Đại diện liên bang, giới công nghiệp cần các chuẩn để báo các lỗ thủng dữ liệu

Federal,industry reps call for national standards to report data breaches

By JillR. Aitoro 10/28/2009

Theo:http://www.nextgov.com/nextgov/ng_20091028_3572.php

Bài được đưa lênInternet ngày: 28/10/2009

Lờingười dịch: Nước Mỹ đang cần ra một chuẩn chung chocác công ty và cá nhân thông báo về các lỗ hổng an ninhdữ liệu của các công ty và khách hàng để có thể giúpcác nhà cung cấp chuyên về an ninh bảo vệ được cáccông ty và cá nhân khỏi các cuộc tấn công không gianmạng. “Một hệ thống thông báo các lỗ hổng của quốcgia là cần thiết vì các công ty và cá nhân là những mụctiêu chính cho bọn tội phạm không gian mạng, mục tiêucủa chúng thường là để ăn cắp các thông tin thẻ tíndụng và các ủy quyền của ngân hàng, Thompson nói. TheoBáocáo về các Mối đe dọa An ninh Internet năm 2008,90% tất cả các mối đe dọa tập trung vào các thông tinmật mà, một khi bị ăn cắp, sẽ được bán. Các kháchhàng trên các máy tính của họ và 40% không cập nhậthoặc vá các hệ điều hành của họ.

Symanteccũng nói các phần mềm an ninh giả mạo, mà chúng dựatrên các chiến thuật gây sợ hãi để lừa đảo ngườisử dụng trong việc tải về các mã độc bằng việcviệc đặt như những chương trình chống virus hợp pháp,đang gia tăng. Hãng này đã xác định được 250 chươngtrình như vậy và đã nhận được 43 triệu báo cáo từcác khách hàng về những âm mưu cài đặt triển khai”.

Bộ An ninh Quốc Nội(DHS) phải thiết lập một chuẩn quốc gia để khuyếnkhích các công ty và cá nhân báo cáo về các lỗ thủngdữ liệu cho các nhà chức trách liên bang, giúp họ đođược cường độ các cuộc tấn công không gian mạng vàđiều tra tội phạm không gian mạng, các chuyên gia về anninh nói hôm thứ tư.

Các cơ quan liên bangđược yêu cầu báo cáo các lỗ hổng dữ liệu cho ĐộiCứu trợ Khẩn cấp về Máy tính Mỹ (US CERT), mà nó làmột phần của DHS. Tuy nhiên, việc báo cáo các yêu cầucho các công ty, khác nhau theo bang.

“Việc đáp ứng đốivới mỗi bang riêng rẽ mà chúng tôi hoạt động có thểsẽ là một thách thức”, David Thompson, giám đốc thôngtin tại nhà cung cấp phần mềm an ninh Symantec trong mộtthảo luận nhóm tại Washington được tổ chức bởi nhómvận động hành lang về công nghệ TechAmerica, nói. “Việctạo ra một chuẩn quốc gia với sự điều phối quốc tếlà chìa khóa cho việc giữ các công ty có trách nhiệm đốivới các dữ liệu báo cáo”.

California là bang đầutiên phê chuẩn một luật yêu cầu các công ty vạch rakhi mà thông tin cá nhân không được mã hóa trong các cơsở dữ liệu của họ từng bị truy cập bởi ai đókhông được phép xem nó. Hầu hết các bang kể từ đóđã phê chuẩn những thứ khác nhau về luật vạch ra này.

Mộthệ thống thông báo các lỗ hổng của quốc gia là cầnthiết vì các công ty và cá nhân là những mục tiêu chínhcho bọn tội phạm không gian mạng, mục tiêu của chúngthường là để ăn cắp các thông tin thẻ tín dụng vàcác ủy quyền của ngân hàng, Thompson nói. Theo Báocáo về các Mối đe dọa An ninh Internet năm 2008,90% tất cả các mối đe dọa tập trung vào các thông tinmật mà, một khi bị ăn cắp, sẽ được bán. Các kháchhàng trên các máy tính của họ và 40% không cập nhậthoặc vá các hệ điều hành của họ.

Symanteccũng nói các phần mềm an ninh giả mạo, mà chúng dựatrên các chiến thuật gây sợ hãi để lừa đảo ngườisử dụng trong việc tải về các mã độc bằng việcviệc đặt như những chương trình chống virus hợp pháp,đang gia tăng. Hãng này đã xác định được 250 chươngtrình như vậy và đã nhận được 43 triệu báo cáo từcác khách hàng về những âm mưu cài đặt triển khai.

TheHomeland Security Department should establish a national standard toencourage companies and individuals to report data breaches tofederal authorities, helping them gauge the intensity of cyberattacksand investigate cybercrime, security professionals said on Wednesday.

Federalagencies are required to report data breaches to the U.S. ComputerEmergency Readiness Team, which is part of DHS. Reportingrequirements for companies, however, vary by state.

"Respondingto each individual state that we operate in can be a challenge,"said David Thompson, chief information officer at security softwarevendor Symantec during a panel discussion in Washington hosted by thetechnology lobbying group TechAmerica. "Creating a nationalstandard with international coordination is key [to] holdingcompanies accountable for protecting data."

Californiawas the first state to pass alaw requiring companies to disclose when unencrypted personalinformation in their databases have been accessed by someone notauthorized to view it. Most states have since passed variations ofthe disclosure law.

Anational breach notification system is needed because companies andindividuals are the main targets for cyber criminals, whose goaltypically is to steal credit card information and bank credentials,Thompson said. According to Symantec's 2008Internet Security Threat Report, 90 percent of all threats targetconfidential information that, once stolen, is sold. Consumers areparticularly vulnerable to cyberattacks because one in fiveindividuals fail to protect personal information on their computersand 40 percent don't up-date or patch their operating systems.

Symantecalso said rogue security software, which relies on scare tactics tofool users into downloading malicious code by posing as legitimateantivirus programs, is on the rise. The company identified 250 suchprograms and received 43 million reports f-rom customers ofinstallation attempts.

Vì hầu hết các cuộctấn công không gian mạng tập trung vào các công ty và cánhân, một chuẩn quốc gia cho việc thông báo các lỗ hổngcó thể cung cấp một bức tranh chính xác hơn cho các nhàcung cấp về an ninh và các cơ quan tăng cường pháp luậtcủa liên bang mà họ đang theo dõi các dạng đe dọa củabọn tội phạm không gian mạng đang được tung ra,Thompson và Jeffrey Troy, giám đốc của bộ phận về tộiphạm không gian mạng của FBI, nói.

Một chuẩn quốc gia“cho việc thông báo về các lỗ hổng dữ liệu có thểgiúp chúng ta một cách khổng lồ trong việc tiến hànhđiều tra có hiệu quả”, Troy, người đã lưu ý rằngcác báo cáo có thể không được sử dụng để điềutra các công ty riêng lẻ. “Chúng tôi không muốn các côngty chỉ bảo vệ chính họ, [vì] bất kể là phần mềmđộc hại nào [mà chúng] gây lây nhiễm sẽ được sửdụng chống lại cửa tiếp sau của công ty và chính côngty trên khắp thế giới. Chiến lược của chúng tôi đòihỏi số lượng lớn các thông tin về các cuộc tấncông”.

Các công ty sẽ miễncưỡng báo cáo về các vụ việc của các cuộc tấn côngkhông gian mạng, vì sợ rằng họ sẽ giữ trách nhiệmcho những dữ liệu bị mất và có thể mất doanh nghiệphoặc bị phạt. Để khuyến khích sự tuân thủ, mộtchuẩn quốc gia phải cung cấp được sự bảo vệ cho cáccông ty và các cá nhân mà vạch ra các lỗ hổng, Troy nói.

“Một số nền côngnghiệp mà có các luật lệ ở những nơi mà [các côngty] bị là các nạn nhân đối với các lỗ hổng dữ liệucó thể đối mặt với sự phạt tiền”, ông nói. “Cóquá nhiều cách để đột nhập vào các hệ thống, vàcác mức độ cao như vậy về sự tinh thông [trong bọntin tặc], mà nó có thể là quan trọng để nhìn vào nhữngmô hình đó để thấy liệu chúng có là thực tế haykhông”.

Becausemost cyberattacks focus on individuals and companies, a nationalstandard for breach notification would provide a more accuratepicture for security vendors and federal law enforcement agents whoare tracking the kinds of threats cyber criminals are launching, saidThompson and Jeffrey Troy, chief of the FBI's cyber criminal unit.

Anational standard "for data breach notification would help ustremendously in terms of effectively conducting investigations,"said Troy, who noted that the reports would not be used toinvestigate individual companies. "We don't want companies justprotecting themselves, [because] whatever malware [they] get infectedwith are going to be used against the company next door and thecompany across the world. Our strategy requires the largest amount ofinformation on attacks."

Companiesare reluctant to report incidents of cyberattacks, in fear that theywill be held accountable for the data loss and possibly lose businessor be fined. To encourage compliance, a national standard shouldprovide protections for companies and individuals who disclosebreaches, Troy said.

"Someindustries that have rules whe-re [companies that fall] victim to databreaches may face financial penalty," he said. "There areso many ways to break into systems, and such high levels of expertise[among hackers], that it may be important to look at those models tosee whether or not they're realistic."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com