Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προτείνει απαιτήσεις ασφαλείας για να αποτρέψει τα αντίπαλα κράτη από την πρόσβαση στα προσωπικά δεδομένα των Αμερικανών καθώς και σε πληροφορίες που σχετίζονται με την κυβέρνηση.
Οι απαιτήσεις απευθύνονται σε οντότητες που συμμετέχουν σε περιορισμένες συναλλαγές που αφορούν μαζικά ευαίσθητα προσωπικά δεδομένα των ΗΠΑ ή δεδομένα που σχετίζονται με την κυβέρνηση των ΗΠΑ, ειδικά εάν οι πληροφορίες εκτίθενται σε “χώρες ανησυχίας” ή “καλυπτόμενα πρόσωπα”.
Η πρόταση συνδέεται με την εφαρμογή του Εκτελεστικό διάταγμα 14117που υπεγράφη από τον Πρόεδρο Μπάιντεν νωρίτερα αυτό το έτος, με στόχο την αντιμετώπιση σοβαρών ευθυνών για την ασφάλεια δεδομένων που εκτείνονται ή ενισχύουν τους κινδύνους εθνικής ασφάλειας.
Οι επηρεαζόμενοι οργανισμοί μπορεί να περιλαμβάνουν επιχειρήσεις τεχνολογίας, όπως προγραμματιστές τεχνητής νοημοσύνης και πάροχους υπηρεσιών cloud, εταιρείες τηλεπικοινωνιών, οργανισμούς υγείας και βιοτεχνολογίας, χρηματοπιστωτικά ιδρύματα και αμυντικούς εργολάβους.
Οι χώρες που προκαλούν ανησυχία αναφέρονται συνήθως σε έθνη που η κυβέρνηση των ΗΠΑ θεωρεί ως αντίπαλους ή ως κινδύνους για την ασφάλεια λόγω ιστορικού κυβερνοκατασκοπείας, παραβιάσεων δεδομένων και εκστρατειών πειρατείας που χρηματοδοτούνται από το κράτος.
Απαιτήσεις ασφαλείας
CISA προτείνει μέτρα ασφαλείας κατηγοριοποιούνται σε απαιτήσεις σε επίπεδο οργανισμού/συστήματος και σε απαιτήσεις σε επίπεδο δεδομένων. Παρακάτω είναι μια περίληψη ορισμένων από αυτές:
- Διατηρήστε και ενημερώνετε ένα απόθεμα περιουσιακών στοιχείων μηνιαίως, με διευθύνσεις IP και διευθύνσεις MAC υλικού
- Διορθώστε γνωστές εκμεταλλευόμενες ευπάθειες εντός 14 ημερών
- Αποκατάσταση κρίσιμων τρωτών σημείων (άγνωστης κατάστασης εκμετάλλευσης) εντός 15 ημερών και ελαττωμάτων υψηλής σοβαρότητας εντός 30 ημερών
- Διατηρήστε μια ακριβή τοπολογία δικτύου για να διευκολύνετε τον εντοπισμό και την απόκριση συμβάντος
- Επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλα τα κρίσιμα συστήματα, απαιτούνται κωδικοί πρόσβασης μήκους τουλάχιστον 16 χαρακτήρων και ανάκληση της πρόσβασης σε οποιοδήποτε άτομο αμέσως μετά τη λήξη της απασχόλησης ή την αλλαγή ρόλου στον οργανισμό
- Αποτρέψτε τη σύνδεση μη εξουσιοδοτημένου υλικού, όπως συσκευές USB, σε καλυμμένα συστήματα
- Συλλέξτε αρχεία καταγραφής σχετικά με την πρόσβαση και τα συμβάντα που σχετίζονται με την ασφάλεια (IDS/IPS, τείχος προστασίας, πρόληψη απώλειας δεδομένων, VPN, συμβάντα σύνδεσης)
- Μειώστε τον όγκο των δεδομένων που συλλέγονται ή αποκρύψτε τον για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση ή δυνατότητα σύνδεσης με άτομα των ΗΠΑ και εφαρμόστε κρυπτογράφηση για την προστασία καλυπτόμενων δεδομένων κατά τη διάρκεια περιορισμένων συναλλαγών
- Μην αποθηκεύετε κλειδιά κρυπτογράφησης μαζί με τα καλυπτόμενα δεδομένα ή σε μια χώρα ανησυχίας
- Εφαρμόστε τεχνικές όπως η ομομορφική κρυπτογράφηση ή το διαφορικό απόρρητο για να αποτρέψετε την ανακατασκευή ευαίσθητων δεδομένων από επεξεργασμένα δεδομένα
Η CISA αναζητά τη συμβολή του κοινού για την περαιτέρω ανάπτυξη της πρότασης στην τελική της μορφή. Όσοι ενδιαφέρονται να το κάνουν μπορούν επισκεφθείτε τη ρύθμιση.govπληκτρολογήστε CISA-2024-0029 στο πεδίο αναζήτησης, κάντε κλικ στο “Σχόλιο τώρα!” και, στη συνέχεια, εισαγάγετε τα σχόλιά τους στα πεδία.
VIA: bleepingcomputer.com
