คำกระตุ้นการตัดสินใจ: ปฏิบัติตามข้อกำหนดใหม่สำหรับการเข้าถึงฐานข้อมูล CJIS
สิงหาคม 10th, 2023 ดอน ฮอฟฟ์แมน
การรักษาข้อมูลสำคัญให้ปลอดภัยจากอาชญากรไซเบอร์เป็นสิ่งจำเป็นสำหรับทุกองค์กร แต่ไม่มีอะไรมากไปกว่าหน่วยงานบังคับใช้กฎหมายที่เก็บรักษาข้อมูลที่มีความละเอียดอ่อนสูงจำนวนมาก นี่คือเหตุผลที่สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เพิ่งเปิดตัวข้อกำหนดใหม่ที่เข้มงวดสำหรับการเข้าถึงฐานข้อมูล Criminal Justice Information Services (CJIS) ซึ่งมีข้อมูลที่ถูกจำกัด รวมถึงบันทึกลายนิ้วมือและประวัติอาชญากร
เริ่มตั้งแต่เดือนตุลาคม 2024 เป็นต้นไป FBI จะกำหนดให้มีการใช้ขั้นสูง การรับรอง มาตรการโดยหน่วยงานใดๆ ที่ต้องการเข้าถึงฐานข้อมูล CJIS ของตนภายใต้เงื่อนไขใดๆ แม้ว่าการเคลื่อนไหวนี้จะปรับปรุงการรักษาความปลอดภัยอย่างมีนัยสำคัญ แต่ยังนำเสนอความท้าทายที่สำคัญในการปฏิบัติตามกฎระเบียบสำหรับหน่วยงานพลเรือนและหน่วยงานตำรวจที่ต้องพึ่งพาการเข้าถึงข้อมูล CJIS อย่างต่อเนื่องเพื่อการบังคับใช้กฎหมายที่มีประสิทธิภาพและการดำเนินงานด้านความปลอดภัยสาธารณะ โพสต์ในบล็อกนี้จะสำรวจข้อกำหนดของนโยบาย CJIS ใหม่ อธิบายความท้าทายของการรับรองความถูกต้องขั้นสูง และแสดงให้เห็นว่าทำอย่างไร Silverfort สามารถช่วยให้องค์กรปฏิบัติตามข้อกำหนดได้
สารบัญ
บทบาทของ CJIS และวิวัฒนาการด้านความปลอดภัย
เริ่มต้นจากการถือกำเนิดขึ้นครั้งแรกในปี พ.ศ. 1924 ในฐานะแผนกระบุตัวตนของ FBI หน่วยงานดังกล่าวได้จัดเตรียมพื้นที่เก็บข้อมูลที่ค้นหาได้สำหรับประวัติอาชญากรรมทั้งหมดที่รวบรวมในสหรัฐอเมริกา ก่อตั้งขึ้นอย่างเป็นทางการในชื่อ CJIS ในปี 1992 ปัจจุบันเป็นแผนกที่ใหญ่ที่สุดใน FBI โดยรับผิดชอบโครงการริเริ่มด้านเทคโนโลยีต่างๆ รวมถึงระบบระบุลายนิ้วมืออัตโนมัติแบบบูรณาการ (IAFIS) และระบบรายงานตามเหตุการณ์แห่งชาติ (NIBRS) หัวใจสำคัญของ CJIS คือฐานข้อมูลซึ่งประกอบด้วยบันทึกประวัติอาชญากร ลายนิ้วมือ ข้อมูลไบโอเมตริก และข้อมูลสำคัญอื่นๆ ที่หน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง รัฐ ท้องถิ่น และชนเผ่าจำเป็นต้องเข้าถึง
เพื่อจัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่ CJIS อัปเดตนโยบายเป็นประจำเพื่อเสริมความปลอดภัยของข้อมูลที่ละเอียดอ่อนและรวมแนวทางปฏิบัติที่ดีที่สุด ล่าสุด หน่วยงานได้เริ่มปรับปรุงนโยบายการเข้าถึงใหม่เพื่อให้สอดคล้องกับนโยบายของประธานาธิบดีโจ ไบเดน คำสั่งผู้บริหาร (EO) 14028 เรื่องการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศซึ่งลงนามในปี 2021 ซึ่งกำหนดให้มีการกำหนดมาตรฐานความปลอดภัยที่เข้มงวดมากขึ้นสำหรับหน่วยงานของรัฐบาลกลางทั้งหมดตั้งแต่เดือนตุลาคม 2024 โดยเฉพาะอย่างยิ่งโดยการใช้วิธี "การตรวจสอบความถูกต้องขั้นสูง"
ทำความเข้าใจเกี่ยวกับการรับรองความถูกต้องขั้นสูง
ในความปลอดภัยทางไซเบอร์ การรับรองความถูกต้องขั้นสูงหมายถึงการใช้วิธีการหลายชั้นในการตรวจสอบตัวตนของผู้ใช้ที่พยายามเข้าถึงระบบหรือข้อมูลที่ละเอียดอ่อน การรับรองความถูกต้องขั้นสูงนอกเหนือไปจากความต้องการข้อมูลประจำตัวมาตรฐานและรวมปัจจัยเพิ่มเติมอย่างน้อยหนึ่งอย่างเพื่อสร้างความมั่นใจในระดับที่สูงขึ้นสำหรับการระบุตัวตนของผู้ใช้ สิ่งเหล่านี้อาจรวมถึงองค์ประกอบต่างๆ เช่น รหัสผ่านหรือ PIN ("สิ่งที่คุณรู้") รวมถึงโทเค็นฮาร์ดแวร์หรือสมาร์ทการ์ด ("สิ่งที่คุณมี) หรือปัจจัยไบโอเมตริก เช่น ลายนิ้วมือหรือการจดจำใบหน้า ("สิ่งที่คุณเป็น")
แต่ EO 14028 ระบุว่าเริ่มตั้งแต่เดือนตุลาคม 2024 วิธีการรับรองความถูกต้องขั้นสูงที่ใช้โดยหน่วยงานของรัฐบาลกลางจะต้อง "ป้องกันฟิชชิ่ง" ทำให้ผู้โจมตีเข้าถึงได้ยากขึ้นหากพวกเขาสามารถให้ผู้ใช้เปิดเผยข้อมูลประจำตัวผ่านฟิชชิงหรือเมื่อพวกเขาใช้กลยุทธ์เช่นการวางระเบิดทันทีเพื่อทำให้ผู้ใช้หมดสิทธิ์เข้าถึง การป้องกันฟิชชิ่งหมายถึงการไม่อาศัยการยืนยันตัวตนแบบพุช เช่น ข้อความหรือรหัสที่แอปสร้างขึ้น แต่รวมถึงองค์ประกอบต่างๆ เช่น การรับรองความถูกต้องตามใบรับรอง (CBA) การ์ดยืนยันตัวตนส่วนบุคคล (PIV) หรือโทเค็นฮาร์ดแวร์ที่สอดคล้องกับมาตรฐานล่าสุดที่พัฒนาโดย Fast Identity Online (FIDO) Alliance หรือที่รู้จักกันในชื่อ FIDO2
ข้อกำหนดใหม่ในการเข้าถึง CJIS
เมื่อเดือนธันวาคมที่ผ่านมา CJIS ได้เปิดตัว นโยบายความปลอดภัยเวอร์ชันใหม่ CSP 5.9.2ที่นำการเปลี่ยนแปลงที่สำคัญหลายประการมาสู่ข้อกำหนดด้านความปลอดภัยและการควบคุม สิ่งที่สำคัญที่สุดประการหนึ่งก็คือ การรับรองความถูกต้องแบบหลายปัจจัย (ไอ้เวรตะไล) จะต้องทุกครั้งที่ผู้ใช้พยายามเข้าถึงข้อมูลความยุติธรรมทางอาญาแม้เมื่ออยู่ในสถานที่ที่ปลอดภัยทางกายภาพ (เช่น ศูนย์จัดส่ง) หรือ "ยานพาหนะในกระบวนการยุติธรรมทางอาญา" (เช่น เรือลาดตระเวนของตำรวจ) นอกจากนี้ นโยบายระบุว่าการปลดล็อกอุปกรณ์เพียงอย่างเดียว (เช่น การใช้ PIN หรือไบโอเมตริก) จะไม่ถือเป็นรูปแบบที่ยอมรับได้ของ MFA เพื่อเข้าถึงฐานข้อมูล CJIS
การเปลี่ยนแปลงนโยบายความปลอดภัย CJIS เหล่านี้จะทำให้การเข้าถึงข้อมูลกระบวนการยุติธรรมทางอาญามีความปลอดภัยมากขึ้น แต่จะทำให้การเข้าถึงฐานข้อมูลที่รวดเร็วและง่ายดายทำได้ยากขึ้น เนื่องจากจำเป็นต้องมีการพิสูจน์ตัวตนขั้นสูงทุกครั้งที่ผู้ใช้ลงชื่อเข้าใช้อุปกรณ์ที่เชื่อมต่อกับ CJIS นอกจากนี้ หากองค์กรต่างๆ ไม่ใช้ MFA ที่ป้องกันฟิชชิ่งบนอุปกรณ์ทั้งหมดที่เชื่อมต่อกับ CJIS ภายในวันที่ 1 ตุลาคม 2024 พวกเขาอาจถูกคว่ำบาตรและอาจเสียสิทธิ์ในการเข้าถึงฐานข้อมูลทั้งหมด
ความท้าทายข้างหน้าสำหรับกรมตำรวจ
เทศบาลพึ่งพาเจ้าหน้าที่ตำรวจในการตอบสนองอย่างรวดเร็วในสถานการณ์ที่มีความกดดันสูงซึ่งทุกนาทีมีค่า ความสามารถของเจ้าหน้าที่ในการทำเช่นนั้นขึ้นอยู่กับความสามารถในการเข้าถึงข้อมูลกระบวนการยุติธรรมทางอาญาทันทีบนคอมพิวเตอร์ข้อมูลมือถือ (MDCs)/สถานีข้อมูลมือถือ (MDTs) เพื่อทำการตัดสินใจอย่างรวดเร็ว นี่คือเหตุผลว่าทำไมเทศบาลจึงจำเป็นอย่างยิ่งที่จะต้องหาวิธีที่ดีที่สุดในการให้อำนาจแก่หน่วยงานตำรวจของตนไปพร้อม ๆ กัน ในขณะเดียวกันก็ปฏิบัติตามข้อกำหนดนโยบายความปลอดภัยใหม่ของ CJIS
MDC มักจะเข้าถึงแหล่งข้อมูลกระบวนการยุติธรรมทางอาญาเช่น CJIS ผ่านการเชื่อมต่อ VPN จากเรือลาดตระเวนของตำรวจไปยังศูนย์ข้อมูลของแผนก ซึ่งเป็นการเชื่อมต่อที่ตรวจสอบผ่าน MFA ส่งกลับไปยังอุปกรณ์ แต่มีปัญหากับวิธีนี้ ประการแรก เราเตอร์ไร้สายที่อยู่ภายในครุยเซอร์มักไม่หมุนในทันที ทำให้เจ้าหน้าที่ต้องรอช่วงเวลาสำคัญเพื่อรับการแจ้งเตือนของ MFA ซึ่งจะช่วยให้สามารถเชื่อมต่อได้ ประการที่สอง เจ้าหน้าที่จำเป็นต้องเชื่อมต่อเป็นประจำเมื่ออยู่นอกเรือลาดตระเวนและไม่ได้อยู่ในเครือข่ายที่ปลอดภัย เช่น ขณะทำงานเอกสารในสถานที่ต่างๆ เช่น โรงพยาบาลหรือโรงแรม นี่คือเหตุผลที่กองกำลังตำรวจบางแห่งเริ่มใช้การ์ดควบคุมการเข้าถึงที่เปิดใช้งาน FIDO2 เป็นปัจจัยที่สองในการสร้างการเชื่อมต่อที่ปลอดภัยอย่างรวดเร็ว
สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort เปิดใช้งานการรับรองความถูกต้องขั้นสูงด้วย FIDO2
Silverfortเป็นอันหนึ่งอันเดียวกัน การป้องกันตัวตน แพลตฟอร์มช่วยให้องค์กรสามารถขยายการป้องกัน MFA ไปยังอุปกรณ์ใดๆ ก็ได้ ไม่ว่าผู้ใช้จะเชื่อมต่อด้วยวิธีใด รวมถึงเจ้าหน้าที่ตำรวจที่ต้องเข้าถึงเทอร์มินัลอย่างปลอดภัยขณะอยู่ในสถานที่ห่างไกล Silverfort สามารถรองรับตัวเลือกมากมายสำหรับการตรวจสอบสิทธิ์ด้วยปัจจัยที่สอง รวมถึงโทเค็น FIDO ซึ่งสามารถใช้ตรวจสอบสิทธิ์ในสถานการณ์เช่นนี้ซึ่งไม่อนุญาตให้ใช้ MFA แบบพุช
Silverfort ทำสิ่งนี้ได้โดยใช้นโยบายความปลอดภัยในชั้นอุปกรณ์ กับ Silverfort สำหรับการเข้าสู่ระบบ Windows ผู้ให้บริการข้อมูลรับรองจะตรวจสอบก่อนเพื่อดูว่าควรใช้นโยบายเพื่อกำหนดให้ต้องใช้ MFA หรือไม่ จากนั้นจึงอนุญาตให้เจ้าหน้าที่ใช้การ์ดการเข้าถึงที่เปิดใช้งาน FIDO2 เป็นปัจจัยที่สองสำหรับการรับรองความถูกต้องขั้นสูง ซึ่งช่วยให้หน่วยงานตำรวจรักษาความปลอดภัยให้กับอุปกรณ์ปลายทางของ Windows ทั้งหมด รวมถึงแท็บเล็ตและแล็ปท็อปที่ใช้ Windows ที่เจ้าหน้าที่ใช้ในภาคสนาม
Silverfort สำหรับการเข้าสู่ระบบ Windows เป็นโซลูชันเดียวที่สามารถรวม MFA เข้ากับเครื่องมือนโยบายที่ช่วยให้องค์กรใช้นโยบายการเข้าถึงแบบมีเงื่อนไขกับอุปกรณ์ Windows แม้ว่าอุปกรณ์เหล่านั้นกำลังทำงานแบบออฟไลน์ เช่นเดียวกัน จำเป็นต้องมีขั้นตอนเพิ่มเติมของ MFA สำหรับการใช้งานเฉพาะ เช่น ฐานข้อมูลกระบวนการยุติธรรมทางอาญาที่ดูแลโดย CJIS ดังนั้นจึงบรรลุความสมดุลที่สำคัญ: เจ้าหน้าที่สามารถเข้าถึงที่ต้องการได้อย่างรวดเร็ว ประหยัดเวลาอันมีค่า ในขณะที่อุปกรณ์ของพวกเขายังคงเป็นไปตามข้อกำหนดด้านความปลอดภัยของรัฐบาลกลางใหม่อย่างสมบูรณ์
หน่วยงานของคุณเตรียมพร้อมสำหรับการรับรองความถูกต้องขั้นสูงหรือไม่? พูดคุยกับหนึ่งในผู้เชี่ยวชาญของเรา วันนี้และค้นหาวิธีการ Silverfort สามารถช่วยให้คุณปฏิบัติตามข้อกำหนดได้
