欧洲银行因自动取款机犯罪而损失数百万美元,这突出了以atm为中心的安全审计业务的重要性. 在考虑ATM安全审计时,主要的ATM风险是什么?哪些行业框架是有用的?
有许多安全框架和最佳实践标准被用来帮助进行各种审计业务. 可以说, 与此主题最相关的是支付卡行业数据安全标准, 或者PCI-DSS, 这包括存储敏感账户数据的环境, 处理或传输, 包括那些可能影响持卡人数据环境安全性的环境. 让我们看一下ATM安全审计上下文中的两个PCI DSS主要需求.
通过组织政策和计划支持信息安全
信息安全策略确定了合作伙伴的责任, 管理层与员工, 识别风险并定义覆盖风险的控制. 自动取款机的潜在风险包括现金在运输途中被抢劫, 对顾客的攻击, 针对IT系统的网络攻击, 相关政策应该有助于预防, 识别, 对此类事件作出响应并从中恢复. 关于ATM风险的详细信息,我推荐MITRE ATT&CK框架, 因为它有助于查看和比较不同敌对组织已经使用的技术.
整体, 信息安全政策应有助于促进有效的管理和操作决策. 从审计团队的角度来看, 健全的文件编制总是有助于了解风险承受能力及其对审计客户的重大影响.
安装和维护网络安全控制
与往常一样,所有网络设备都应该被识别、记录、定期打补丁和加固. 在ATM上下文中,我建议首先回顾一下网络图和相关数据流. 从那, 您可以识别管理访问点, 防火墙位置和网络分段. 调查的潜在领域可以是身份和访问管理(例如.g., 多因素身份验证, 跳转服务器使用情况, 授予和撤销程序), 现有防火墙规则允许的流量, 评估防火墙放置的有效性, 检查选定的设备设置和已安装的补丁. 也, 对atm机进行物理检查以确保没有从外部容易进入的网线或网络设备是值得的.
在规划ATM安全审计并构建其范围时, 审计人员应该投入大量时间来更好地理解围绕ATM管理的治理和业务流程. 使用行业框架(如PCI-DSS)是有益的. 然而, 审计测试需要根据审计客户固有的与atm相关的风险进行选择和校准. 除了, 参与渗透测试将提高所提供审计业务的质量和可靠性.
编者按: 要进一步了解这个话题,请阅读阿列克谢帕诺夫最近在《澳门赌场官方下载》上发表的文章, 有效规划和确定基于PCI DSS的ATM安全审计范围的关键考虑因素 ISACA杂志,第2卷,2024.