Når butikken er løs på tråden

Detailhandlens trådløse netværk er usikre, men et nyt tiltag kan mindske risikoen, hvis butikkerne bliver hacket. Det skriver lederen af DK•CERT, Shehzad Ahmad, i denne klumme fra Computerworld Online.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Detailhandlen har et sikkerhedsproblem: Butikkernes trådløse netværk er usikre.

 

Det lyder ikke som en nyhed.

Det er det heller ikke.

Tilbage i 2003 hackede tre mænd sig ind på den amerikanske byggemarkedskæde Lowe's trådløse netværk ved at bruge et access point uden kryptering.

De fik adgang til firmaets it-systemer og prøvede at finde kreditkortinformationer. Ifølge Lowe's lykkedes det dog ikke.

At det ikke ser meget bedre ud med sikkerheden i dag, fremgår af en international undersøgelse fra firmaet AirDefense, der sælger sikkerhedsløsninger til trådløse netværk.

Selskabet har tjekket trådløse netværk hos 3.000 forretninger i USA, London og Paris.

Resultat: 25 procent af butikkernes access points kommunikerede helt uden kryptering.

Andre 25 procent anvendte WEP (Wired Equivalent Privacy), som det ikke tager mange minutter at bryde sikkerheden på.

Til gengæld kan man glæde sig over, at den øvrige halvdel af butikkerne anvendte den effektive sikkerhedsprotokol WPA (WiFi Protected Access).

Stopper registrering af kreditkort
Der er imidlertid godt nyt på vej fra en anden kant, når det gælder datasikkerhed i detailhandlen: Organisationen PCI (Payment Card Industry) er ved at udarbejde specifikationen Payment Applications Data Security Standard (PA-DSS).

PA-DSS skal bruges til at certificere applikationer med. Nærmere bestemt applikationer, der behandler kreditkortbetalinger.

Det kan være kassesystemer, økonomisystemer eller dedikerede nethandelssystemer.

Hvis en applikation skal overholde kravene i PA-DSS, må den ikke lagre kreditkortnumre.

Den må ikke gemme det fulde indhold af magnetkoden på kortet, og heller ikke den trecifrede sikkerhedskode eller pinkoden.

PA-DSS bygger på en specifikation, som kreditkortfirmaet Visa allerede i nogen tid har tilbudt sine samarbejdspartnere at blive certificeret efter.

Omkring 200 applikationer følger reglerne i Visas udgave. Når PCI gør den til officiel standard, ventes endnu flere at følge efter.

Det er godt nyt for detailhandlens kunder. Det vil nemlig betyde, at hvis en hacker skulle få adgang til butikkens netværk, ligger der ikke en database med kreditkort og venter på ham.

Betyder det så, at butikkerne bare kan køre videre med deres usikre netværk? Naturligvis ikke.

Der er andre konsekvenser af et indbrud på det trådløse netværk end tab af kreditkortdata.

Forretningen kan miste andre fortrolige data, og dens internetadgang kan misbruges til ulovligheder, som politiet kun kan spore til forretningen.

Så mit råd til detailhandlen er: Få sikret den sidste halvdel af de trådløse netværk.

Og opgrader jeres betalingsapplikationer, så de ikke lagrer kreditkortdata.


Oprindelig bragt på Computerworld Online fredag den 30. november 2007

LINKS

Pressemeddelelse fra AirDefense

Pressemeddelelse fra PCI (PDF-format)

Keywords: