Zloglasno kršenje sigurnosnih ciljeva koje je otkrilo financijske i osobne podatke desetaka milijuna Amerikanaca krajem prošle godine posljedica je neuspjeha tvrtke da svoje rutinske funkcije i funkcije održavanja drži u zasebnoj mreži od kritičnih platnih funkcija, prema informacijama iz sigurnosti istraživač Brian Krebs, koji je prvi prekršaj prijavio u prosincu.
Prošli je tjedan Target otkrio The Wall Street Journal da je početno kršenje njegove mreže pronađeno radi prijavljivanja podataka ukradenih od trećeg dobavljača. G. Krebs sada izvještava da je dotični dobavljač Fazio Mechanical Services, tvrtka sa sjedištem u Sharpsburgu, PA, koja je ugovorila tvrtku Target za pružanje rashladnih i klimatizacijskih instalacija i održavanja. Predsjednik Fazia Ross Fazio potvrdio je da je tvrtku posjetila američka tajna služba u sklopu istrage, ali još nije dao javne izjave o prijavljenom umiješanju vjerodajnica za prijavu dodijeljenih svojim zaposlenicima.
Zaposlenici Fazio-a dobili su daljinski pristup Target mreži kako bi pratili parametre poput potrošnje energije i temperature hlađenja. No, budući da Target navodno nije uspio segmentirati mrežu, to je značilo da su dobro poznati hakeri mogli upotrijebiti te iste udaljene vjerodajnice trećih strana za pristup poslužiteljima osjetljivih prodajnih mjesta (POS). Još uvijek nepoznati hakeri iskoristili su ovu ranjivost za učitavanje zlonamjernog softvera u većinu Targetovih POS sustava, koji su potom prikupili plaćanje i osobne podatke do 70 milijuna kupaca koji su se prodavali u trgovini između kraja studenog i sredine prosinca.
Ovo otkriće dovodi u sumnju karakterizaciju događaja od strane Target rukovoditelja kao sofisticirane i nepredviđene cyber krađe. Iako je preneseni zlonamjerni softver doista bio prilično složen, a iako zaposlenici Fazio-a dijele određenu krivicu za dopuštanje krađe vjerodajnica za prijavu, ostaje činjenica da bi bilo koji uvjet bio prebačen da je Target slijedio sigurnosne smjernice i segmentirao mrežu kako bi poslužitelji plaćanja platni sustav bio izoliran s mreža koje omogućuju relativno širok pristup.
Jody Brazil, osnivač i CTO sigurnosne tvrtke FireMon, objasnio je Computerworldu , "Nema ničega fantastičnog. Cilj je odlučio omogućiti trećoj strani pristup svojoj mreži, ali nije uspio pravilno osigurati taj pristup. "
Ako se druge tvrtke ne nauče na Targetovim pogreškama, potrošači mogu očekivati još više kršenja. Stephen Boyer, CTO i suosnivač tvrtke za upravljanje rizikom BitSight, objasnio je: „U današnjem hipermrežnom svijetu tvrtke rade sa sve više i više poslovnih partnera sa funkcijama poput naplate i obrade plaćanja, proizvodnje, IT i ljudskih resursa. Hakeri pronalaze najslabije mjesto ulaska da dobiju pristup osjetljivim informacijama, a često se ta točka nalazi u ekosustavu žrtve. "
Još nije otkriveno da je meta kršila sigurnosne standarde industrije platnih kartica (PCI) kao rezultat kršenja zakona, ali neki analitičari predviđaju probleme u budućnosti tvrtke. Iako se visoko preporučuju, PCI standardi ne zahtijevaju od organizacija da segmentiraju svoje mreže između funkcija plaćanja i neplaćanja, no ostaje pitanje da li je Targetov pristup trećoj strani koristio dvofaktornu provjeru autentičnosti, što je uvjet. Kršenje PCI standarda može rezultirati velikim novčanim kaznama, a analitičarka kompanije Gartner Avivah Litan rekla je gospodinu Krebsu da bi se tvrtka mogla suočiti s kaznama do 420 milijuna dolara zbog kršenja zakona.
Vlada je također započela djelovati kao odgovor na kršenje zakona. Obamina administracija ovaj je tjedan preporučila usvajanje strožih zakona o kibernetičkoj sigurnosti, donoseći oštrije kazne za prekršitelje kao i savezne zahtjeve da tvrtke obavijeste kupce nakon kršenja sigurnosti i slijede određene minimalne prakse kada je u pitanju politika kibernetičkih podataka.
