De beruchte inbreuk op Target-beveiliging die eind vorig jaar de financiële en persoonlijke informatie van tientallen miljoenen Amerikanen blootlegde, was het gevolg van het feit dat het bedrijf zijn routinematige bedrijfs- en onderhoudsfuncties niet op kritieke betalingsfuncties hield, volgens informatie uit de beveiliging onderzoeker Brian Krebs, die de inbreuk voor het eerst meldde in december.
Doel vorige week onthuld aan The Wall Street Journal dat de aanvankelijke inbreuk op zijn netwerk werd herleid tot inloginformatie die werd gestolen van een externe leverancier. De heer Krebs meldt nu dat de betreffende leverancier Fazio Mechanical Services was, een in Sharpsburg, PA gevestigd bedrijf dat een contract heeft gesloten met Target voor koeling en HVAC-installatie en -onderhoud. Fazio-president Ross Fazio bevestigde dat het bedrijf werd bezocht door de Amerikaanse geheime dienst als onderdeel van het onderzoek, maar heeft nog geen openbare verklaringen afgelegd over de gemelde betrokkenheid van inloggegevens die zijn toegewezen aan zijn werknemers.
Fazio-medewerkers kregen toegang op afstand tot het netwerk van Target om parameters zoals energieverbruik en koeltemperaturen te bewaken. Maar omdat Target naar verluidt zijn netwerk niet had gesegmenteerd, betekende dit dat goed geïnformeerde hackers dezelfde externe referenties van derden konden gebruiken om toegang te krijgen tot de POS-servers van de retailer. De nog onbekende hackers maakten gebruik van dit beveiligingslek om malware te uploaden naar de meeste POS-systemen van Target, die vervolgens de betalings- en persoonlijke gegevens van maximaal 70 miljoen klanten verzamelden die tussen eind november en half december in de winkel winkelden.
Deze onthulling heeft twijfel doen rijzen over de karakterisering van het evenement door Target-managers als een geavanceerde en onverwachte cyberdiefstal. Hoewel de geüploade malware inderdaad vrij complex was, en terwijl Fazio-werknemers de schuld hebben voor het toestaan van diefstal van inloggegevens, blijft het een feit dat beide voorwaarden ongedaan zouden zijn gemaakt als Target de beveiligingsrichtlijnen had gevolgd en zijn netwerk had gesegmenteerd om betalingsservers geïsoleerd te houden van netwerken die relatief brede toegang toestaan.
Jody Brazil, oprichter en CTO van beveiligingsbedrijf FireMon, legde Computerworld uit : “Er is niets speciaals aan. Target koos ervoor om toegang van derden tot zijn netwerk toe te staan, maar slaagde er niet in om die toegang goed te beveiligen. ”
Als andere bedrijven niet leren van de fouten van Target, kunnen consumenten verwachten dat nog meer inbreuken zullen volgen. Stephen Boyer, CTO en mede-oprichter van risicobeheerbedrijf BitSight, legt uit: “In de huidige hypernetwerkwereld werken bedrijven met steeds meer zakelijke partners met functies zoals het innen en verwerken van betalingen, productie, IT en human resources. Hackers vinden het zwakste toegangspunt om toegang te krijgen tot gevoelige informatie, en vaak bevindt dat punt zich in het ecosysteem van het slachtoffer. "
Van Target is nog niet vastgesteld dat het de beveiligingsnormen voor de betaalkaartindustrie (PCI) heeft geschonden als gevolg van de inbreuk, maar sommige analisten voorzien problemen in de toekomst van het bedrijf. Hoewel zeer aan te bevelen, vereisen PCI-normen niet dat organisaties hun netwerken segmenteren tussen betalings- en niet-betalingsfuncties, maar er blijft enige vraag of de toegang van derden gebruikmaakte van tweefactorauthenticatie, een vereiste. Overtredingen van PCI-normen kunnen leiden tot hoge boetes, en Gartner-analist Avivah Litan vertelde de heer Krebs dat het bedrijf boetes tot $ 420 miljoen zou kunnen krijgen over de inbreuk.
De overheid is ook begonnen in reactie op de inbreuk te handelen. De Obama-administratie heeft deze week geadviseerd strengere cyberveiligheidswetten aan te nemen, die zowel strengere straffen voor overtreders als federale vereisten voor bedrijven met zich meebrengen om klanten te informeren na inbreuken op de veiligheid en bepaalde minimumpraktijken te volgen als het gaat om cybergegevensbeleid.
