פריסה עסקית חדשה של קיוסקים מחייבת גישה חדשה של אבטחה ובקרה
McAfee Embedded
“יצירת רשימות לבנות” (Whitelisting) דינמיות ובקרת יישומים
מאפשרות בפני הקמעונאים הזדמנויות חדשות
התרבותם של הקיוסקים לשירות עצמי יוצרת הזדמנויות עסקיות ומסחריות חדשות עבור הקמעונאים. מערכות אלו מייצגות חזית חדשה שבה יש לקוחות שצריך להגיע אליהם ולשרת אותם בדרכים חדשניות וחווייתיות. מאמר זה חוקר איך העסק שלך יכול לעמוד באופן בטוח בדרישות התאימות שמציבות האבטחה, הבקרה ותעשיית הכרטיסים לתשלום (PCI) על פני מערכות מבוזרות אלו. תוכל ללמוד שקיוסקים אינם אמורים להיות מנוהלים כנקודות קצה סטנדרטיות של הארגון, ותבין איך “יצירת רשימות לבנות” (whitelisting) דינמיות מספקת את הגישה היעילה ביותר לאבטחתן ולבקרתן של מערכות אלו שנמצאות בקו החזית, על רקע האיומים העסקיים המופיעים והרגולציות המחמירות.
האם אי פעם היה לך רעיון מצוין שלא הצליח לבוא לידי מימוש בשל היעדר יכולת ביצוע או בגלל היתקלות במכשול בדרך שלא נצפה מראש?
כשמדובר בקיוסקים, “פריסה” היא רק חלק אחד של האתגר הכרוך בהוצאה לפועל של הרעיון. האתגר המשמעותי הנוסף, הוא היכולת לנהל ולאבטח את המערכות המבוזרות האלו, תוך כדי שמירה על הגמישות הנחוצה להוספה של תכונות ויוזמות חדשות אל ההזדמנויות העסקיות החדשות. היכולת שלך להתאים את עצמך באופן מאובטח לדרישות המתפתחות והמשתנות של הלקוח, לשדרג את המערכות לאחר מימושן ולערוך בקרה על שינויים שנערכו בקיוסק, כל אלו חייבים להיות חלק משיקולי התכנון ומשיקולי הפריסה הכוללים.
במאמר זה נחקור את הפתרונות הקיימים כיום עבור קיוסקים לשירות עצמי ונסביר כיצד יצירת רשימות לבנות ובקרה על יישומים, שמתבצעות באופן דינמי, יכולות לקדם לא רק את האבטחה הטובה ביותר עבור מערכות אלו, אלא גם לפתוח את הדלת למודלים עסקיים חדשים פוטנציאליים.
McAfee היא חברה מובילה בתחום אספקת אבטחה לפתרונות מקוריים של קיוסק לשירות עצמי – נקודות למשיכת כסף (כספומט) (ATM).
חווית השימוש והערך המוסף המתרחבים של הקיוסקים
אין זה רק שהפתרונות הקיימים כיום עבור קיוסקים ועבור שירות עצמי מעבירים מידע בלבד, הם גם משפרים את חיי היומיום של הלקוחות – וזאת עוד הרבה יותר מאשר בהיבט של נוחות בלבד. את הדוגמה הטובה ביותר לכך אפשר לראות בבדיקה, שנערכה לאחרונה, של קיוסקים לחלוקת תרופות עבור אזורים כפריים ומרפאות בריאות קטנות. קבלת התרופה באמצעות קיוסקים אלו יכולה לדלג על טעויות שעלולות להופיע במרשם, ויכולה לספק את הקשר המהותי שבין מטופל לרוקח דרך שיחת התייעצות מרחוק באמצעות שיחת וידיאו “חי”, אשר מחליפה כל התייעצות דומה אחרת של “מעבר לדלפק”. קיוסקים אלו משנים את קווי המתאר של חווית שימוש מסורתית בבית מרקחת, אם כי מבחינה תפעולית צריך לנטר אותם ולנהל אותם בצורה שונה, מפני שהלקוחות שמים בהם את מבטחם, ביכולת הביצוע ובזמינות שלהם בכל הקשור לאספקת שירותים רפואיים.
תהליך התכנון של קיוסקים שיהיו זמינים סביב לשעון, ובמקביל יספקו ביצועים איכותיים לעסקאות מאובטחות ומדויקות, הוא עניין מורכב. רובד נוסף של המורכבות כרוך בעמידה בצרכים הנדרשים לצורך תאימות – ובמיוחד תאימות לממשק PCI. עסקים רבים אינם מממשים את עצמם, כאשר הדברים מגיעים ליכולתם לספק בצורה שאינה משתמעת לשתי פנים את הבקרות הנדרשות לרשימה ההולכת ומתרחבת של תקנים ותקנות, כאשר באותו זמן תהיה להם היכולת לא להשפיע על הביצועים או על העלויות הגדלות של העסק, בשל העובדה שקיוסקים אלו קיימים, מלכתחילה.
רוב הלקוחות מקבלים באופן רשמי את הקיוסקים לשירות עצמי לביצוע מספר של עסקאות שונות, והם אף מוכנים להשתמש בהם. מימושים רבים של קיוסקים אומצו באופן רחב עד היום, בהם נכללים יישומים פשוטים, כמו דלפק מעבר בשדה תעופה ורכישה של כרטיסים לנסיעה ברכבת, וקיימים רבים אחרים שמתקבלים ברצון רב ואשר הם מספקים ערך ושירות חדשניים יותר. בלי קשר ליישום, יש צורך בטכנולוגיה נוספת כדי לספק את הבקרה התפעולית על המערכות המבוזרות האלו, על מנת להבטיח את הזמינות, את יכולת הביצוע ואת האבטחה של ההתקן. לכל פריסה של קיוסקים יש צורך ביכולות ייחודיות כדי לספק למצבה של המערכת את האבטחה המוחלטת, את השקיפות המפורטת ואת הבקרה על שינויים. ליכולות אלו יש השפעה רחבה יותר מאשר רק זו הכרוכה באספקת מצוינות לטכנולוגיית המידע – אלו יכולות להיות גם התכונות שבעזרתן, מי שיוצרים ומשיקים פתרונות של קיוסקים, יוכלו ליהנות ממודלים עסקיים חדשים.
עסקים שבהם מעורבים קיוסקים
אפשר למצוא פעילויות ומגמות רבות בתעשייה סביב נושא הגידול של הקיוסק. את המגמות האלו אפשר לסווג לקבוצות משנה, אם מתבוננים במוצר המסופק ללקוח או למשתמש הקצה. ניתן לראות את החלוקה המדורגת הזו בדרך הבאה:
מידע
רישום
עסקאות (טרנסאקציות)
העברת כספים
העברת נכסים
העברת נכסים להשכרה
בתהליך הנמשך מאספקת מידע (איתור סחורות) אל נכסים ניתנים להשכרה (השכרה של תקליטורי וידיאו), אפשר לראות גידול בערך שמשתמש הקצה מקבל. וערך זה קשור באופן צמוד לתמורה שהעסק מקבל. במקביל לכך, העסק הוא גם האחראי לניהול הסיכונים אם מתקיימות פשרות על הזמינות, הביצועים והתאימות של הקיוסק. כל זה מהווה סיכון לשורה התחתונה הפיננסית וללקוח.
McAfee מנהלת את המצב של פתרונות הקיוסקים. פירושו של דבר שהמצאי של התוכנה, היישומים והקודים שנבדקו ואומתו נשמר באמצעות יצירת רשימות לבנות דינמיות, הכל בתוך מסגרת של מערכת הקיוסקים. המצאי כולל לא רק את הקבצים לביצוע ואת הקבצים הבינאריים, אלא הוא לוקח בחשבון גם מנהלי התקנים, הוראות סקריפט, קוד ג’אווה או כל דבר אחר שיכול לפעול כדי לגרום לשינוי המערכת.
מה מקבלים?
אחד ההיבטים הנפלאים של הקיוסקים הוא העובדה שאפשר לפרוש אותם כמעט בכל מקום ובכל הגדרה. גמישות זו יכולה להעמיד את הקיוסק במצב פגיע. אותם משתמשים שמאמצים את הקיוסקים למען העצמת הנוחות בחייהם, יכולים גם להיות משתמשים סקרנים או משתמשים זדוניים, המחפשים דרכים להתעסק ולחבל בהתקן לצורך רווח או פשוט מתוך רוח משובה. בדומה מאוד למכונות המכירה שבהן אפשר להשתמש בדרך של מרמה, בעזרת אסימונים שמשולשלים לחריץ, אפשר לצפות לפגיעה זדונית כזו גם עם הקיוסקים הפרושים בשטח. אך עם זאת, במקרה זה, התמורה המתקבלת יכולה להיות משמעותית יותר בהרבה, אם נשווה אותה להשגת כמה עשרות בקבוקי שתייה קלה בחינם.
מיקומו של הקיוסק תורם סיכונים ומורכבות תפעולית, בדיוק כמו הדבר שהקיוסק מספק. בין אם הוא נמצא בתוך ארגון יחיד, במקום מסחר קמעונאי, במרכז רפואי, במתקן ממשלתי או שהוא פרוש בנקודות מרוחקות ומבודדות, לכל אחד מקיוסקים אלו יש צורך גובר והולך בבקרה ובאבטחה, בשל סיכונים סביבתיים שקשורים לקיוסק.
בעזרת הטכנולוגיה של McAfee, אפשר להעלות את תמונת המצב של קיוסק סטנדרטי של הארגון ולהשתמש בה לצורך השוואה אל המערכות שבשטח. פונקצית הסטייה של התמונה תדווח בפרטים על ההבדל שבין המערכות הסטנדרטיות לבין המערכות שבשטח.
אבטחה ובקרה עבור קיוסקים
שלוש הדרישות העיקריות לפריסה מוצלחת של קיוסקים הן (1) שהמערכת תהיה זמינה סביב השעון, (2) שהיא תעמוד בכל ציפיותיו של הלקוח לגבי יכולת ביצועים ו- (3) שהיא תעמוד בתאימות עם כל התקנים והתקנות הקיימים בזמן מסוים. אחרי רבים מבין הקיוסקים הפרושים מתקיים מעקב לגבי החזר תשואה על השקעה (ROI) בהתבסס על אחד – או על יותר מאחד – מבין המדדים הבאים של זמינות ויכולת ביצועים:
זמינותו של הפתרון
מספר הצפיות
מספר העסקאות
מהירות ביצוע העסקה
כל אחד מהמדדים יושפע באופן שלילי אם הקיוסק יהפוך לבלתי זמין או אם תהיה לו בעיית ביצוע. הקיוסק הוא חלק ממותג הארגון, או הוא יכול אפילו לייצג מותגים רבים, ואם תתקיים העובדה ששביעות הרצון של הלקוחות תהיה פחות ממושלמת, היא תמנע את האימוץ של הפתרון ואת ההנחות לגבי החזר תשואה על השקעה, שהיו מצופות מהפתרון. לקיוסקים יש צורך בפתרון יחיד בעל תקורה נמוכה שמספק את האבטחה ואת הבקרה על התפעוליות, כדי לנהל את הזמינות, הביצועים והתאימות.
כיום, הארגונים יוזמים את הקיוסקים, החל ברעיון, דרך תכנון ועד הפריסה, אך אפשר גם לרכוש אותם כפתרונות כוללים “עד המפתח” או לקבל אותם בשלמותם מצד שלישי. גמישות זו טובה למדי עבור שוק הקיוסקים, אך היא מציבה בעיה כאשר מנסים לנהל אותם בשטח.
השמירה על הקיוסקים במשך כל זמן הפצתם ומימושם, במצב שבו הם בשלב הבדיקה והאימות, היא קריטית. הפתרון צריך להיות במצב שבו הוא ניתן לביצוע, אך גם במצב שבו הוא ננעל ועוקב אחר שינויים בחלקים של המערכת שהם קריטיים ליכולת הביצוע ולזמינות של המערכת. והמשמעות כאן, היא הרבה מעבר להבנה, שלמערכת יש קצב פעימות לב וניצול מקורות ניטור משל עצמה, כגון יע”מ (CPU) וזיכרון.
האיומים המתפתחים בצורת תוכנות זדוניות מוכוונות למטרה ומתקפות יום האפס (zero day) שאותרו ברכיבים המשמשים לרוב, כמו למשל דפדפן האינטרנט Explorer, מהווים סיכון של ממש. האלמנט המשותף לשני איומים אלו הוא העובדה שאת השינוי שנעשה, בין אם דרך תוכנה לא מורשית או באמצעות תוכנה מורשית שנוצלה לרעה, אפשר לחסום בעזרת יצירת רשימות לבנות (whitelisting) ובקרת יישומים דינמיות. ככל שהממשק למערכות אלו מתפתח ותקשורת של מכונה אל מכונה הופכת להיות מציאות רווחת, השקיפות ויכולת הפירוק לצורך בקרת המערכת ובקרת השינויים בחלקי המערכת, הופכים להיות חשובים לאין ערוך.
בעזרת יצירת רשימות לבנות ובקרת יישומים דינמיות אפשר ליצור רשימה מורשית של יישומים ושירותים שלהם מותר לפעול. את התהליכים המנהלים עדכונים למערכת, מכל חבילת תוכנה סטנדרטית או מחבילת תוכנה עצמאית, אפשר לקבוע ולהגדיר בקונפיגורציה כעדכונים מורשים. כל שינוי שלא הגיע מתוכנת עדכון מורשית ייתקל בסירוב ויתועד ביומן.
עם דרגה כזו של בקרה, אפשר להציב את הקיוסק במצב נעילה כשהוא מוגן מפני כל האפשרויות המוכרות של פגיעה לרעה, כגון וירוסים או סוסים טרויאניים או תוכנה זדונית נסתרת (rootkit) או מפני מתקפות של יום האפס, שהופיעו לא מכבר. כל זאת נעשה ללא הצורך בניהול שירותים, בעדכוני חתימות או בתקורה נוספת שיושתו על ידי מרכז תפעולי כלשהו.
גדרות בטוחים יוצרים שכנות טובה.
McAfee מספקת אמצעי בקרה, על מנת להבטיח שמערכת הקיוסק תישאר מבוקרת על ידי היצרן, ושלא יהיה צד שאין לו הרשאה, אשר יוכל לבצע בה שינוי כלשהו.
האתגר שבשינוי
קיימים שלושה סוגים של שינויים:
שינוי מורשה
שינוי “אד הוק”
שינוי זדוני
אפשר בקלות לדמיין איך שינוי זדוני יכול להשפיע על הזמינות, הביצועים והתאימות של קיוסק. ואולם, ההשפעה שיש לשינוי מסוג אד הוק (לעניין מסוים בלבד) ולשינוי מורשה אינה כה ברורה. בדומה לשינויים מורשים, כך גם שינויים מסוג אד הוק, יכולים להיות יזומים על ידי מי שיש לו הרשאות וזכות כניסה למערכת. אמנם שינויים מסוג אד הוק יכולים להיות יזומים מתוך כוונה טובה של תיקון מערכת או עריכת שינוי שאמור להיות לטובה, אך שינויים מסוג זה שממומשים ללא תהליך מלא של בדיקה ותיקוף אל מול מדיניות ההנהלה לשינויים בארגון, יכולים להשאיר קיוסק אחד במצב פגיע בשל סטייתו מהתקן של הארגון.
ההסתגלות לשינוי מורשה יכולה להיות קשה, במיוחד אם קיימים צדדים רבים שמנהלים או מספקים את הקיוסקים. היכולת להעניק הרשאה לשינויים ולנעול באופן מרכזי כל אפשרות של ניסיון לבצע במערכת באופן מקומי שינויים מסוג אד הוק או שינויים זדוניים, היא אידיאלית. אך עדיין אפשר לדחוף שינוי למטרה מסוימת באמצעות חבילת הפצה של תוכנה שלא נבדקה או עברה תיקוף באופן מקיף במהלך ניסוי (“פיילוט”) או שינוי שנוצר מתוך הצורך לשכך במהירות בעיה. זהו פשוט אופיים של עסקים. אך בנקודה מסוימת, על מנת להקטין עד למינימום את התקורה התפעולית ולהגדיל את יכולת חיזוי הביצועים, ראוי ליישב את התמונות מול התקן של הארגון. אין פירוש הדבר רק את קובצי הביצוע, אלא להיות גם מסוגל לחפור פנימה ולראות מי או מה יצרו את השינוי, כאשר הסטייה זוהתה.
בדרך זו אפשר להשתמש אם רוצים להשיג תאימות לתקנים, אך גם לקבלת רמה גבוהה יותר של תמיכת אבחון קריטי לביצועים או לבעיות אבטחה. בעזרת השוואה מהירה אפשר לזהות את ההבדלים בין קיוסק אחד שפועל היטב לבין אחר שאינו פועל בצורה טובה. בסביבה הכלכלית של היום, העובדה שיש לך גישה אל רמה פשוטה ומקיפה של מידע לאבחון, יכולה בקלות להיחשב מוצדקת מבחינת עלות, מפני שהיא מקטינה את הצורך בתפקיד של איתור תקלות באתר, שמתבצע על ידי טכנאים.
ייתכן ששינוי מורשה עבר בדיקה והוא תקף, אך כאשר מממשים אותו שלא במסגרת הליך מאושר או מחוץ למסגרת זמן מאושרת, הוא יכול להשפיע על הקיוסק, ובסופו של דבר, גם על העסק. ליכולת האכיפה של פעולות התחזוקה של הארגון על המערכות ושל המדיניות של הארגון, במטרה להבטיח שההשפעה על חווית משתמש הקצה תהיה הקטנה ביותר, יש חשיבות ממדרגה ראשונה. דוגמת מפתח ליתרון זה אפשר לראות בקיוסקים שמותקנים בבתי מלון לאספקת שירותים לאורחים נכנסים (check in). קיוסקים אלו צריכים להיות זמינים שעות ארוכות אל תוך הלילה, בזמן שצוות המלון אינו זמין. תכונת אכיפה זו יכולה להבטיח שמדיניות העסק תהיה מסונכרנת עם התחזוקה התפעולית של הקיוסקים. במקרה זה, אפשר להגדיר בקונפיגורציה חלונות תחזוקה ייחודיים לעדכון הקיוסקים, כאשר צוות המלון פנוי לחלוטין לאספקת שירותים לאורחים נכנסים.
האתגר שבתאימות
רוב תקנות התאימות עבור מערכות עוסקות בנושאים הבאים:
האם המערכת מוקשחת?
האם הפתרון הוקם על פי הנחיות היצרן (או על פי התקנים של הארגון)?
האם הגישה למערכת מוגבלת?
האם יש התייחסות והתנהלות ראויות לחלוקת התפקידים ולתחומי האחריות?
האם מתקיים מעקב אחר שלמותה ותקינותה של המערכת?
האם קיימים מעקב ביקורת או רשימת דוח לדיווח על דרישות התאימות?
האם המעקב אחר נתונים מאובטח והאם אכן לא ניתן לשנות אותו או לסכן אותו?
היכולת לספק שלמות ותקינות של מערכת, והיכולת לבקר את השינויים שנעשים בה, במקביל לקבלת גמישות בצורת הדיווח, יכולה למלא כמעט את כל דרישות התאימות המתבססות על המערכת.
הקשחת המערכת
כאשר לפתרון יש היכולת לנהל את מצב הקיוסק, לרבות חלקי המערכת, אפשר להיות בטוחים שדרישות הקשחת המערכת מומשו. המרכז לאבטחת אינטרנט (CIS) יצר את התקנים המתאימים להגדרות קונפיגורציה של אבטחת מערכות וקבע בדיקות להערכת ביצועים שמקצות דרגות להקשחת הקיוסק. היכולת לדווח ולהעריך את תוצאת ההקשחה באופן אוטומטי יכולה לחסוך שעות רבות או ימים רבים של ביצוע ביקורת ידנית. גם התיקון מתבצע בדרך מהירה יותר כאשר משתמשים בפתרון של בקרת שינויים, מפני שכך אפשר להפיק בקלות את הפרטים הקובעים מי ערך את השינוי, מהו השינוי שנערך ומהם החלקים המסוימים שאליהם הוא מתייחס.
פתרון שנפרש על פי הנחיות היצרן
היכולת לדווח כיצד מערכת פרושה בשדה, בהשוואה להגדרות הקונפיגורציה של הנוהלים הטובים ביותר של היצרן, חשובה לפחות למען תאימות לממשק PCI. תכונה זו דומה להקשחת המערכת, כאשר מתבצעת ההערכה של רשימת המטלות לקבלת הנוהלים הטובים ביותר אל מול המערכת, ואפשר לעשות זאת בצורה ידנית – אבל העובדה שקיימת היכולת לעשות זאת באופן אוטומטי חוסכת בעלויות.
הגבלת גישה
במקרים רבים, בקרה זו מתבצעת ברמה של רשת התקשורת, אך ככל שמערכות הופכות להיות מורכבות יותר, עם עיבודים של מכונה למכונה, יש לבקרה זו הסתעפויות רבות. עובדה זו חשובה במיוחד כאשר מדובר במודלים עסקיים של קיוסקים, שבהם קיימים צדדים מרובים שמספקים שירותים או תמיכה להתקן. היכולת לקבוע מי רשאי לקרוא ולכתוב נתונים וקובצי מערכת קריטיים ומה מותר לו לקרוא או לכתוב, מעבר ליכולת להגביל את הגישה מהמשתמשים, היא דבר מה שלא ניתן לעשות ברמת רשת התקשורת. הגבל נתונים רגישים, באופן כזה שרק היישומים שיצרו את הקובץ יוכלו לקרוא ולכתוב בו, ולעומתם, כל היישומים האחרים או כל המשתמשים האחרים לא יוכלו לגשת לנתונים אלו או להעתיק אותם. ובכך נכללת גם היכולת להעתיק קובץ מוגן להתקן USB.
חלוקת תפקידים ותחומי אחריות
האכיפה של מדיניות הארגון בנושא חלוקת תפקידים ותחומי אחריות בהתקן מרוחק היא קשה. יש צורך בעדכונים מתשתית מרכזית ובניהול עדכונים מרחוק, אך אין בכך כדי לפתור את בעיית הסיכון של גישה מקומית, שקיימת באופן מובנה אצל כל הקיוסקים מעצם היותם פרושים בשטח. פלטפורמת ניהול מרכזית, גם היא אינה מאפשרת תמיכה ברמה גבוהה או תמיכה שמגיעה מצדדים מרובים. חייבת להיות כאן דרך שתעניק הרשאות לסוכנים של הפתרונות המורשים ולקבוצות התמיכה שלהם, אשר באמצעותם הם יוכלו לספק את המומחיות שלהם, כאשר במקביל, הארגון ממשיך להחזיק בשליטה על הקיוסק. באמצעות עדכונים ספרתיים וחתומים אפשר להגדיר בקלות את החלוקה הזו, להתיר את הקצאת האישורים ואת המעקב אחריהם, בהתבסס על השירותים המסופקים על ידי בעלי התפקיד והאחריות. עדכונים אלו, בין אם הם מופצים באופן ממורכז או שהם מורדים או שהם מסופקים באופן אישי, מזהים את התפקיד ואת ההרשאה בהתבסס על מפתח ספרתי שבו השתמשו כדי לארוז את השינוי. רק אותו שינוי שנחתם כהלכה, יותר לביצוע ויעדכן באופן אוטומטי את המערכת.
מעקב אחר שלמותה ותקינותה של המערכת
השגה של מעקב בזמן אמת אחר שלמות קבצים בצד התראה על פונקציונליות, מספקת מידע במועדו, שמפרט אירועי שינויים קריטיים, לרבות אלו שמתייחסים למי שמנסה לערוך שינויים, גם כאשר המערכת נעולה.
דיווח על דרישות התאימות
על מנת שפתרון כלשהו ייחשב כתשובה הולמת לתאימות, הוא חייב שיהיו לו מערכת דיווח ויכולת התאמה אישית ותזמון של הדוחות האלו. לאחר שהדרישות חולקו לתחומי בקרה תפעוליים, אפשר להוכיח שהארגון מנהל ומתחזק את הבקרות האלו רק בדרך של מעקב ביקורת של הדיווח.
מעקב מאובטח אחר נתונים, כזה שאין אפשרות לסכן אותו
היכולת לאפשר צפייה ועריכת שינויים, בהרשאה בלבד, במעקב הביקורת ובדוחות התאימות חשובה לעניין אבטחת השלמות של הבקרה התפעולית הכוללת. באלו נכללים קובצי המערכת המקומית וכן כל מידע בנושאי ביקורת שהצטבר במסגרת עבודתה של ההנהלה המרכזית.
תכונות הבקרה המשובצת של McAfee מספקות וודאות לעובדה שמערכות קריטיות ומבוזרות אלו מנוהלות בצורה תקינה, על מנת להפיק את המרב מהערך העסקי שלהן. בעצם העובדה שאין הם ממוקמים במרכז הנתונים של הארגון, אין כדי לומר שאינם יכולים ליהנות מאותה רמה של מצוינות תפעולית, תוך כדי מזעור עלות הבעלים הכוללת. בכלכלה של היום, אפשר להחליף את התקורה הכרוכה בתמיכה מסורתית או את זו הכרוכה באבטחה של נקודת מכירה פשוטה של קיוסק, בטכנולוגיה של McAfee, המספקת מסגרת עבודה יציבה לבקרה ולאבטחה יעילה מבחינת עלות.
קידום עסקים טובים יותר עבור הקיוסקים
נתבונן כעת בכמה מבין המודלים העכשוויים עבור קיוסקים, נסקור כמה מהמכשולים שיכולים להגביל את המימוש של מלוא הפוטנציאל העסקי הגלום בהם, ונבחן את הדרך שבה McAfee יכולה למזער את הסיכונים ולשפר את הפרישות והמודלים האלו.
מקרה לדוגמה: עיבוד צילום ספרתי בהתקנות קמעונאיות
המודלים לפריסה עסקית של שירותים מסוגים אלו, מסתמכים על מערכת יחסים שבין הבעלים של קיוסק הצילום הספרתי לבין הקמעונאי שהציב את הקיוסק בחנותו. בשל העלות והמורכבות של קיוסקים אלו, מספק היצרן בדרך כלל את הקיוסק כשירות או כמערכת מושכרת, שכוללת מודל חלוקת רווחים בהתבסס על טרנסאקציות (עסקאות). הרכיבים שאותם יש לשקול במודל זה כוללים את העלות הכרוכה בהשכרת שטח רצפה שעליה ניצב הקיוסק, את רשת התקשורת שאליה יהיה הקיוסק מחובר, ואת ניהול הקיוסק באמצעות שירות תיקונים מרחוק ובאתר. הקמעונאי יקבל את חלקו ברווחים מתוך העסקאות שנעשות, כמענק על קידום הקיוסק במרחביו.
מה שמעכב את המודל הזה היא תאימותו לתקני אבטחת נתונים בעת סילוק תשלומים באשראי (PCI-DSS). מאחר שעיבוד צילום כרוך בהעברת תשלומים, הקיוסק חייב להיות מבודד וממודר, כדי להבטיח שאינו נכלל באף לא אחת מתשתיות העבודה של הקמעונאי, על מנת להקטין את היקף התאימות לממשק PCI בתוך החנות. מאחר שלקמעונאי אין היום שקיפות על היבטים של אבטחה, הוא מתייחס לחידוש זה, יותר כמו אל קופסה שחורה שנמצאת בשטחו. ואולם, הקיוסק יכול לתרום לשורה התחתונה ולעודד ביצוע של עסקאות מכירה נוספות מצד אנשים שנכנסים להשתמש בקיוסק. העובדה שהוא יכול לספק דיווח תפעולי ויותר שקיפות למפעיל הקמעונאי, הופכת את המודל הזה למודל בעל יעילות גבוהה יותר עם סבירות להקטנת עלויות.
במקום להסתמך על מידור היקפי, שקיימת לגביו סבירות לסיכון או להגדרה חוזרת – בטעות – של קונפיגורציה, הבעלים מסתמכים על אספקת הגנה מוחלטת מפני פריצה למחשב מארח עם דיווח ביקורת, כדי להוכיח שנשמרו כל הגבולות. באופן כזה אפשר לבנות מערכת יחסים המושתתת על אמון טוב יותר ובאופן פוטנציאלי להסיר מהשירות את עלות התקורה הכרוכה ברשת תקשורת נוספת. הטכנולוגיה של McAfee יכולה לספק את הבקרות הנדרשות על מנת להוכיח תאימות לממשק PCI של הקיוסק. בעזרת פתרון יחיד, McAfee נותנת הגנה מפני פריצה מבוססת על מארח, הגנה נגד תוכנות זדוניות, ניטור של שלמות קבצים בזמן אמת, מרכז להערכת אינטרנט להקשחת מערכות ודיווח על הגדרת קונפיגורציה לאבטחה, בנוסף על דיווח לגבי תאימות למערכת PCI.
מקרה לדוגמה: קיוסקים למעבר נוסעים בשדה תעופה חולקים מתקנים מנוהלים בבית הנתיבות (טרמינל)
הנהלת טרמינל שדה התעופה, מספקת לעתים קרובות קיוסקים של שירותי מעבר נוסעים
(Check in) משותפים עבור כל חברות התעופה המשתתפות באותו בית נתיבות. הצרכנים נהנים מהנוחות של קיוסקים שממוקמים באופן מרכזי, כדי לאשר את הטיסות שלהם. חברות התעופה והצרכנים בוטחים בהנהלת בית הנתיבות שתתמוך בפעולות ובשירותים הנדרשים לקיוסקים אלו. כאשר הקיוסקים אינם זמינים – או גרוע מכך, הם במצב סיכון – חוסר הנוחות והנזקים הנובעים מכך מופנים כלפי חברות התעופה, ולא אל החברה המנהלת את בעת הנתיבות. מאחר שהרשאה עבור כרטיסים אלקטרוניים (e-ticket) מסופקת בדרך כלל מול רשיון נהיגה בתוקף או מול כרטיס אשראי בתוקף, האבטחה הנדרשת מקיוסקים אלו היא קריטית. שדה תעופה הפסיק את השימוש בקיוסקים משותפים למעבר נוסעים, לאחר שהסתבר שהחברות ויזה ומאסרקארד עקבו אחר כרטיסי האשראי ששימשו לאימות הזמנות אלקטרוניות על ידי משתמשים שקודם לכן השתמשו בקיוסקים, והתריעו על מעשי מרמה שנעשו בהם.
בכל מודל שבו הקיוסק הוא גוף משותף בין כמה גופים לצורך מילוי עסקאות או קבלת שירותים, חשוב ביותר לקבל את הדרגה הגבוהה ביותר של אבטחה עבור מערכות אלו, על מנת להקטין למינימום את הפוטנציאל לסיכון של פגיעה באבטחה. ככל שקיוסקים הופכים להיות נפוצים יותר, סביר שהם ישרתו יישומים רבים המגיעים מכמה מקורות שונים המסתכמים בחוויית הלקוח. הבקרה המשובצת של McAfee יכולה להבטיח שרק היישום הזה יוכל לשנות את המקורות הקריטיים והמקורות המוקצים האלו – שבהם נכללים קובצי נתונים, ערכים ברישום מערכת ההפעלה (registry) או הגדרות קונפיגורציה שמקושרות ליישום מסוים – ורק היישום הזה יוכל לשנות אותם ולקרוא בהם. כיום, במקרה של קיוסקים משותפים בשדה תעופה, אפשר להגן מפני קריאה וכתיבה על כל הקבצים המקומיים או הזיכרונות שכללו באופן זמני את המידע הרגיש הנדרש לצורך הרשאה, כאשר מאבטחים אותם מפני יישומים אחרים ואפילו מפני צפייה של מנהל מערכת שנרשם בכניסה.
מקרה לדוגמה: התקנות קיוסקים מרוחקים בשטח, להענקת רשיונות של הממשלה לצייד או לדייג
אפשר לפרוש את הקיוסקים בדרכים חדשניות ומרתקות – במקרה זה, ממשלות פיתחו והשתמשו בקיוסקים לצורך ניהול ועיבוד רשיונות צייד ודייג. נוסף על הצורך להיות תואמי ממשק PCI בשל רכישת הרשיונות, הקיוסקים האלו פרושים במיקומים מרוחקים בשטח. משתמשים יכולים למצוא את הקיוסקים האלו ובקלות לקבל היתרים.
הפתרון של McAfee מושלם עבור מצבים אלו שבהם יכולים להיות הפרעות בקישוריות של רשת התקשורת או שהיא יכולה להיחשב לבלתי אמינה. פתרונות אחרים שדורשים עדכונים מרכזיים או שהם מבוססי סריקה, יכולים לגרור את ביצועי המערכת כלפי מטה. בעזרת היכולת לשלוט במצב הקיוסק ולספק לו מצב נעול, חברת McAfee מבטיחה שאפילו באלמנטים שבשטח, המערכת תישאר מוגנת.
באמצעות הערכת קונפיגורציה ניתנת להרחבה ובעזרת היכולת לנטר פרמטרים ומדדים של המערכת, המותאמים אישית, בעזרת דיווח של ביקורת, אפשר לקבל תאימות לתקנות יחידות על בסיס של מדינה. תכונה זו מעניקה למפעיל הקיוסק יכולת הסתגלות, שבעזרתה יוכל להתכוונן בקלות לתקנות החדשות ולתקנים הצצים.
הפיתוח והפריסה של הקיוסקים גדלים ומתפשטים, והבעיה הגדולה ביותר שמחבלת בפרוייקט או מקטינה את הפוטנציאל העסקי המלא שלו, אינה מתחשבת בהיבט התפעולי של התקנים אלו. במהדורה השביעית של קיוסקים וטכנולוגיה אינטוראקטיבית, שהופצה על ידי חברת Summit Research, הצליחו לנסח את הבעיה בצורה המתאימה ביותר עבור כל אלו שנתקלו באבני נגף בפרישות שלהם “הם כשלו בהבנה שקיוסקים זקוקים לתמיכה ולתשומת לב, ואינך יכול רק לחבר אותם, ולצפות שידאגו לעצמם בעצמם. סביר שחברות שהבינו את המציאות הזו יזכו בהצלחה רבה יותר מחברות אחרות שהבינו את הביטוי ‘תקע והפעל’ באופן מילולי מדי.”
חברת McAfee מספקת את האבטחה הקשיחה ואת הבקרה התפעולית, על מנת להקל מעומס הניהול, שבדרך כלל משפיע על זמינות, ביצועים ועל תאימות – שלושה היבטים קריטיים למדידת הצלחתו של קיוסק. בין אם משתמשים בטכנולוגיה של McAfee כשהיא פרושה כגורם העומד באופן עצמאי לענייני אבטחה או אם כשהיא משולבת עם קונסולה של McAfee לבדיקת סטיית תמונה, הערכת הקונפיגורציה ודיווח על תאימות יקבעו את הפתרון שיהיה המתאים ביותר לקבלת ביצועים תפעוליים ולאספקת הבקרה שתאפשר לקיוסקים לשגשג על אף האיומים הצצים והתקנות החדשות.
הכתבה באדיבות חברת איסטרוניקס, מפיצת McAfee Embedded
