Jak ukazuje raport Narodowego Banku Polskiego, w III kwartale 2024 r. w Polsce przeprowadzono 2,7 mld transakcji kartami płatniczymi, a na koniec września ub.r. funkcjonowało ponad 1,3 mln terminali POS (point-of-sale) do przyjmowania takich płatności. Ich liczba systematycznie rośnie, a transakcje bezgotówkowe stały się standardową i preferowaną formą płatności, ale – jak wszystkie inne cyfrowe udogodnienia – są narażone na cyberzagrożenia.
Systemy POS występują w różnych formach, dobieranych zależnie od potrzeb przedsiębiorstwa związanych z obsługą transakcji sprzedażowych – od prostych terminali płatniczych, po zaawansowane systemy łączące funkcje sprzedażowe i analityczne. Często jest to zwykły terminal do płacenia kartą, ale w przypadku sklepów detalicznych może być to komputer połączony z ekranem dotykowym, bazą danych i kasą fiskalną. Niezależnie od liczby połączonych urządzeń i ich typu, jeden aspekt ich funkcjonowania się nie zmienia – podczas płatności kartą aplikacje POS przetwarzają przypisane do niej informacje i dane osobiste właściciela. Dlatego środowiska point-of-sale stanowią wrażliwy punkt, a z tego powodu wystawione są na cyberzagrożenia. Przechowywane w nich dane mogą być wykorzystane do kradzieży pieniędzy, a także popełnienia poważnych oszustw dotyczących kradzieży tożsamości.
Szyfrowanie end-to-end: Skuteczna metoda ochrony systemów POS
Istnieje wiele sposobów, aby zapewnić dobrą ochronę systemowi POS. Wybierając najlepsze praktyki i dostosowane do swoich potrzeb narzędzia, firmy mogą zmaksymalizować swoje szanse na odparcie cyberataków.
Aby skutecznie zabezpieczyć systemy POS, właściciele firm oraz pracujący dla nich specjaliści ds. cyberbezpieczeństwa powinni wprowadzić szyfrowanie end-to-end, które zabezpiecza dane transakcyjne od chwili ich wprowadzenia do systemu POS, aż do momentu dotarcia do banku lub procesora płatności. Uniemożliwia to wyciek informacji choćby w przypadku naruszenia bezpieczeństwa urządzenia POS.
Kolejną bardzo istotną metodą ochrony jest uwierzytelnianie dwuskładnikowe, które polega na użyciu dodatkowego sposobu weryfikacji użytkownika podczas logowania. zwykle jest to dodatkowy kod, wysyłany przez SMS, podawany w aplikacji lub wyświetlany na fizycznym przedmiocie (tokenie), a więc w taki sposób, iż dostęp do takiego kodu ma tylko upoważniona osoba. W niektórych urządzeniach POS istnieje także możliwość stworzenia białej listy (white list) zawierającej wyłącznie te aplikacje, które mogą pracować na danym urządzeniu (uruchomienie wszystkich pozostałych zostanie zablokowane).
Jedną z taktyk umożliwiającą zwiększenie poziomu bezpieczeństwa jest korzystanie z systemu POS zainstalowanego na tabletach iPad firmy Apple. Ich system operacyjny (iOS) charakteryzuje się wieloma ograniczeniami związanymi z równoległą obsługą wielu aplikacji w danym momencie, co może skutecznie utrudnić uruchomienie działającego w tle, równocześnie z systemem POS, szkodliwego systemu do wykradania informacji.
Scenariusz, w którym to osoba pracująca w danej placówce jest odpowiedzialna bezpośrednio za atak, jest rzadko spotykany, ale możliwy. Dlatego sprzedawcy powinni blokować swoje aplikacje pod koniec każdego dnia oraz w każdej chwili, gdy urządzenie POS nie jest używane. Dodatkowym środkiem ostrożności jest ciągłe monitorowanie zachodzących procesów w systemie. Implementując te praktyki przedsiębiorca zmniejsza ryzyko wynikające z błędu lub sabotażu pracownika.
BLIK odpowiedzią na zagrożenia
Odpowiedzialność za ochronę punktu sprzedaży stoi przede wszystkim po stronie użytkującego go przedsiębiorstwa. Są jednak sposoby na zwiększenie swojego poziomu bezpieczeństwa przez konsumentów. Niektóre metody płatności są bezpieczniejsze, a jedną z nich jest BLIK.
Transakcje z zastosowaniem tej metody nie wymagają udostępniania żadnych danych systemowi POS – choćby numeru konta bankowego. Dotyczy to zarówno płatności online, jak i tych realizowanych w sklepie. Dzięki temu płatność BLIK-iem stanowi znacznie bezpieczniejszą opcję niż tradycyjna karta kredytowa. Jednakże choćby przy tej formie płacenia trzeba pamiętać o podstawowych środkach bezpieczeństwa. Nie należy udostępniać nikomu swojego kodu BLIK, szczególnie przez internetowe komunikatory. W sytuacji zgubienia telefonu, należy niezwłocznie skontaktować się z bankiem w celu zamrożenia konta.
Aspekty cyberbezpieczeństwa zwykle nie są priorytetem podczas codziennych czynności, szczególnie przy tak powtarzalnych jak płatność kartą. Jednak zagrożenie ze strony cyberprzestępców jest realne, a skutki udanego ataku na punkty sprzedaży mogą być poważne. Fortinet rekomenduje wdrażanie kompleksowych rozwiązań zabezpieczających systemy POS oraz monitorowanie ruchu sieciowego w celu wykrywania anomalii. Udane ataki na urządzenia point-of-sale mogą skutkować poważnymi szkodami finansowymi dla obu stron – firmy i klientów. Dlatego ich zabezpieczenie powinno być traktowane z najwyższą powagą.
