Aufruf zum Handeln: Erfüllen Sie die neuen Anforderungen für den Zugriff auf die CJIS-Datenbank

Der Schutz kritischer Informationen vor Cyberkriminellen ist für jedes Unternehmen ein Muss, aber nicht mehr als die Strafverfolgungsbehörden, die große Mengen hochsensibler Daten verwalten. Aus diesem Grund hat das Federal Bureau of Investigation (FBI) kürzlich strenge neue Anforderungen für den Zugriff auf seine Datenbank der Criminal Justice Information Services (CJIS) eingeführt, die vertrauliche Informationen wie Fingerabdruckaufzeichnungen und Vorstrafen enthält.

Ab Oktober 2024 wird das FBI die Einführung von Advanced vorschreiben Beglaubigung Maßnahmen von Unternehmen, die unter allen Umständen Zugang zu ihrer CJIS-Datenbank suchen. Während dieser Schritt die Sicherheit erheblich verbessert, stellt er auch erhebliche Compliance-Herausforderungen für die Zivilbehörden und Polizeibehörden dar, die für eine wirksame Strafverfolgung und öffentliche Sicherheit auf den kontinuierlichen Zugriff auf CJIS-Daten angewiesen sind. In diesem Blogbeitrag werden die Anforderungen der neuen CJIS-Richtlinie erläutert, die Herausforderungen der erweiterten Authentifizierung erläutert und gezeigt, wie das geht Silverfort kann Organisationen dabei helfen, Compliance zu erreichen.

Die Rolle von CJIS und seine Sicherheitsentwicklung

Seit ihrer Gründung im Jahr 1924 als Identifizierungsabteilung des FBI stellt die Behörde ein durchsuchbares Archiv für alle in den USA gesammelten Strafregister zur Verfügung. 1992 offiziell als CJIS gegründet, ist es heute die größte Abteilung des FBI und verantwortlich für mehrere technologische Initiativen, darunter das Integrated Automated Fingerprint Identification System (IAFIS) und das National Incident-Based Reporting System (NIBRS). Das Herzstück von CJIS ist seine Datenbank, die Strafregister, Fingerabdrücke, biometrische Daten und andere wichtige Informationen enthält, auf die Strafverfolgungsbehörden auf Bundes-, Landes-, lokaler und Stammesebene Zugriff benötigen.

Um neuen Bedrohungen der Cybersicherheit zu begegnen, aktualisiert CJIS regelmäßig seine Richtlinien, um die Sicherheit seiner sensiblen Daten zu erhöhen und Best Practices zu integrieren. Zuletzt begann die Agentur damit, ihre Zugangsrichtlinien zu überarbeiten, um sie an die von Präsident Joe Biden anzupassen Executive Order (EO) 14028 zur Verbesserung der Cybersicherheit des LandesDas 2021 unterzeichnete Gesetz sah vor, ab Oktober 2024 strengere Sicherheitsstandards für alle Bundesbehörden einzuführen, insbesondere durch die Implementierung „erweiterter Authentifizierungsmethoden“.

Erweiterte Authentifizierung verstehen

In der Cybersicherheit bedeutet erweiterte Authentifizierung einen mehrschichtigen Ansatz zur Überprüfung der Identität von Benutzern, die versuchen, auf ein System oder sensible Daten zuzugreifen. Die erweiterte Authentifizierung geht über die Anforderung von Standardanmeldeinformationen hinaus und umfasst mindestens einen zusätzlichen Faktor, um ein höheres Maß an Sicherheit für die Benutzeridentifizierung zu erreichen. Dazu können Elemente wie Passwörter oder PINs („etwas, das Sie wissen“) sowie Hardware-Token oder Smartcards („etwas, das Sie haben“) oder biometrische Faktoren wie Fingerabdrücke oder Gesichtserkennung („etwas, das Sie sind“) gehören.

Aber EO 14028 legt fest, dass ab Oktober 2024 Erweiterte Authentifizierungsmethoden, die von Bundesbehörden verwendet werden, müssen „Phishing-resistent“ sein. Dadurch wird es für Angreifer schwieriger, sich Zugriff zu verschaffen, wenn sie einen Benutzer durch Phishing dazu bringen können, seine Anmeldedaten preiszugeben, oder wenn sie Taktiken wie Prompt Bombing anwenden, um Benutzer dazu zu bringen, Zugriff zu gewähren. Phishing-resistent bedeutet also, sich nicht auf Push-Authentifizierungen wie Textnachrichten oder App-generierte Codes zu verlassen, sondern stattdessen Elemente wie zertifikatbasierte Authentifizierung (CBA), PIV-Karten (Personal Identity Verification) oder Hardware-Tokens einzubeziehen, die den neuesten von entwickelten Standards entsprechen die Fast Identity Online (FIDO) Alliance, bekannt als FIDO2.

Die neuen Anforderungen für den Zugriff auf CJIS

Im vergangenen Dezember veröffentlichte CJIS eine neue Version seiner Sicherheitsrichtlinie, CSP 5.9.2, das mehrere wesentliche Änderungen an seinen Sicherheits- und Kontrollanforderungen mit sich brachte. Einer der bedeutendsten ist dieser Multi-Faktor-Authentifizierung (MFA) ist jedes Mal erforderlich, wenn ein Benutzer auf Informationen zur Strafjustiz zugreifen möchte, selbst wenn sie sich an einem physisch sicheren Ort (z. B. einer Leitstelle) oder in einem „Transport der Strafjustiz“ (z. B. einem Polizeikreuzer) befinden. Darüber hinaus heißt es in der Richtlinie, dass das bloße Entsperren eines Geräts (z. B. mithilfe einer PIN oder einer biometrischen Kennung) nicht länger als akzeptable Form der MFA für den Zugriff auf die CJIS-Datenbank angesehen wird.

Diese Änderungen an der CJIS-Sicherheitsrichtlinie machen den Zugriff auf strafrechtliche Informationen sicherer, erschweren aber auch den schnellen und einfachen Zugriff auf die Datenbank, da jedes Mal, wenn sich ein Benutzer an einem mit CJIS verbundenen Gerät anmeldet, eine erweiterte Authentifizierung erforderlich ist. Wenn Unternehmen bis zum 1. Oktober 2024 nicht auf allen mit CJIS verbundenen Geräten eine Phishing-resistente MFA implementieren, könnten sie mit Sanktionen belegt werden und möglicherweise den Zugriff auf die Datenbank vollständig verlieren.

Die bevorstehende Herausforderung für Polizeibehörden

Kommunen sind darauf angewiesen, dass Polizeibeamte in Situationen mit hohem Druck, in denen jede Minute zählt, schnell reagieren. Die Fähigkeit eines Beamten, dies zu tun, hängt davon ab, dass er auf seinen mobilen Datencomputern (MDCs)/mobilen Datenterminals (MDTs) sofort auf Strafrechtsdaten zugreifen kann, um schnell fundierte Entscheidungen zu treffen. Aus diesem Grund ist es für Kommunen von entscheidender Bedeutung, den besten Weg zu finden, ihre Polizeibehörden gleichzeitig zu stärken und gleichzeitig die neuen CJIS-Sicherheitsrichtlinienanforderungen einzuhalten.

MDCs greifen traditionell über eine VPN-Verbindung vom Polizeifahrzeug zum Rechenzentrum der Abteilung auf Informationsquellen der Strafjustiz wie CJIS zu, eine Verbindung, die per MFA-Pushback zum Gerät verifiziert wird. Es gibt jedoch Probleme mit dieser Methode. Erstens schalten sich die WLAN-Router in den Kreuzfahrtschiffen nicht immer sofort ein, sodass die Beamten in kritischen Momenten darauf warten müssen, die MFA-Eingabeaufforderung zu erhalten, die ihnen die Verbindung ermöglicht. Zweitens müssen Beamte regelmäßig eine Verbindung herstellen, wenn sie sich außerhalb ihres Fahrzeugs und nicht in einem sicheren Netzwerk befinden, beispielsweise wenn sie an einem Ort wie einem Krankenhaus oder einem Hotel Papierkram erledigen. Aus diesem Grund haben einige Polizeikräfte damit begonnen, FIDO2-fähige Zutrittskontrollkarten als zweiten Faktor zu verwenden, um schnell eine sichere Verbindung herzustellen.

Ultraschall Silverfort Aktiviert die erweiterte Authentifizierung mit FIDO2

Silverfort's Unified Identitätsschutz Mit der Plattform können Unternehmen den MFA-Schutz auf jedes Gerät ausweiten, unabhängig davon, wie der Benutzer eine Verbindung herstellt – einschließlich Polizeibeamten, die von einem entfernten Standort aus sicher auf ihre Terminals zugreifen müssen. Silverfort kann zahlreiche Optionen für die Zweitfaktor-Authentifizierung unterstützen, einschließlich FIDO-Tokens, die zur Authentifizierung in Situationen wie dieser verwendet werden können, in denen Push-MFA nicht zulässig ist.

Silverfort Dies geschieht durch die Anwendung von Sicherheitsrichtlinien auf der Geräteebene. Mit Silverfort Bei der Windows-Anmeldung prüft der Anmeldeinformationsanbieter zunächst, ob eine Richtlinie angewendet werden sollte, um MFA zu erfordern, und kann dann dem Beamten gestatten, seine FIDO2-fähige Zugangskarte als zweiten Faktor für die erweiterte Authentifizierung zu verwenden. Dies ermöglicht es Polizeibehörden, alle Windows-Endpunkte zu sichern, einschließlich der Windows-basierten Tablets und Laptops, die Beamte im Außendienst verwenden.

Silverfort für Windows Logon ist die einzige Lösung, die MFA in eine Richtlinien-Engine integrieren kann, die es Unternehmen ermöglicht, Richtlinien für bedingten Zugriff auf Windows-Geräte anzuwenden, selbst wenn diese offline betrieben werden. Darüber hinaus kann für bestimmte Anwendungen eine zusätzliche MFA-Verstärkung erforderlich sein, beispielsweise für die von CJIS verwaltete Strafjustizdatenbank. Dadurch wird ein entscheidendes Gleichgewicht erreicht: Beamte erhalten schnell den Zugriff, den sie benötigen, was ihnen wertvolle Zeit spart, während ihre Geräte weiterhin vollständig den neuen Sicherheitsanforderungen des Bundes entsprechen.

Ist Ihre Agentur auf die erweiterte Authentifizierung vorbereitet? Sprechen Sie mit einem unserer Experten heute und finden Sie heraus, wie Silverfort kann Ihnen dabei helfen, Compliance zu erreichen.