Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa đề xuất một loạt các yêu cầu bảo mật mới nhằm tăng cường bảo vệ dữ liệu cá nhân của người dân và các thông tin liên quan đến chính phủ, với mục tiêu ngăn chặn sự xâm nhập từ các quốc gia thù địch.

Những yêu cầu này hướng đến các tổ chức tham gia vào các giao dịch liên quan đến dữ liệu nhạy cảm của Hoa Kỳ hoặc thông tin chính phủ, đặc biệt khi dữ liệu có nguy cơ bị tiết lộ cho các “quốc gia thù địch” hoặc các cá nhân được bảo vệ bởi nhà nước hoặc các tổ chức chuyên nghiệp. 

Đề xuất này nhằm thực hiện Sắc lệnh 14117, được Tổng thống Biden ký ban hành đầu năm nay, nhằm giải quyết những rủi ro bảo mật có thể đe dọa hoặc làm trầm trọng thêm nguy cơ đối với an ninh quốc gia.

Các tổ chức bị ảnh hưởng có thể bao gồm các doanh nghiệp công nghệ như nhà phát triển trí tuệ nhân tạo (AI), nhà cung cấp dịch vụ đám mây, các công ty viễn thông, tổ chức y tế và công nghệ sinh học, công ty tài chính và các nhà thầu quốc phòng.

CISA cũng nhấn mạnh rằng các quốc gia đáng lo ngại thường là những quốc gia mà Hoa Kỳ coi là đối thủ hoặc có nguy cơ an ninh, thường liên quan đến hoạt động gián điệp mạng, vi phạm dữ liệu và tấn công mạng có sự hậu thuẫn của nhà nước.

Các yêu cầu bảo mật chính

CISA đưa ra bản yêu cầu đề xuất các biện pháp bảo mật để bảo vệ dữ liệu cá nhân và chính phủ, được chia thành hai nhóm chính: yêu cầu cấp tổ chức/hệ thống và yêu cầu cấp dữ liệu. Dưới đây là một số điểm quan trọng:

– Duy trì và cập nhật hàng tháng danh mục tài sản, bao gồm địa chỉ IP và địa chỉ MAC.

– Khắc phục lỗ hổng đã bị khai thác trong vòng 14 ngày.

– Khắc phục lỗ hổng nghiêm trọng chưa rõ trạng thái trong vòng 15 ngày và lỗ hổng nghiêm trọng đã bị khai thác trong vòng 30 ngày.

– Duy trì cấu trúc liên kết mạng để dễ dàng phát hiện và ứng phó kịp thời với các sự cố.

– Áp dụng xác thực đa yếu tố (MFA) trên tất cả các hệ thống quan trọng, yêu cầu mật khẩu ít nhất 16 ký tự và thu hồi ngay quyền truy cập khi nhân viên nghỉ việc hoặc thay đổi vai trò trong hệ thống.

– Ngăn chặn việc kết nối các thiết bị phần cứng trái phép, như USB, vào các hệ thống được bảo vệ.

– Thu thập và lưu trữ nhật ký các sự kiện an ninh và lượt truy cập, như IDS/IPS, tường lửa, ngăn ngừa mất dữ liệu, VPN và phiên đăng nhập.

– Giảm thiểu khối lượng dữ liệu thu thập hoặc ẩn danh hóa dữ liệu để ngăn chặn truy cập trái phép, đồng thời áp dụng các biện pháp mã hóa để bảo vệ dữ liệu trong các giao dịch bị hạn chế.

– Không lưu trữ khóa mã hóa cùng với dữ liệu nhạy cảm hoặc tại các quốc gia “đáng lo ngại”.

– Sử dụng các kỹ thuật như mã hóa Homomorphic hoặc bảo mật nâng cao nhằm ngăn chặn việc tái tạo các thông tin nhạy cảm từ dữ liệu đã qua xử lý.

Nguồn: bleepingcomputer