Stai facendo molte supposizioni nella tua domanda.
Senza sapere dove e come questi sistemi si connettono alla rete aziendale non disponi di informazioni sufficienti per valutare il rischio.
Una possibilità è che quei sistemi siano collegati direttamente ai loro sistemi di inventario e ordine e se tu avessi accesso a uno di quei computer potresti accedere o modificare tutti i tipi di dati.
La seconda possibilità è che i terminali siano tutti isolati su una rete speciale che ha accesso solo ad alcune ben progettate API ben costruite e ben recensite che forniscono informazioni a bassa sensibilità come il conteggio delle scorte ei dettagli del prodotto.
La prima opzione sembra terribile. Il secondo non suona così male. La realtà è che i membri dello staff di questi negozi devono essere in grado di fornire supporto e informazioni ai clienti. Collocando i terminali attorno al negozio, autorizzi i dipendenti e ne traggano vantaggio. Se puoi farlo senza aumentare il rischio (troppo) dei tuoi dati e sistemi sensibili, allora è la mossa di business intelligente.
In alternativa, diciamo che collochi quei terminali in una stanza "sicura" nella parte posteriore del negozio, oltre a pochi segni "Dipendenti solo" e una porta con un lettore di badge. Ecco la ricaduta:
- Non sono molto più sicuri. Un attaccante motivato camminerà
oltrepassare i segni e "prendere in prestito" un badge di sicurezza.
- Il dipendente impiegherà molto più tempo a fornire informazioni ai clienti, perdendo le vendite e la soddisfazione del cliente.
- Sei ancora vulnerabile agli attacchi interni e hai un gran numero di addetti ai lavori. Una catena di grandi dimensioni avrà più di 40 dipendenti per negozio in 200 negozi in tutto il paese in qualsiasi momento. Pensi davvero di poter filtrare qualsiasi "cappello nero" che crea un falso ID e un falso curriculum e cerca di essere assunto?
Penso che la tua domanda e le tue ipotesi si concentrino sul problema sbagliato. Supponiamo che qualcuno proverà a utilizzare male i terminali e ad andare da li. Quali attenuazioni vuoi avere in atto per renderlo conto?