ארגון ISACA מפרסם דיווח מיוחד בנושא אבטחת סייבר

תרגם וערך: תומר רוזנר

באחרונה פרסם ISACA דיווח מיוחד בנושא אבטחת הסייבר. במוקד הדיווח, נאומו של הנשיא האמריקני, ברק אובמה, בפני הקונגרס, במסגרתו התייחס לשורה של הצעות חוק אשר נועדו להפחית את השלכות תקיפות הסייבר בעתיד, וציין: "אני מפציר בקונגרס להעביר את החקיקה לה אנו זקוקים במטרה להתמודד טוב יותר עם האיומים המתעצמים של תקיפות סייבר, להיאבק עם גניבות הזהות ולהגן על המידע של ילדינו". החקיקה המוצעת כוללת את המרכיבים הבאים:

• תקן לאומי לעדכון אודות פריצה (National Standard for Breach Notification).
• שיתוף מידע אבטחת סייבר (Cybersecurity Information Sharing).
• פרטיות דיגיטלית לסטודנטים (Digital Privacy for Students).
• לוחמה בפשיעת הסייבר (Combatting Cybercrime).
• רשת חכמה לשמירה על פרטיות לקוחות (Smart Grid Customer Data Privacy).
• מגילת זכויות הצרכנים לפרטיות (Consumer Privacy Bill of Rights).

תקן לאומי לעדכון אודות פריצה
בהתאם לתקן המוצע, חברות יצטרכו להודיעו ללקוחותיהם אודות פריצת אבטחה בתוך פרק זמן של 30 ימים ממועד גילויה. החברות אשר יכללו במסגרת הדרישה הזו הינן אלו, שעושות שימוש מכל סוג שהוא במידע מזהה אישי רגיש (PII) של 10,000 אנשים ומעלה במהלך תקופה של 12 חודשים.

כל הודעה כזאת מטעם חברה תהיה חייבת לכלול אודות המידע שנחשף ומספר טלפון לבירור פרטים נוספים עמה. במקרים מסוימים, חברות תצטרכנה למסור עדכון על הפריצה למשרד לבטחון המולדת (DHS).

שיתוף מידע אבטחת סייבר
יוזמה זו מבקשת להגביר את שיתוף המידע בתחומי אבטחת סייבר בין המגזר הפרטי לבין זה הממשלתי, במטרה לשפר את ההגנה על מערכות מידע ולהגיב באופן אפקטיבי יותר לתקריות אבטחת מידע.

במסגרת ההצעה, ישויות פרטיות יחלקו מדדי איומי סייבר, דוגמת פגיעויות טכניות ושרתי שליטה ובקרה זדוניים, עם המרכז הלאומי לאבטחת סייבר ותקשורת (NCCIC) ב-DHS וארגוני שיתוף וניתוח מידע במגזר הפרטי. ה-NCCIC יעביר את המידע הזה לגופים הפדרליים הרלוונטיים באופן רציף.

פרטיות דיגיטלית לסטודנטים
חוק זה נועד להבטיח כי נתונים שנאספו על סטודנטים במוסדות אקדמיים ישמשו לצרכים אקדמיים ומחקריים בלבד, כאשר ייאסר למכור את הנתונים הללו לגורמי צד ג' למטרות פרסום או שיווק. במידה והצגת החוק תאושר, מוסדות אקדמיים אמריקניים יצטרכו לבדוק בצורה הדוקה יותר כי האם אינם חושפים מידע מזהה אישי (PII).

לוחמה בפשיעת הסייבר
חקיקה זו נועדה לחזק את מאמצי גורמי החוק ולסייע בחקירה והעמדה לדין של עברייני סייבר. היא כוללת, בין היתר: שינוי חוק הונאות המחשבים האמריקני ומתן סמכות לבתי משפט לסגור רשתות בוט (Botnets) המעורבות בתקיפות מניעת שירות מבוזרות (DDoS) ופעילות פשיעה אחרת.

רשת חכמה לשמירה על פרטיות לקוחות
בראשית 2015, פרסם משרד האנרגיה האמריקני קוד התנהגות חדש עבור גופים וגורמי צד ג' במטרה להגן על לקוחות הצורכים חשמל, לרבות על דפוסי הצריכה שלהם. אימוץ הקוד הינו על בסיס בחירה.

מגילת זכויות הצרכנים לפרטיות
בהיבט זה, המטרה היא לעגן מספר עקרונות בסיסיים הנדרשים לשם הגנת הפרטיות האישית של לקוחות בהתקשרויות מקוונות ולהבטיח את יכולתה של התעשייה להתפתח. עקרונות אלה כוללים, בין היתר:

•  סוג המידע הפרטי שחברות יאספו מצרכנים, וכיצד הן ישתמש במידע הזה.
• שימוש במידע צרכנים רק למטרה שלשמה נאסף על ידי החברה.
•  אחסון מאובטח של מידע לקוחות בידי החברות, וקביעתן כאחראיות בכל הנוגע לשימוש בו.

הכותב הוא מבקר מערכות מידע ואבטחת סייבר ב-IntroSight.