No setor do varejo, percebemos que existe uma grande preocupação com a segurança da informação, preocupação em manter o e-commerce funcionando e preocupação em proteger o data center para evitar o vazamento de dados. No entanto, muito pouco se fala sobre a proteção do ponto de venda.
O terminal usado como caixa em um supermercado, farmácia, posto de gasolina ou mesmo em restaurante, pode ser usado como uma porta de entrada para um ataque cibernético. E iniciar um ataque nesses ambientes é muito mais fácil do que parece. Uma simples porta USB exposta em um terminal vazio pode permitir que uma pessoa mal-intencionada conecte um pen drive infectado e inicie um ataque. Outros dispositivos como leitores de códigos de barra para a consulta de preços ou até mesmo impressoras também podem ter entradas desprotegidas que podem ser usadas por cibercriminosos.
Recentemente, nos Estados Unidos, uma rede de minimercados foi alvo de um grande ataque realizado por um malware de PDV. O malware infectou mais de 1900 dispositivos e coletou dados dos clientes como números de cartões de crédito e débito, nomes dos titulares dos cartões e datas de validade.
As consequências de um ataque cibernético realizado no ponto de venda podem incluir o comprometimento das máquinas, a interrupção do sistema e do funcionamento do estabelecimento, o roubo de dados de pagamentos e de cartões, e até o acesso a rede de toda a companhia para realizar ataques bem mais graves.
O PDV é o local por onde o dinheiro entra na empresa e ele deveria contar com a mesma segurança de um caixa eletrônico. É por onde são realizados os pagamentos, na maioria das vezes por meio eletrônico, por onde passam dados confidenciais dos clientes e de onde também parte uma conexão com toda a rede da empresa.
Por tudo isso esses terminais precisam de mais atenção da segurança. É possível instalar soluções que garantam um controle rígido de aplicação, ferramentas que controlam o que roda no PDV e só permitem executar as funções conhecidas e programadas para cada tipo de máquina. Qualquer atividade diferente deve ser bloqueada. Soluções de criptografia também devem ser consideradas para evitar que os dados que passam pelo PDV possam ser roubados e usados pelos criminosos.
Além disso, é preciso realizar um trabalho de inteligência que inclua não deixar entradas expostas, educar funcionários para não serem vítimas de engenharia social e evitar que todo equipamento e seus entornos fiquem desprotegidos.
Atualmente o criminoso não precisa de armas ou explosivos para roubar uma loja ou uma grande rede varejista, ele só precisa ter acesso a uma entrada em qualquer dispositivo para causar enormes prejuízos às empresas.
* Marcus Almeida é gerente de Inside Sales & SMB da McAfee