Đại diện liên bang, giới công nghiệp cần các chuẩn để báo các lỗ thủng dữ liệu

Federal, industry reps call for national standards to report data breaches

By Jill R. Aitoro 10/28/2009

Theo: http://www.nextgov.com/nextgov/ng_20091028_3572.php

Bài được đưa lên Internet ngày: 28/10/2009

Lời người dịch: Nước Mỹ đang cần ra một chuẩn chung cho các công ty và cá nhân thông báo về các lỗ hổng an ninh dữ liệu của các công ty và khách hàng để có thể giúp các nhà cung cấp chuyên về an ninh bảo vệ được các công ty và cá nhân khỏi các cuộc tấn công không gian mạng. “Một hệ thống thông báo các lỗ hổng của quốc gia là cần thiết vì các công ty và cá nhân là những mục tiêu chính cho bọn tội phạm không gian mạng, mục tiêu của chúng thường là để ăn cắp các thông tin thẻ tín dụng và các ủy quyền của ngân hàng, Thompson nói. Theo Báo cáo về các Mối đe dọa An ninh Internet năm 2008, 90% tất cả các mối đe dọa tập trung vào các thông tin mật mà, một khi bị ăn cắp, sẽ được bán. Các khách hàng trên các máy tính của họ và 40% không cập nhật hoặc vá các hệ điều hành của họ.

Symantec cũng nói các phần mềm an ninh giả mạo, mà chúng dựa trên các chiến thuật gây sợ hãi để lừa đảo người sử dụng trong việc tải về các mã độc bằng việc việc đặt như những chương trình chống virus hợp pháp, đang gia tăng. Hãng này đã xác định được 250 chương trình như vậy và đã nhận được 43 triệu báo cáo từ các khách hàng về những âm mưu cài đặt triển khai”.

Bộ An ninh Quốc Nội (DHS) phải thiết lập một chuẩn quốc gia để khuyến khích các công ty và cá nhân báo cáo về các lỗ thủng dữ liệu cho các nhà chức trách liên bang, giúp họ đo được cường độ các cuộc tấn công không gian mạng và điều tra tội phạm không gian mạng, các chuyên gia về an ninh nói hôm thứ tư.

Các cơ quan liên bang được yêu cầu báo cáo các lỗ hổng dữ liệu cho Đội Cứu trợ Khẩn cấp về Máy tính Mỹ (US CERT), mà nó là một phần của DHS. Tuy nhiên, việc báo cáo các yêu cầu cho các công ty, khác nhau theo bang.

“Việc đáp ứng đối với mỗi bang riêng rẽ mà chúng tôi hoạt động có thể sẽ là một thách thức”, David Thompson, giám đốc thông tin tại nhà cung cấp phần mềm an ninh Symantec trong một thảo luận nhóm tại Washington được tổ chức bởi nhóm vận động hành lang về công nghệ TechAmerica, nói. “Việc tạo ra một chuẩn quốc gia với sự điều phối quốc tế là chìa khóa cho việc giữ các công ty có trách nhiệm đối với các dữ liệu báo cáo”.

California là bang đầu tiên phê chuẩn một luật yêu cầu các công ty vạch ra khi mà thông tin cá nhân không được mã hóa trong các cơ sở dữ liệu của họ từng bị truy cập bởi ai đó không được phép xem nó. Hầu hết các bang kể từ đó đã phê chuẩn những thứ khác nhau về luật vạch ra này.

Một hệ thống thông báo các lỗ hổng của quốc gia là cần thiết vì các công ty và cá nhân là những mục tiêu chính cho bọn tội phạm không gian mạng, mục tiêu của chúng thường là để ăn cắp các thông tin thẻ tín dụng và các ủy quyền của ngân hàng, Thompson nói. Theo Báo cáo về các Mối đe dọa An ninh Internet năm 2008, 90% tất cả các mối đe dọa tập trung vào các thông tin mật mà, một khi bị ăn cắp, sẽ được bán. Các khách hàng trên các máy tính của họ và 40% không cập nhật hoặc vá các hệ điều hành của họ.

Symantec cũng nói các phần mềm an ninh giả mạo, mà chúng dựa trên các chiến thuật gây sợ hãi để lừa đảo người sử dụng trong việc tải về các mã độc bằng việc việc đặt như những chương trình chống virus hợp pháp, đang gia tăng. Hãng này đã xác định được 250 chương trình như vậy và đã nhận được 43 triệu báo cáo từ các khách hàng về những âm mưu cài đặt triển khai.

The Homeland Security Department should establish a national standard to encourage companies and individuals to report data breaches to federal authorities, helping them gauge the intensity of cyberattacks and investigate cybercrime, security professionals said on Wednesday.

Federal agencies are required to report data breaches to the U.S. Computer Emergency Readiness Team, which is part of DHS. Reporting requirements for companies, however, vary by state.

"Responding to each individual state that we operate in can be a challenge," said David Thompson, chief information officer at security software vendor Symantec during a panel discussion in Washington hosted by the technology lobbying group TechAmerica. "Creating a national standard with international coordination is key [to] holding companies accountable for protecting data."

California was the first state to pass a law requiring companies to disclose when unencrypted personal information in their databases have been accessed by someone not authorized to view it. Most states have since passed variations of the disclosure law.

A national breach notification system is needed because companies and individuals are the main targets for cyber criminals, whose goal typically is to steal credit card information and bank credentials, Thompson said. According to Symantec's 2008 Internet Security Threat Report, 90 percent of all threats target confidential information that, once stolen, is sold. Consumers are particularly vulnerable to cyberattacks because one in five individuals fail to protect personal information on their computers and 40 percent don't update or patch their operating systems.

Symantec also said rogue security software, which relies on scare tactics to fool users into downloading malicious code by posing as legitimate antivirus programs, is on the rise. The company identified 250 such programs and received 43 million reports from customers of installation attempts.

Vì hầu hết các cuộc tấn công không gian mạng tập trung vào các công ty và cá nhân, một chuẩn quốc gia cho việc thông báo các lỗ hổng có thể cung cấp một bức tranh chính xác hơn cho các nhà cung cấp về an ninh và các cơ quan tăng cường pháp luật của liên bang mà họ đang theo dõi các dạng đe dọa của bọn tội phạm không gian mạng đang được tung ra, Thompson và Jeffrey Troy, giám đốc của bộ phận về tội phạm không gian mạng của FBI, nói.

Một chuẩn quốc gia “cho việc thông báo về các lỗ hổng dữ liệu có thể giúp chúng ta một cách khổng lồ trong việc tiến hành điều tra có hiệu quả”, Troy, người đã lưu ý rằng các báo cáo có thể không được sử dụng để điều tra các công ty riêng lẻ. “Chúng tôi không muốn các công ty chỉ bảo vệ chính họ, [vì] bất kể là phần mềm độc hại nào [mà chúng] gây lây nhiễm sẽ được sử dụng chống lại cửa tiếp sau của công ty và chính công ty trên khắp thế giới. Chiến lược của chúng tôi đòi hỏi số lượng lớn các thông tin về các cuộc tấn công”.

Các công ty sẽ miễn cưỡng báo cáo về các vụ việc của các cuộc tấn công không gian mạng, vì sợ rằng họ sẽ giữ trách nhiệm cho những dữ liệu bị mất và có thể mất doanh nghiệp hoặc bị phạt. Để khuyến khích sự tuân thủ, một chuẩn quốc gia phải cung cấp được sự bảo vệ cho các công ty và các cá nhân mà vạch ra các lỗ hổng, Troy nói.

“Một số nền công nghiệp mà có các luật lệ ở những nơi mà [các công ty] bị là các nạn nhân đối với các lỗ hổng dữ liệu có thể đối mặt với sự phạt tiền”, ông nói. “Có quá nhiều cách để đột nhập vào các hệ thống, và các mức độ cao như vậy về sự tinh thông [trong bọn tin tặc], mà nó có thể là quan trọng để nhìn vào những mô hình đó để thấy liệu chúng có là thực tế hay không”.

Because most cyberattacks focus on individuals and companies, a national standard for breach notification would provide a more accurate picture for security vendors and federal law enforcement agents who are tracking the kinds of threats cyber criminals are launching, said Thompson and Jeffrey Troy, chief of the FBI's cyber criminal unit.

A national standard "for data breach notification would help us tremendously in terms of effectively conducting investigations," said Troy, who noted that the reports would not be used to investigate individual companies. "We don't want companies just protecting themselves, [because] whatever malware [they] get infected with are going to be used against the company next door and the company across the world. Our strategy requires the largest amount of information on attacks."

Companies are reluctant to report incidents of cyberattacks, in fear that they will be held accountable for the data loss and possibly lose business or be fined. To encourage compliance, a national standard should provide protections for companies and individuals who disclose breaches, Troy said.

"Some industries that have rules where [companies that fall] victim to data breaches may face financial penalty," he said. "There are so many ways to break into systems, and such high levels of expertise [among hackers], that it may be important to look at those models to see whether or not they're realistic."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com