A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está sugerindo novas medidas de segurança para evitar que estados adversários acessem dados pessoais de cidadãos americanos e informações governamentais sensíveis.
CISA e a proteção de dados
Esses requisitos visam organizações que realizam transações restritas envolvendo grandes volumes de dados pessoais sensíveis dos EUA ou dados relacionados ao governo, especialmente quando expostos a “países de preocupação” ou “pessoas cobertas.”
A proposta está diretamente relacionada à implementação da Ordem Executiva 14117, assinada pelo presidente Biden no início deste ano, que visa combater vulnerabilidades graves de segurança de dados que aumentam os riscos à segurança nacional.
Organizações impactadas
As organizações afetadas incluem desenvolvedores de IA, provedores de serviços em nuvem, empresas de telecomunicações, organizações de saúde e biotecnologia, instituições financeiras e contratantes de defesa.
Notícias Relacionadas
Falha crítica
Fortinet revela falha crítica no FortiManager explorada em ataques de dia zero
Fortinet divulga uma falha crítica no FortiManager que está sendo explorada em ataques de dia zero, com risco de roubo de dados sensíveis. Atualizações e medidas de mitigação já estão disponíveis.
Vulnerabilidade crítica
Samsung enfrenta exploração de vulnerabilidade crítica em dispositivos Android
Pesquisadores do Google alertam sobre uma vulnerabilidade de dia zero da Samsung, que permite escalada de privilégios em dispositivos Android. A falha, CVE-2024-44068, foi corrigida em outubro de 2024, mas está sendo explorada ativamente.
Os “países de preocupação” referem-se a nações que o governo dos EUA considera adversárias ou que representam risco à segurança devido a um histórico de ciberespionagem, violações de dados e campanhas de hacking patrocinadas pelo estado.
Medidas de segurança propostas
A CISA sugere que as medidas de segurança sejam divididas em dois níveis: requisitos organizacionais/sistêmicos e requisitos para dados. Abaixo estão algumas dessas medidas:
- Manter e atualizar mensalmente o inventário de ativos, incluindo endereços IP e endereços MAC de hardware;
- Corrigir vulnerabilidades exploradas dentro de 14 dias;
- Corrigir vulnerabilidades críticas (com status de exploração desconhecido) dentro de 15 dias e falhas de alta severidade em até 30 dias;
- Manter uma topologia de rede precisa para facilitar a identificação e resposta a incidentes;
- Implementar autenticação multifator (MFA) em todos os sistemas críticos, exigir senhas de pelo menos 16 caracteres e revogar o acesso de funcionários imediatamente após o desligamento ou mudança de função;
- Impedir a conexão de hardware não autorizado, como dispositivos USB, a sistemas protegidos;
- Coletar registros de eventos de acesso e segurança (IDS/IPS, firewall, prevenção de perda de dados, VPN, eventos de login);
- Reduzir a quantidade de dados coletados ou mascará-los para impedir o acesso não autorizado e proteger dados sensíveis durante transações restritas, aplicando criptografia;
- Não armazenar chaves de criptografia junto com os dados sensíveis ou em países de preocupação;
- Aplicar técnicas como criptografia homomórfica ou privacidade diferencial para evitar a reconstrução de dados sensíveis a partir de dados processados.
A CISA está buscando feedback público para aprimorar a proposta antes de sua versão final. Interessados podem acessar regulations.gov, buscar CISA-2024-0029 e clicar no ícone “Comment Now!” para enviar seus comentários.
