Περιεχόμενα Άρθρου
- Η CISA απαιτεί από οργανισμούς σε κρίσιμους τομείς να ενημερώσουν την ασφάλειά τους
- Το MFA, η διαχείριση ευπάθειας και η κρυπτογράφηση δεδομένων θα επιβληθούν
- Αυτές οι αλλαγές θα συμβάλουν στον μετριασμό της πιθανής κλοπής δεδομένων από κρατικούς φορείς και φορείς του εθνικού κράτους
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) αποκάλυψε μια σειρά από προτεινόμενες απαιτήσεις ασφαλείας με στόχο τη μείωση των κινδύνων που εγκυμονεί η μη εξουσιοδοτημένη πρόσβαση σε αμερικανικά δεδομένα.
Η κίνηση οφείλεται σε ανησυχίες σχετικά με τα τρωτά σημεία που εκτίθενται από πρόσφατες επιθέσεις στον κυβερνοχώρο, εκστρατείες hacking που χρηματοδοτούνται από το κράτος και την κατάχρηση προσωπικών δεδομένων από εχθρικά έθνη.
Η πρόταση ευθυγραμμίζεται με το Εκτελεστικό Διάταγμα 14117, που υπεγράφη από τον Πρόεδρο Μπάιντεν νωρίτερα το 2024, το οποίο επιδιώκει να αντιμετωπίσει τα κενά στην ασφάλεια των δεδομένων που θα μπορούσαν να θέσουν σε κίνδυνο τα εθνικά συμφέροντα.
Ενίσχυση της προστασίας έναντι ξένων απειλών
Οι προτεινόμενες απαιτήσεις επικεντρώνονται σε οντότητες που χειρίζονται ευαίσθητα δεδομένα μεγάλης κλίμακας, ιδιαίτερα σε βιομηχανίες όπως η τεχνητή νοημοσύνη, οι τηλεπικοινωνίες, η υγειονομική περίθαλψη, τα οικονομικά και οι αμυντικές συμβάσεις.
Οι εταιρείες που δραστηριοποιούνται σε αυτούς τους τομείς θεωρούνται κρίσιμοι στόχοι λόγω της φύσης των δεδομένων που διαχειρίζονται, με τον κλάδο των τηλεπικοινωνιών των ΗΠΑ να πλήττεται πρόσφατα από μια τεράστια επίθεση.
Η κύρια ανησυχία της CISA είναι ότι δεδομένα από αυτούς τους οργανισμούς θα μπορούσαν να πέσουν στα χέρια «χώρων ανησυχίας» ή «καλυμμένων προσώπων» – όροι που χρησιμοποιούνται από την κυβέρνηση των ΗΠΑ για να αναφέρονται σε ξένους αντιπάλους που είναι γνωστοί για εμπλοκή σε κατασκοπεία στον κυβερνοχώρο και παραβιάσεις δεδομένων.
Αυτά τα νέα πρότυπα ασφαλείας στοχεύουν να κλείσουν τα κενά που θα μπορούσαν να εκθέσουν ευαίσθητα δεδομένα σε ομάδες που χρηματοδοτούνται από το κράτος και ξένους παράγοντες πληροφοριών.
Οι επιχειρήσεις θα πρέπει να διατηρούν ενημερωμένο απόθεμα των ψηφιακών τους στοιχείων, συμπεριλαμβανομένων των διευθύνσεων IP και των διαμορφώσεων υλικού, για να παραμείνουν προετοιμασμένες για πιθανά περιστατικά ασφαλείας. Οι εταιρείες θα πρέπει επίσης να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλα τα κρίσιμα συστήματα και να απαιτούν κωδικούς πρόσβασης τουλάχιστον 16 χαρακτήρων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης.
Η διαχείριση ευπάθειας είναι μια άλλη βασική εστίαση και οι οργανισμοί πρέπει να αποκαταστήσουν και να αντιμετωπίσουν τυχόν γνωστά τρωτά σημεία ή κρίσιμα ελαττώματα που έχουν υποστεί εκμετάλλευση εντός 14 ημερών, ακόμη και αν η εκμετάλλευση δεν έχει επιβεβαιωθεί. Τα τρωτά σημεία υψηλής σοβαρότητας πρέπει να επιδιορθωθούν εντός 30 ημερών.
Η νέα πρόταση δίνει επίσης έμφαση στη διαφάνεια του δικτύου και οι εταιρείες πρέπει να διατηρούν ακριβείς τοπολογίες δικτύου για να ενισχύσουν την ικανότητά τους να εντοπίζουν και να ανταποκρίνονται σε συμβάντα ασφαλείας.
Η άμεση ανάκληση της πρόσβασης για τους υπαλλήλους μετά τον τερματισμό ή τις αλλαγές στον ρόλο είναι υποχρεωτική για την αποτροπή εσωτερικών απειλών. Επιπλέον, σε μη εξουσιοδοτημένο υλικό, όπως συσκευές USB, θα απαγορευτεί η σύνδεση σε συστήματα που χειρίζονται ευαίσθητα δεδομένα, μειώνοντας περαιτέρω τον κίνδυνο διαρροής δεδομένων.
Εκτός από τις προστασίες σε επίπεδο συστήματος, η πρόταση της CISA εισάγει ισχυρά μέτρα σε επίπεδο δεδομένων με στόχο την ελαχιστοποίηση της έκθεσης προσωπικών και κυβερνητικών πληροφοριών. Οι οργανισμοί θα ενθαρρύνονται να συλλέγουν μόνο τα δεδομένα που είναι απαραίτητα για τις δραστηριότητές τους και, όπου είναι δυνατόν, να τα συγκαλύπτουν ή να τα αποπροσδιορίζουν για να αποτρέψουν μη εξουσιοδοτημένη πρόσβαση. Η κρυπτογράφηση θα διαδραματίσει ζωτικό ρόλο στην ασφάλεια των δεδομένων κατά τη διάρκεια οποιασδήποτε συναλλαγής που περιλαμβάνει μια «περιορισμένη οντότητα», διασφαλίζοντας ότι ακόμη και αν υποκλαπούν δεδομένα, δεν μπορούν εύκολα να αποκρυπτογραφηθούν.
Μια κρίσιμη απαίτηση είναι ότι τα κλειδιά κρυπτογράφησης δεν πρέπει να αποθηκεύονται μαζί με τα δεδομένα που προστατεύουν, ιδιαίτερα σε περιοχές που προσδιορίζονται ως χώρες ανησυχίας. Επιπλέον, οι οργανισμοί θα ενθαρρυνθούν επίσης να υιοθετήσουν προηγμένες τεχνικές διατήρησης της ιδιωτικής ζωής, όπως η ομομορφική κρυπτογράφηση ή το διαφορικό απόρρητο, που επιτρέπουν την επεξεργασία δεδομένων χωρίς να εκτίθενται οι υποκείμενες πληροφορίες.
Η CISA αναζητά ανατροφοδότηση από το κοινό σχετικά με τις προτεινόμενες απαιτήσεις για τη βελτίωση του πλαισίου προτού οριστικοποιηθεί. Οι ενδιαφερόμενοι φορείς, συμπεριλαμβανομένων των ηγετών του κλάδου και των εμπειρογνωμόνων στον τομέα της κυβερνοασφάλειας, καλούνται να υποβάλουν τα σχόλιά τους μέσω του Regulations.gov εισάγοντας το CISA-2024-0029 στο πεδίο αναζήτησης και ακολουθώντας τις οδηγίες για την παροχή πληροφοριών.
Μέσω BleepingComputer
Μπορεί επίσης να σας αρέσει
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
