A Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) está propondo requisitos de segurança para prevenir que estados adversários acessem dados pessoais de americanos, assim como informações relacionadas ao governo.
Os requisitos são direcionados a entidades que realizam transações restritas envolvendo dados pessoais sensíveis em massa dos EUA ou dados relacionados ao governo dos EUA, especialmente se as informações estiverem expostas a "países de preocupação" ou "pessoas cobertas".
A proposta está vinculada à implementação da Ordem Executiva 14117, assinada pelo presidente Biden no início deste ano, destinada a abordar passivos severos de segurança de dados que se estendem ou amplificam riscos à segurança nacional.
Organizações impactadas podem incluir empresas de tecnologia como desenvolvedores de AI e provedores de cloud services, empresas de telecomunicações, organizações de saúde e biotecnologia, instituições financeiras e contratados de defesa.
Países de preocupação tipicamente se referem a nações que o governo dos EUA vê como adversárias ou que representam risco de segurança devido a um histórico de espionagem cibernética, violações de dados e campanhas de hacking patrocinadas pelo estado.
A CISA propõe medidas de segurança categorizadas em requisitos de nível organizacional/sistema e requisitos de nível de dados.
Abaixo está um resumo de algumas delas:
-Manter e atualizar um inventário de ativos mensalmente, com endereços IP e endereços MAC de hardware
-Remediar vulnerabilidades conhecidas exploradas dentro de 14 dias
-Remediar vulnerabilidades críticas (de status de exploração desconhecido) dentro de 15 dias e falhas de alta gravidade dentro de 30 dias
-Manter uma topologia de rede precisa para facilitar a identificação e resposta a incidentes
-Exigir autenticação multifator (MFA) em todos os sistemas críticos, requerer senhas que tenham pelo menos 16 caracteres e revogar o acesso de qualquer indivíduo imediatamente após o término do emprego ou mudança de função na organização
-Prevenir a conexão de hardware não autorizado, como dispositivos USB, a sistemas cobertos
-Coletar logs de acesso e eventos relacionados à segurança (IDS/IPS, firewall, prevenção de perda de dados, VPN, eventos de login)
-Reduzir a quantidade de dados coletados ou mascará-los para prevenir o acesso não autorizado ou a possibilidade de ligação a pessoas dos EUA, e aplicar criptografia para proteger dados cobertos durante transações restritas
-Não armazenar chaves de criptografia junto aos dados cobertos ou em um país de preocupação
-Aplicar técnicas como criptografia homomórfica ou privacidade diferencial para prevenir a reconstrução de dados sensíveis a partir de dados processados
A CISA busca a opinião pública para desenvolver ainda mais a proposta em sua forma final.
Aqueles interessados podem visitar regulations.gov, inserir CISA-2024-0029 no campo de busca, clicar no ícone "Comente Agora!" e então inserir seus comentários nos campos especificados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...