Artikel top billede

DK-CERT: Når butikken er løs på tråden

Detailhandlens trådløse netværk er usikre, men et nyt tiltag kan mindske risikoen, hvis butikkerne bliver hacket. Læs lederen af DK-CERT, Shehzad Ahmads, månedlige klumme.

Detailhandlen har et sikkerhedsproblem: Butikkernes trådløse netværk er usikre.

Det lyder ikke som en nyhed.

Det er det heller ikke.

Tilbage i 2003 hackede tre mænd sig ind på den amerikanske byggemarkedskæde Lowe's trådløse netværk ved at bruge et access point uden kryptering.

De fik adgang til firmaets it-systemer og prøvede at finde kreditkortinformationer. Ifølge Lowe's lykkedes det dog ikke.

At det ikke ser meget bedre ud med sikkerheden i dag, fremgår af en international undersøgelse fra firmaet AirDefense, der sælger sikkerhedsløsninger til trådløse netværk.

Selskabet har tjekket trådløse netværk hos 3.000 forretninger i USA, London og Paris.

Resultat: 25 procent af butikkernes access points kommunikerede helt uden kryptering.

Andre 25 procent anvendte WEP (Wired Equivalent Privacy), som det ikke tager mange minutter at bryde sikkerheden på.

Til gengæld kan man glæde sig over, at den øvrige halvdel af butikkerne anvendte den effektive sikkerhedsprotokol WPA (WiFi Protected Access).

Stopper registrering af kreditkort

Der er imidlertid godt nyt på vej fra en anden kant, når det gælder datasikkerhed i detailhandlen: Organisationen PCI (Payment Card Industry) er ved at udarbejde specifikationen Payment Applications Data Security Standard (PA-DSS).

PA-DSS skal bruges til at certificere applikationer med. Nærmere bestemt applikationer, der behandler kreditkortbetalinger.

Det kan være kassesystemer, økonomisystemer eller dedikerede nethandelssystemer.

Hvis en applikation skal overholde kravene i PA-DSS, må den ikke lagre kreditkortnumre.

Den må ikke gemme det fulde indhold af magnetkoden på kortet, og heller ikke den trecifrede sikkerhedskode eller pinkoden.

PA-DSS bygger på en specifikation, som kreditkortfirmaet Visa allerede i nogen tid har tilbudt sine samarbejdspartnere at blive certificeret efter.

Omkring 200 applikationer følger reglerne i Visas udgave. Når PCI gør den til officiel standard, ventes endnu flere at følge efter.

Det er godt nyt for detailhandlens kunder. Det vil nemlig betyde, at hvis en hacker skulle få adgang til butikkens netværk, ligger der ikke en database med kreditkort og venter på ham.

Betyder det så, at butikkerne bare kan køre videre med deres usikre netværk? Naturligvis ikke.

Der er andre konsekvenser af et indbrud på det trådløse netværk end tab af kreditkortdata.

Forretningen kan miste andre fortrolige data, og dens internetadgang kan misbruges til ulovligheder, som politiet kun kan spore til forretningen.

Så mit råd til detailhandlen er: Få sikret den sidste halvdel af de trådløse netværk.

Og opgrader jeres betalingsapplikationer, så de ikke lagrer kreditkortdata.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

14. maj 2025 | Læs mere


Computerworld Summit 2025, København – AI transforming business

Årets uomgængelige konference for dig, der er med til at træffe beslutninger om din organisations teknologiske fremtid, og vil have det samlede overblik over aktuelle tendenser i IT-branchen.

27. maj 2025 | Læs mere


Årets CIO 2025

Vi skal finde Årets CIO 2025 og den kvinde eller mand, som i et helt år kan bryste sig af at være landets bedste CIO.

03. juni 2025 | Læs mere