008 ב- 10:10

    את האבטחה כמובן נדרש ליישם בצד של שב"א.
    מאף נקודה שהיא, לא רק מפיצוציה, לא אמורים להיות מסוגלים לשלוף נתוני כרטיסי אשראי, אלא רק לשלוח נתוני סליקה.
    עלולה להתעורר בעיה אם ב – POS (במקרה זה בפיצוציה), נשמרים נתוני כרטיסי אשראי המחוייבים באותה נקודה.

  5. 08/11/2008 ב- 0:08

    ניב, אני חייב להודות שאני לא אוהב את הגישה של לוותר כשזה נוגע למשהו באמת מהותי.
    ומה אם העובדים היו מתנגדים לסיסמה לחשבון משתמש שלהם כי זה מונע מהעמיתים שלהם להכנס לחשבון שלהם כשהם לא נמצאים? הרי התנגדות לדבר כזה לא היתה מתקבלת.
    בסופו של דבר הכל תלוי איפה אתה שם את הגבול.
    אם אתה יודע שבמידה ותוותר תקבל בעיית אבטחה רצינית אתה באמת מאמין שהעובדים היו יכולים לשנות משהו?
    אם היום בבנקים העובדים ידרשו אינטרנט זמין במחשב שלהם זה באמת יתקבל בברכה? אם זה יקרה במשרד הבטחון?
    הרי זה ברור שיש גבול שאותו לא חוצים.
    בקיצור – אם אין ברירה, המשתמשים יתרגלו.

  6. 08/11/2008 ב- 0:12

    CISO, אני חושב שניב העלה נקודה מעניינת.
    KEYLOGGER פשוט על המחשבים האלה ויש לך את כל הנתונים גם בלי שהם ייאגרו במחשב.
    אגב, לא חייבים חיבור לאינטרנט.
    יש כבר KEYLOGGERS בחומרה קטנים מאוד. שניה להתקין, עוד שניה להסיר אחרי כמה ימים. בדרך אספת כמה מאות/אלפים של כרטיסים ופרטים אחרים.

  7. 09/11/2008 ב- 14:43

    גיא, אתה צודק. מהמעט שאני מכיר את תקן PCI, חברות האשראי חייבות לדאוג לאבטחה נאותה גם בנקודות הקצה (PoS).
    מסרטון של PCI שראיתי, בחורה אמריקנית ספגה קנס כבד (מליונים של דולרים) בגלל שמהמחשב בעסק שלה גנבו נתוני כרטיסי אשראי.
    אגב, Key Logger לא יתפוס העברת כרטיס דרך הקורא, אלא רק הקלדה של מספרים.

    קצת Off Topic אך לא לגמרי: בידיעות אחרונות בסוף שבוע היה ראיון עם בכיר ב – Master Card העולמית שציין שישראל נמצאת במקום השני בעולם בכל מה שקשור לתקינות השימוש בכרטיסי אשראי (כלומר אנחנו במקום טוב). זה נובע מכך שהכרטיסים מונפקים לרוב דרך הבנקים בניגוד למקומות אחרים בעולם.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


אוקטובר 2008
א ב ג ד ה ו ש
« ספט   נוב »
 1234
567891011
12131415161718
19202122232425
262728293031  

%d בלוגרים אהבו את זה: