- A CISA está exigindo que organizações em setores críticos atualizem sua segurança
- MFA, gerenciamento de vulnerabilidades e criptografia de dados serão aplicados
- Estas mudanças ajudarão a mitigar o potencial roubo de dados por parte de intervenientes patrocinados pelo Estado e do Estado-nação
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) revelou um conjunto de requisitos de segurança propostos com o objetivo de reduzir os riscos representados pelo acesso não autorizado a dados americanos.
A medida deve-se a preocupações sobre as vulnerabilidades expostas pelos recentes ataques cibernéticos, campanhas de hackers patrocinadas pelo Estado e a utilização indevida de dados pessoais por nações hostis.
A proposta está alinhada com a Ordem Executiva 14117, assinada pelo Presidente Biden no início de 2024, que procura colmatar lacunas na segurança dos dados que possam comprometer os interesses nacionais.
Reforçar as proteções contra ameaças estrangeiras
Os requisitos propostos centram-se em entidades que lidam com dados sensíveis em grande escala, particularmente em indústrias como inteligência artificial, telecomunicações, saúde, finanças e contratação de defesa.
As empresas que operam nestes domínios são vistas como alvos críticos devido à natureza dos dados que gerem, tendo a indústria de telecomunicações dos EUA sido recentemente atingida por um enorme ataque.
A principal preocupação da CISA é que os dados destas organizações possam cair nas mãos de “países preocupantes” ou “pessoas abrangidas” – termos utilizados pelo governo dos EUA para se referir a adversários estrangeiros conhecidos por se envolverem em espionagem cibernética e violações de dados.
Estas novas normas de segurança visam colmatar lacunas que poderiam expor dados sensíveis a grupos patrocinados pelo Estado e a agentes de inteligência estrangeiros.
As empresas terão de manter um inventário atualizado dos seus ativos digitais, incluindo endereços IP e configurações de hardware, para se manterem preparadas para potenciais incidentes de segurança. As empresas também serão obrigadas a impor a autenticação multifator (MFA) em todos os sistemas críticos e exigir senhas com pelo menos 16 caracteres para evitar acesso não autorizado.
O gerenciamento de vulnerabilidades é outro foco importante, e as organizações devem remediar e resolver quaisquer vulnerabilidades exploradas ou falhas críticas conhecidas no prazo de 14 dias, mesmo que a exploração não tenha sido confirmada. Vulnerabilidades de alta gravidade devem ser corrigidas em 30 dias.
A nova proposta também enfatiza a transparência da rede, e as empresas são obrigadas a manter topologias de rede precisas para melhorar a sua capacidade de identificar e responder a incidentes de segurança.
A revogação imediata do acesso dos funcionários após demissão ou mudança de função é obrigatória para evitar ameaças internas. Além disso, hardware não autorizado, como dispositivos USB, será proibido de se conectar a sistemas que lidam com dados confidenciais, reduzindo ainda mais o risco de vazamento de dados.
Além das proteções ao nível do sistema, a proposta da CISA introduz medidas robustas ao nível dos dados destinadas a minimizar a exposição de informações pessoais e governamentais. As organizações serão incentivadas a recolher apenas os dados essenciais para as suas operações e, sempre que possível, a ocultá-los ou desidentificá-los para evitar o acesso não autorizado. A criptografia desempenhará um papel vital na segurança dos dados durante qualquer transação que envolva uma “entidade restrita”, garantindo que, mesmo que os dados sejam interceptados, não possam ser facilmente decifrados.
Um requisito crítico é que as chaves de encriptação não sejam armazenadas juntamente com os dados que protegem, especialmente em regiões identificadas como países preocupantes. Além disso, as organizações também serão incentivadas a adotar técnicas avançadas de preservação da privacidade, como a encriptação homomórfica ou a privacidade diferencial, que permitem o processamento de dados sem expor a informação subjacente.
A CISA está buscando feedback do público sobre os requisitos propostos para refinar a estrutura antes de sua finalização. As partes interessadas, incluindo líderes da indústria e especialistas em segurança cibernética, são convidadas a enviar os seus comentários através de regulamento.gov, inserindo CISA-2024-0029 no campo de pesquisa e seguindo as instruções para fornecer informações.
Através BipandoComputador
