Skaitmeniniai duomenys

Restorano kibernetinis saugumas: 9 žingsniai prieš įsilaužėlius

Jūsų kasos sistema, „wifi“ ir svečių duomenys yra taikinys — dažnai to net nepastebint

Restoranai jau ne vienus metus yra vieni dažniausių kasos sistemų kenkėjiškos programinės įrangos taikinių — ne todėl, kad įsilaužėliai nekenčia gastronomijos, o todėl, kad tai lengva.

Tokie tinklai kaip „Chipotle“, „Sonic Drive-In“ ir „Checkers & Rally's“ pastaraisiais metais nukentėjo nuo kenkėjiškos programinės įrangos savo kasos sistemose — kartais mėnesius nepastebėtos, su milijonais pavogtų kortelių numerių. Pagal naujausią „Verizon“ duomenų pažeidimų tyrimo ataskaitą, trečioji šalis — tiekėjas, kasos ar programinės įrangos partneris — dabar dalyvauja net 30 % visų duomenų pažeidimų, o prieš metus šis skaičius siekė vos pusę tiek. Ir 22 % atvejų pavogtas ar silpnas slaptažodis buvo pirmasis atakos žingsnis. Nebūtina būti tarptautiniu tinklu, kad taptumėte taikiniu: dauguma atakų yra automatizuotos arba vykdomos per vieną pažeidžiamą tiekėją, aptarnaujantį dešimtis restoranų vienu metu. Šiame straipsnyje rasite 9 konkrečius, dažniausiai nemokamus ar pigius žingsnius, kaip apsaugoti savo restoraną:

  1. Atskirkite svečių „wifi“ — niekada tame pačiame tinkle kaip kasa.
  2. Apsaugokite savo kasos sistemą — atnaujinimai ir nepasitikėjimas kiekvienu neplanuotu „technikų“ vizitu.
  3. Rinkitės PCI-DSS reikalavimus atitinkantį mokėjimų teikėją — ir niekada patys nesaugokite kortelių duomenų.
  4. Naudokite stiprius slaptažodžius ir dviejų veiksnių autentifikaciją — visur, ne tik kasoje.
  5. Atpažinkite sukčiavimo laiškus ir sąskaitų klastojimą — labiausiai nuvertinta gastronomijos rizika.
  6. Ribokite prieigą pagal vaidmenį — ir iškart ją panaikinkite darbuotojui išeinant.
  7. Įvertinkite savo tiekėjus — jų silpnybė tampa jūsų duomenų nutekėjimu.
  8. Darykite atsargines kopijas ir išbandykite atkūrimo planą — kol kasa dar neužstrigo.
  9. Žinokite savo pranešimo pareigą — BDAR duoda 72 valandas, nė diena daugiau.

Kodėl gastronomija yra mėgstamas taikinys

Restoranas kasdien apdoroja nuo kelių dešimčių iki kelių šimtų kortelių operacijų, saugo rezervacijų duomenis bei svečių kontaktinę informaciją ir dažnai naudoja pasenusią arba prastai prižiūrimą kasos techninę įrangą, kuri veikia nepakitusi metų metus. Pridėkite didelę darbuotojų kaitą ir ribotas IT žinias, ir gausite lygiai tokį profilį, kokio ieško užpuolikai: daug vertingų duomenų, mažai pasipriešinimo. Skirtingai nei tikslinė ataka prieš didelį banką, dauguma kasos kenkėjiškos programinės įrangos yra oportunistinė — ji automatiškai ieško pažeidžiamų sistemų, nepriklausomai nuo to, ar jūsų įstaigoje dvylika, ar šimtas dvidešimt stalų.

Gera žinia: dauguma toliau išvardytų priemonių nekainuoja pinigų, tik dešimt minučių dėmesio. Kibernetinis saugumas gastronomijoje retai reiškia brangios IT paslaugos samdymą — dažniausiai tai tiesiog akivaizdžių spragų uždarymas.

9 žingsniai iki kibernetiškai saugaus restorano

1. Atskirkite svečių „wifi“ nuo kasos tinklo

Dažniausia — ir labiausiai nuvertinta — klaida yra naudoti vieną ir tą patį maršrutizatorių viskam: kasai, biuro kompiuteriui su buhalterija ir „wifi“ tinklui, kurį nemokamai duodate svečiams. Vos svečiui (ar kam nors, kam svečias perdavė slaptažodį) prisijungus prie to tinklo, blogiausiu atveju jis gali stebėti srautą, einantį į jūsų kasos sistemą.

  • Sukurkite du atskirus tinklus: vieną svečiams, kitą kasai ir vidiniam biurui, kiekvieną su savo slaptažodžiu. Dauguma vidutinės klasės maršrutizatorių tai palaiko per „svečio SSID“ arba VLAN, dažnai vienu nustatymu.
  • Reguliariai keiskite svečių tinklo slaptažodį, pavyzdžiui, kas mėnesį, kad senas, plačiai paplitęs slaptažodis nebeklajotų.
  • Prijunkite savo QR užsakymų sistemą prie svečių tinklo, niekada prie kasos tinklo — net jei atrodo patogiau.

Šis vienas pakeitimas — du tinklai vietoj vieno — uždaro dažniausiai naudojamą kelią, kuriuo užkrėstas svečio įrenginys galėtų pasiekti jūsų kasą.

2. Apsaugokite pačią kasos sistemą

Renkantis kasos sistemą, paprastai žiūrima į integracijas ir transakcijų mokesčius — bet bent tiek pat svarbu, kaip gerai ji apsaugota ir liks apsaugota. Keletas praktinių taisyklių:

  • Diekite kasos programinės įrangos atnaujinimus, kai tik jie pasirodo; pasenusi kasos programinė įranga yra lengviausias įmanomas taikinys.
  • Naudokite kasos kompiuterį tik ir išimtinai kasos reikmėms — ne kažko pasižiūrėti, patikrinti el. paštą ar leisti muziką.
  • Nepasitikėkite jokiu netikėtu „technikų“ vizitu. Brazilijos įsilaužėlių grupė „Prilex“ išgarsėjo visame pasaulyje kenkėjiška kasos programine įranga, gebančia klonuoti net lustinių kortelių su PIN kodu operacijas — infekcija dažniausiai prasideda skambučiu nuo tariamo techniko, primygtinai reikalaujančio „atnaujinti“ kasos programinę įrangą ir prašančio įdiegti tokią programą kaip „AnyDesk“ nuotolinei prieigai. Kilus abejonių, visada perskambinkite oficialiu savo paties tiekėjo numeriu, o ne tuo, kurį nurodo skambinantysis.

3. Rinkitės PCI-DSS reikalavimus atitinkantį mokėjimų teikėją

Kiekviena šalis, apdorojanti kortelių mokėjimus, privalo atitikti PCI-DSS — kortelių tinklų saugumo standartą. Praktinė pasekmė jums: niekada neleiskite kortelių duomenims eiti per jūsų pačių sistemas ar būti jose saugomiems, jei to nereikia.

  • Rinkitės mokėjimo terminalą ar teikėją, kuris kortelių duomenis tokenizuoja — tada jūsų kasa niekada nemato tikro kortelės numerio, tik beverčio pakaitos kodo.
  • Niekada patys nelaikykite kortelių numerių lentelėse, el. laiškuose ar užrašuose „tam atvejui“.
  • Jei neatitinkate PCI-DSS ir vis tiek įvyksta nutekėjimas, galite būti laikomi atsakingu už sukčiavimo būdu atliktas operacijas — reikalavimų nesilaikymo kaina beveik visada didesnė nei atitinkantis teikėjo mokestis.

Skaičiai, kurie lemia skirtumą

Kodėl greitis ir bazinė higiena svarbesni nei brangi saugumo sutartis.

Pranešimo terminas įvykus duomenų nutekėjimui (BDAR)72 val.
Baudos riba už rimtą duomenų nutekėjimąiki 4 % metinės apyvartos
Duomenų pažeidimai visame pasaulyje per trečiąją šalį30 %
Incidentai, prasidėję nuo pavogto slaptažodžio22 %

4. Stiprūs slaptažodžiai ir dviejų veiksnių autentifikacija — visur

Vienas bendras, senas slaptažodis („kasa1234“), kurį kada nors gavo kiekvienas darbuotojas, gali būti pati didžiausia nematoma rizika gastronomijoje. Kol tai suprasite, dešimt buvusių darbuotojų vis dar jį žinos.

  • Kur įmanoma, įjunkite dviejų veiksnių autentifikaciją: savo kasos paskyroje, rezervacijų sistemoje, „Google“ verslo profilyje ir įmonės el. paštu. Tai dažniausiai nemokama ir kainuoja tik vieną papildomą paspaudimą prisijungiant.
  • Suteikite kiekvienam darbuotojui atskirą prisijungimą vietoj vienos bendros paskyros — taip taip pat žinosite, kas ką padarė, jei kas nors nutiks negerai.
  • Naudokite slaptažodžių tvarkyklę verslo paskyroms, užuot pakartotinai naudoję tą patį slaptažodį visur.
Galutinis vadovas Galutinis vadovas apie restorano technologijas ir duomenis Svetainė, DI, analitika ir saugumas, kurie stumia jūsų restoraną į priekį. Atverti vadovą

5. Atpažinkite sukčiavimo laiškus ir sąskaitų klastojimą

Dauguma įsilaužimų prasideda ne nuo sudėtingo kodo, o nuo el. laiško ar skambučio, kuris piktnaudžiauja pasitikėjimu. Įtraukite tai aiškiai į savo darbuotojų mokymą:

  • Sąskaitų klastojimas: „tiekėjas“ atsiunčia el. laišką, kad pasikeitė banko sąskaitos numeris. Kiekvieną mokėjimo duomenų pakeitimą visada patvirtinkite telefonu, numeriu, kurį jau žinojote iš anksčiau — ne tuo, kuris nurodytas laiške.
  • Vadovo apgaulė: skubus laiškas „nuo savininko“, prašantis nupirkti dovanų korteles ar skubiai atlikti pavedimą. Susitarkite komandoje, kad tokie prašymai visada patvirtinami žodžiu.
  • Netikri laiškai „nuo jūsų kasos tiekėjo“ ar „Google“, prašantys prisijungti per nuorodą. Kilus abejonių, visada eikite tiesiai į oficialią svetainę, o ne spauskite nuorodą.

6. Ribokite prieigą pagal vaidmenį — ir iškart ją panaikinkite

Ne kiekvienam darbuotojui reikia administratoriaus teisių kasos, rezervacijų sistemoje ar socialiniuose tinkluose. Dirbkite su vaidmenimis: padavėjas gali kurti užsakymus, bet jam nereikia galimybės eksportuoti ataskaitų ar keisti nustatymų.

  • Suteikite pilnas administratoriaus teises tik savininkui ir ribotam skaičiui vadovų.
  • Prieigą panaikinkite nedelsiant, vos darbuotojui išėjus iš darbo — tai dažniausiai pamirštamas žingsnis šiame sąraše ir vienas iš rizikingiausių. Įtraukite tai standartiškai į savo atleidimo kontrolinį sąrašą kartu su kita personalo valdymo administracija.
  • Bent du kartus per metus patikrinkite, kas vis dar turi prieigą prie ko, ir pašalinkite tai, kas nebereikalinga.

7. Įvertinkite savo tiekėjus: jų silpnybė tampa jūsų duomenų nutekėjimu

Jūsų kasos sistema, internetinio užsakymo platforma ir automatizavimo įrankiai dažnai veikia trečiosios šalies programine įranga. Jei tą šalį nulaužia, nemiegosite ir jūs. Nuo 2024 m. spalio Europos NIS2 direktyva kelia aukštesnius saugumo reikalavimus vidutinėms ir didelėms įmonėms daugelyje sektorių — pavieniai restoranai dažniausiai į tai nepatenka (riba yra 50 darbuotojų arba 10 milijonų eurų apyvarta), tačiau jūsų kasos, rezervacijų ir mokėjimų tiekėjas dažnai patenka tiesiai į vidurį. Todėl kiekvieno naujo tiekėjo paklauskite:

  • Ar atitinkate NIS2 arba ISO 27001, ar bent galite parodyti, kaip apsaugomi klientų duomenys?
  • Kaip greitai klientai informuojami įvykus incidentui jūsų pusėje?
  • Kur ir kiek laiko saugomi mūsų duomenys ir kas prie jų turi prieigą?

Tai tiesiogiai susiję su tuo, kaip jau ir taip turite kritiškai vertinti, kaip tvarkote klientų duomenis pagal BDAR: atsakomybė už svečių duomenis nesibaigia ties tiekėju, kuris juos technine prasme saugo.

8. Darykite atsargines kopijas ir išbandykite atkūrimo planą

Išpirkos reikalaujanti programinė įranga gastronomijoje retai patenka į antraštes taip, kaip ligoninių atveju, bet poveikis nemažiau griaunantis: kasa, užstrigusi per įtemptą penktadienio vakarą, iškart reiškia prarastą apyvartą ir nusivylusius svečius prie durų.

  • Reguliariai darykite atsargines rezervacijų duomenų, klientų informacijos ir konfigūracijos kopijas — automatiškai, o ne rankiniu būdu, „kai prisimenate“.
  • Saugokite bent vieną atsarginę kopiją atskirai nuo pagrindinio tinklo, kad išpirkos programinė įranga, užšifruojanti jūsų sistemas, nepasiimtų kartu ir atsarginės kopijos.
  • Bent kartą per metus išbandykite, ar iš tikrųjų galite atkurti atsarginę kopiją — niekada neatkurta kopija yra prielaida, o ne garantija.

9. Žinokite savo pranešimo pareigą ir apsvarstykite draudimą

Jei tvarkote svečių ar darbuotojų asmens duomenis — o tai daro beveik kiekvienas restoranas, nuo rezervacijų iki personalo bylų — BDAR galioja jums visa apimtimi, nepriklausomai nuo dydžio. Įvykus rimtam duomenų nutekėjimui:

  • Privalote apie tai pranešti duomenų apsaugos institucijai per 72 valandas nuo pastebėjimo.
  • Privalote informuoti paveiktus svečius ar darbuotojus, jei rizika jiems yra didelė.
  • Baudos gali siekti iki 4 % pasaulinės metinės apyvartos — praktikoje mažoms gastronomijos įmonėms baudos paprastai būna gerokai švelnesnės, bet pati pranešimo pareiga galioja be išimčių.

Įperkamas kibernetinis draudimas dažnai padengia ne tik tiesioginę žalą, bet ir kriminalistinį tyrimą bei teisinę pagalbą po incidento — pasiteiraukite to paties draudiko, pas kurį turite kitus polisus. Be to, viename A4 lape užrašykite, kam reikia skambinti (tiekėjui, draudikui, galbūt IT pagalbai), vos kažkam atsitikus negerai: vidury nakties nenorėsite ieškoti telefono numerio.

Dažniausios klaidos, kenkiančios kibernetiniam saugumui

  • Kasos, biuro ir svečių „wifi“ palikimas tiksliai tame pačiame tinkle.
  • Vieno bendro slaptažodžio, kuris niekada nekeičiamas net keičiantis darbuotojams, naudojimas.
  • Neplanuoto „techniko“ prisileidimas prie kasos nuotoliniu būdu be jokių klausimų.
  • Svečių kortelių duomenų rankinis užsirašymas ar saugojimas „dėl visa ko“.
  • Išėjusių darbuotojų prieigos panaikinimas tik tada, kai tai atsitiktinai pastebima.
  • Niekada nepatikrinama, ar atsarginę kopiją tikrai galima atkurti.

Išvada: saugumas kaip bazinė higiena, ne prabanga

Kibernetinis saugumas gastronomijoje retai reikalauja didelės investicijos. Tai eilė mažų, sistemingų įpročių: atskiras svečių tinklas, dviejų veiksnių autentifikacija, kritiškas žvilgsnis į kiekvieną netikėtą skambutį ir prieiga, kurią panaikinate iškart, vos kam nors išėjus. Pradėkite šią savaitę nuo nemokamų žingsnių — atskirkite tinklus, įjunkite dviejų veiksnių autentifikaciją, informuokite komandą apie sukčiavimo laiškus — o likusius suplanuokite iki kito pokalbio su tiekėju.

Tų kelių valandų dėmesio kaina yra niekas, palyginti su tuo, ką duomenų nutekėjimas kainuoja reputacijai, baudoms ir svečių pasitikėjimui, kurie tiesiog tikėjosi, kad jų duomenys pas jus saugūs.

Dažnai užduodami klausimai

Ar mano restoranas per mažas, kad domintų įsilaužėlius?

Ne. Dauguma atakų prieš kasos sistemas yra automatizuotos arba vykdomos per programinės įrangos tiekėją, kuris vienu metu aptarnauja dešimtis restoranų — jūsų įstaigos dydis tokiu atveju nesvarbus. Be to, mažesnė įmonė dažnai turi mažiau IT palaikymo, taigi yra lengvesnis, o ne mažiau įdomus taikinys.

Ar man kaip mažai gastronomijos įmonei reikia atitikti NIS2 direktyvą?

Dažniausiai ne tiesiogiai: NIS2 skirta vidutinėms ir didelėms įmonėms (nuo 50 darbuotojų arba daugiau nei 10 milijonų eurų apyvartos). Dauguma pavienių restoranų į šią grupę nepatenka. Tačiau NIS2 kelia aukštesnius saugumo reikalavimus jūsų kasos, rezervacijų ir mokėjimų tiekėjams, kurie dažnai patenka į šią apimtį — jų saugumo lygis tiesiogiai lemia, kiek saugūs yra jūsų duomenys.

Ką daryti, jei įtariu duomenų nutekėjimą?

Atjunkite paveiktą įrenginį nuo tinklo, iškart informuokite savo kasos ar programinės įrangos tiekėją ir užsirašykite, ką pastebėjote. Jei tai susiję su svečių ar darbuotojų asmens duomenimis, apie tai privalote pranešti duomenų apsaugos institucijai per 72 valandas. Nelaukite, kol būsite visiškai tikri — savalaikis pranešimas svarbesnis už tobulą pranešimą.