Według Narodowego Banku Polskiego, w III kwartale 2024 r. w Polsce przeprowadzono 2,7 mld transakcji kartami płatniczymi, a na koniec września ubiegłego roku funkcjonowało ponad 1,3 mln terminali POS - Point-Of-Sale - do przyjmowania takich płatności. Ich liczba systematycznie rośnie.
Systemy POS występują w różnych formach - od prostych terminali płatniczych, po zaawansowane systemy łączące funkcje sprzedażowe i analityczne. Często jest to zwykły terminal do kart, ale w przypadku sklepów może być to komputer połączony z ekranem dotykowym, bazą danych i kasą fiskalną. Niezależnie od połączonych urządzeń i ich typu, podstawą ich funkcjonowania jest to, że przy płatności kartą aplikacje POS przetwarzają przypisane do niej informacje i dane osobiste właściciela. Dlatego środowiska point-of-sale stanowią punkt wrażliwy na cyberzagrożenia.
Dane mogą być wykorzystane do kradzieży pieniędzy bądź nawet tożsamości. Typowy atak na POS rozpoczyna się od uzyskania dostępu do systemu ofiary przy wykorzystaniu luki w zabezpieczeniach lub socjotechniki. Zainstalowane złośliwe oprogramowanie zbiera informacje i przesyła je na zewnątrz. Atak wymierzony w jedno urządzenie może szybko objąć inne w obrębie tej samej sieci.
Metody ochrony systemów POS
Aby skutecznie zabezpieczyć systemy POS należy wprowadzić w życie kilka podstawowych praktyk. Szyfrowanie end-to-end zabezpiecza dane transakcyjne od chwili wprowadzenia do systemu POS, do momentu ich dotarcia do banku lub procesora płatności. Uniemożliwia to wyciek informacji nawet w przypadku naruszenia bezpieczeństwa urządzenia POS.
Kolejną ważną metodą ochrony jest uwierzytelnianie dwuskładnikowe, które polega na użyciu dodatkowego sposobu weryfikacji użytkownika podczas logowania. Zazwyczaj jest to dodatkowy kod, wysyłany przez SMS, podawany w aplikacji lub wyświetlany na fizycznym przedmiocie (tokenie) - dostęp do takiego kodu ma tylko upoważniona osoba. W niektórych urządzeniach POS istnieje także możliwość stworzenia białej listy (white list) zawierającej wyłącznie te aplikacje, które mogą pracować na danym urządzeniu - pozostałe są blokowane.
Jednak podstawą dobrej ochrony powinna być odpowiednio wyszkolona kadra. Osoby, które nie posiadają odpowiedniej świadomości zagrożeń, są podatne na socjotechnikę lub pomijanie wytycznych bezpieczeństwa. Wówczas atakujący nie będzie musiał stosować żadnych wyrafinowanych technik. Na szczęście przypadki bezpośredniej odpowiedzialności za atak osób pracujących w danej placówce są rzadko spotykane. Sprzedawcy powinni blokować aplikacje pod koniec każdego dnia oraz zawsze, gdy urządzenie POS nie jest używane. Warto prowadzić też ciągłe monitorowanie procesów zachodzących w systemie.
Polski wynalazek - BLIK - odpowiedzią na zagrożenia
Odpowiedzialność za ochronę punktu sprzedaży stoi przede wszystkim po stronie użytkującej go firmy. Są jednak sposoby na zwiększenie poziomu bezpieczeństwa przez konsumentów. Niektóre metody płatności są bezpieczniejsze - przykładem jest BLIK.
Transakcje BLIK-iem nie wymagają udostępniania żadnych danych systemowi POS - nawet numeru konta bankowego. Dotyczy to zarówno płatności online, jak i tych realizowanych w sklepie. Dzięki temu płatność BLIK-iem stanowi znacznie bezpieczniejszą opcję niż tradycyjna karta kredytowa. Naturalnie, dla zachowania bezpieczeństwa nie należy nikomu udostępniać swojego kodu BLIK, szczególnie przez internetowe komunikatory. W sytuacji zgubienia telefonu, należy niezwłocznie skontaktować się z bankiem w celu zamrożenia konta.
Źródło: Informacja prasowa Sarota