Segurança reforçada

CISA propõe medidas robustas para proteger dados sensíveis dos EUA

A CISA propôs novas exigências de segurança para proteger dados sensíveis dos EUA, focando em evitar o acesso por estados adversários. Organizações como desenvolvedores de IA e empresas de telecomunicações serão impactadas.

cisa-confirma-que-o-ambiente-da-sua-ferramenta-de-avaliacao-de-seguranca-quimica-csat-foi-comprometido-em-janeiro

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está sugerindo novas medidas de segurança para evitar que estados adversários acessem dados pessoais de cidadãos americanos e informações governamentais sensíveis.

CISA e a proteção de dados

Segurança de dados CISA

Esses requisitos visam organizações que realizam transações restritas envolvendo grandes volumes de dados pessoais sensíveis dos EUA ou dados relacionados ao governo, especialmente quando expostos a “países de preocupação” ou “pessoas cobertas.”

A proposta está diretamente relacionada à implementação da Ordem Executiva 14117, assinada pelo presidente Biden no início deste ano, que visa combater vulnerabilidades graves de segurança de dados que aumentam os riscos à segurança nacional.

Organizações impactadas

As organizações afetadas incluem desenvolvedores de IA, provedores de serviços em nuvem, empresas de telecomunicações, organizações de saúde e biotecnologia, instituições financeiras e contratantes de defesa.

Os “países de preocupação” referem-se a nações que o governo dos EUA considera adversárias ou que representam risco à segurança devido a um histórico de ciberespionagem, violações de dados e campanhas de hacking patrocinadas pelo estado.

Medidas de segurança propostas

A CISA sugere que as medidas de segurança sejam divididas em dois níveis: requisitos organizacionais/sistêmicos e requisitos para dados. Abaixo estão algumas dessas medidas:

  • Manter e atualizar mensalmente o inventário de ativos, incluindo endereços IP e endereços MAC de hardware;
  • Corrigir vulnerabilidades exploradas dentro de 14 dias;
  • Corrigir vulnerabilidades críticas (com status de exploração desconhecido) dentro de 15 dias e falhas de alta severidade em até 30 dias;
  • Manter uma topologia de rede precisa para facilitar a identificação e resposta a incidentes;
  • Implementar autenticação multifator (MFA) em todos os sistemas críticos, exigir senhas de pelo menos 16 caracteres e revogar o acesso de funcionários imediatamente após o desligamento ou mudança de função;
  • Impedir a conexão de hardware não autorizado, como dispositivos USB, a sistemas protegidos;
  • Coletar registros de eventos de acesso e segurança (IDS/IPS, firewall, prevenção de perda de dados, VPN, eventos de login);
  • Reduzir a quantidade de dados coletados ou mascará-los para impedir o acesso não autorizado e proteger dados sensíveis durante transações restritas, aplicando criptografia;
  • Não armazenar chaves de criptografia junto com os dados sensíveis ou em países de preocupação;
  • Aplicar técnicas como criptografia homomórfica ou privacidade diferencial para evitar a reconstrução de dados sensíveis a partir de dados processados.

A CISA está buscando feedback público para aprimorar a proposta antes de sua versão final. Interessados podem acessar regulations.gov, buscar CISA-2024-0029 e clicar no ícone “Comment Now!” para enviar seus comentários.