Pelanggaran keamanan Target yang terkenal yang mengekspos informasi finansial dan pribadi puluhan juta orang Amerika akhir tahun lalu adalah hasil dari kegagalan perusahaan untuk menjaga operasi rutin dan fungsi pemeliharaan pada jaringan terpisah dari fungsi pembayaran kritis, menurut informasi dari keamanan Peneliti Brian Krebs, yang pertama kali melaporkan pelanggaran pada bulan Desember.
Target pekan lalu mengungkapkan kepada The Wall Street Journal bahwa pelanggaran awal jaringannya dilacak untuk login informasi yang dicuri dari vendor pihak ketiga. Bapak Krebs sekarang melaporkan bahwa vendor yang dimaksud adalah Fazio Mechanical Services, sebuah perusahaan yang berbasis di Sharpsburg, PA yang mengontrak Target untuk menyediakan instalasi dan pemeliharaan pendingin dan HVAC. Presiden Fazio, Ross Fazio membenarkan bahwa perusahaan itu dikunjungi oleh Dinas Rahasia AS sebagai bagian dari penyelidikan, tetapi belum membuat pernyataan publik tentang keterlibatan yang dilaporkan dari kredensial masuk yang ditugaskan kepada karyawannya.
Karyawan Fazio diberikan akses jarak jauh ke jaringan Target untuk memantau parameter seperti penggunaan energi dan suhu pendinginan. Tetapi karena Target dilaporkan gagal melakukan segmentasi jaringannya, itu berarti peretas yang berpengetahuan bisa menggunakan kredensial jarak jauh pihak ketiga yang sama untuk mengakses server titik penjualan sensitif (POS) pengecer. Peretas yang masih tidak dikenal mengambil keuntungan dari kerentanan ini untuk mengunggah malware ke sebagian besar sistem POS Target, yang kemudian menangkap pembayaran dan informasi pribadi hingga 70 juta pelanggan yang berbelanja di toko antara akhir November dan pertengahan Desember.
Pengungkapan ini telah meragukan karakterisasi acara oleh para eksekutif Target sebagai pencurian cyber yang canggih dan tidak terduga. Meskipun malware yang diunggah memang cukup rumit, dan sementara karyawan Fazio memiliki beberapa kesalahan karena mengizinkan pencurian kredensial login, faktanya tetap bahwa kedua kondisi tersebut akan diperdebatkan jika Target telah mengikuti pedoman keamanan dan mensegmentasi jaringannya untuk menjaga server pembayaran tetap terisolasi dari jaringan yang memungkinkan akses yang relatif luas.
Jody Brazil, pendiri dan CTO perusahaan keamanan FireMon, menjelaskan kepada Computerworld , “Tidak ada yang mewah. Target memilih untuk mengizinkan akses pihak ketiga ke jaringannya, tetapi gagal mengamankan akses itu. ”
Jika perusahaan lain gagal belajar dari kesalahan Target, konsumen dapat mengharapkan lebih banyak pelanggaran untuk diikuti. Stephen Boyer, CTO dan salah satu pendiri perusahaan manajemen risiko BitSight, menjelaskan, “Di dunia hyper-networked sekarang ini, perusahaan bekerja dengan semakin banyak mitra bisnis dengan fungsi seperti pengumpulan dan pemrosesan pembayaran, manufaktur, TI, dan sumber daya manusia. Peretas menemukan titik masuk terlemah untuk mendapatkan akses ke informasi sensitif, dan seringkali titik itu ada di dalam ekosistem korban. "
Target belum ditemukan telah melanggar standar keamanan industri kartu pembayaran (PCI) sebagai akibat dari pelanggaran tersebut, tetapi beberapa analis memperkirakan masalah di masa depan perusahaan. Meskipun sangat disarankan, standar PCI tidak mengharuskan organisasi untuk mensegmentasi jaringan mereka antara fungsi pembayaran dan non-pembayaran, tetapi masih ada beberapa pertanyaan apakah akses pihak ketiga Target menggunakan otentikasi dua faktor, yang merupakan persyaratan. Pelanggaran standar PCI dapat mengakibatkan denda besar, dan analis Gartner, Avivah Litan mengatakan kepada Krebs bahwa perusahaan dapat menghadapi hukuman hingga $ 420 juta atas pelanggaran tersebut.
Pemerintah juga telah mulai bertindak sebagai tanggapan atas pelanggaran tersebut. Pemerintahan Obama minggu ini merekomendasikan penerapan undang-undang keamanan cyber yang lebih ketat, membawa hukuman yang lebih keras bagi pelanggar dan juga persyaratan federal bagi perusahaan untuk memberi tahu pelanggan setelah adanya pelanggaran keamanan dan mengikuti praktik minimum tertentu ketika menyangkut kebijakan data cyber.
