Nova Pravila CISA za Sigurnost Podataka: Zaštitimo Američke Informacije
Agencija za kibernetsku sigurnost i zaštitu infrastrukture Sjedinjenih Američkih Država (CISA) nedavno je predstavila set predloženih sigurnosnih zahtjeva s ciljem smanjenja rizika od neovlaštenog pristupa američkim podacima. Ove izmjene dolaze kao odgovor na sve prisutnije ranjivosti koje su se pojavile uslijed recentnih kibernetskih napada, državnih hakiranja, ali i zloupotrebe osobnih podataka od strane neprijateljskih zemalja.
Zašto su Ove Mjere Potrebne?
Predloženi zahtjevi usklađeni su s Izvršnom naredbom 14117 koju je potpisao predsjednik Biden početkom 2024. godine. Cilj je zatvoriti praznine u sigurnosti podataka koje bi mogle ugroziti nacionalne interese. Ove mjere posebno se odnose na subjekte koji rukuju opsežnim osjetljivim podacima unutar industrija poput:
- Umjetna inteligencija
- Telekomunikacije
- Zdravstvo
- Finansije
- Obrambeni sektor
Tvrtke u ovim područjima su ključne mete zbog vrste podataka s kojima se bave, a nedavni veliki napadi na američku telekomunikacijsku industriju dodatno ističu potrebu za ovim mjerama.
Glavne Zabrinutosti CISA-e
CISA posebno naglašava zabrinutost da bi podaci ovih organizacija mogli dospjeti u ruke “zemalja od interesa” ili “pokritih osoba”, što su izrazi koje koristi američka vlada za strane protivnike poznate po kibernetskoj špijunaži i provalama podataka.
Ključne Sigurnosne Standardne Praksa
Novi sigurnosni standardi imaju za cilj zatvoriti mogućnosti koje bi mogle izložiti osjetljive podatke državnim grupama i stranim obavještajnim agentima. Evo nekoliko ključnih točaka koje predložene mjere uključuju:
- Održavanje ažuriranog inventara digitalnih sredstava, uključujući IP adrese i konfiguracije hardvera.
- Primjena višefaktorske autentifikacije (MFA) na svim kritičnim sustavima uz obavezne lozinke duže od 16 znakova.
- Upravljanje ranjivostima, gdje organizacije moraju otkloniti exploatirane ranjivosti unutar 14 dana.
- Poboljšana transparentnost mreže koja omogućava bolju identifikaciju i reakciju na sigurnosne incidente.
- Izravno ukidanje pristupa zaposlenicima nakon otkaza ili promjena u ulozi.
Osim ovih sistemskih zaštita, CISA-ina prijedloga uvodi i mjere na razini podataka, uključujući:
- Sakupljanje samo neophodnih podataka i njihovo maskiranje ili deidentifikacija kada je to moguće.
- Korištenje enkripcije kako bi se osigurali podaci tijekom transakcija sa “ograničenim entitetima”.
- Osiguranje da ključevi za enkripciju nisu pohranjeni zajedno s podacima koje štite, osobito u regijama koje se smatraju zemljama od interesa.
Poziv na Akciju za Javnost
CISA poziva javnost da pruži povratne informacije o predloženim zahtjevima kako bi se dodatno usavršila osnova prije nego što bude finalizirana. Svi zainteresirani subjekti, uključujući vođe industrije i stručnjake za kibernetsku sigurnost, mogu poslati svoje komentare putem regulations.gov, unosom CISA-2024-0029 u pretraživač i praćenjem uputa za dostavu povratnih informacija.
Zaključak
U svijetu u kojem su kibernetski napadi svakodnevna pojava, CISA-ina nova pravila predstavljaju važan korak prema jačanju sigurnosti podataka. Ove mjere ne samo da će pomoći u zaštiti osjetljivih informacija nego će i stvoriti jaču odbranu protiv stranih prijetnji. Organizacije se pozivaju na aktivno sudjelovanje kako bi zaštitile sebe i nacionalne interese. U vrijeme kada je sigurnost na prvom mjestu, svaki korak ka boljoj zaštiti je od vitalnog značaja.
