2min Security

Amerika schermt eigen data verder af van buitenland

Amerika schermt eigen data verder af van buitenland

De Amerikaanse cybersecuritytoezichthouder CISA heeft onlangs een consultatielijst van nieuwe verplichte securityvereisten opgesteld. Hiermee moet worden voorkomen dat kwaadaardige landen of individuele personen toegang krijgen tot grote hoeveelheden aan persoonlijke data van Amerikaanse burgers en de overheid.

CISA maakt zich erg zorgen over staatshackers van kwaadaardige landen of individuele personen die toegang kunnen krijgen tot gegevens van Amerikaanse burgers. Vooral als het gaat om landen en/of personen die hierbij uit kwaadaardige motieven handelen, zoals staatshackers.

De cybersecuritytoezichthouder heeft hiervoor onlangs een lijst van mogelijke nieuwe verplichte cybersecuritymaatregelen opgesteld die deze toegang tot betreffende gevoelige gegevens moeten voorkomen.

Verschillende voorgestelde maatregelen

 De maatregelen in het voorstel richten zich zowel op de organisatie binnen bedrijven en instanties als voor de bewuste data zelf. Onder andere wordt voorgesteld er een lijst van IT-assets op na te houden en up te daten, inclusief IP-adressen en de MAC-adressen van de hardware, bekende misbruikte exploits binnen 14 dagen, als kritisch bestempelde kwetsbaarheden binnen 15 dagen en kwetsbaarheden met een grote impact binnen 30 dagen te patchen, en een accurate netwerktopologie voor het identificeren en oplossen van incidenten mogelijk te maken.

Daarnaast moeten zaken worden geregeld als het strikt doorvoeren van MFA op alle kritieke systemen, lange wachtwoorden, het intrekken van alle toegangsrechten bij het beëindigen van een dienstverband of bij functieverandering en het voorkomen van het verbinden van niet-toegestane hardware als USB-sticks met de door de maatregelen gedekte systemen.

Ook moeten zij logs verzamelen voor security-incidenten. Denk daarbij aan gegevens over IDS/IPS, firewalls, het voorkomen van datalekken en VPN-inlogmomenten.

Overige voorstellen

Andere voorgestelde maatregelen zijn onder meer het beperken van verzamelde data om ongewenste toegang te voorkomen of deze gegevens aan Amerikaanse persoenen te kunnen linken. Verder moeten bedrijven en instanties geen encryptie-keys naast de bewuste data opslaan of deze in mogelijk verdachte landen onderbrengen. Last, but not least is het prettig als bedrijven meer geavanceerde encryptie- en privacytechnieken gebruiken om te voorkomen dat hackers of andere kwaadwillenden gevoelige data kunnen distilleren uit (gelekte) verwerkte gegevens.

Executive Order

Het CISA-voorstel staat overigens niet op zichzelf. De nu gepresenteerde voorgestelde maatregelen vloeien voort uit een eerder door de Amerikaanse president Biden uitgevaardigde Executive Order die bedrijven en organisaties aansprakelijk kan stellen wanneer zware datalekken van persoonlijke en bedrijfsdata de nationale veiligheid bedreigen.

De voorgestelde maatregelen liggen in de VS nu ter consultatie, voordat ze definitief door de cybersecuritytoezichthouder worden vastgesteld.

Lees ook: Akira- en Fog-ransomware misbruiken Veeam-kwetsbaarheid