Eylem Çağrısı: CJIS Veritabanına Erişime İlişkin Yeni Gereksinimlere Uyun

Kritik bilgileri siber suçlulardan korumak her kuruluş için bir zorunluluktur, ancak hiçbiri, büyük hacimli ve son derece hassas verileri tutan kolluk kuvvetleri kadar zorunlu değildir. Federal Soruşturma Bürosu'nun (FBI) kısa süre önce parmak izi kayıtları ve suç geçmişleri gibi kısıtlı bilgiler içeren Ceza Adaleti Bilgi Hizmetleri (CJIS) veritabanına erişim için katı yeni gereksinimler getirmesinin nedeni budur.

Ekim 2024'ten itibaren FBI, gelişmiş teknolojilerin benimsenmesini zorunlu kılacak kimlik doğrulama CJIS veri tabanına her koşulda erişim isteyen herhangi bir kuruluşun aldığı önlemler. Bu hamle güvenliği önemli ölçüde artırırken, aynı zamanda etkili kolluk kuvvetleri ve kamu güvenliği operasyonları için CJIS verilerine sürekli erişime güvenen sivil kurumlar ve polis departmanları için önemli uyum zorlukları da sunuyor. Bu blog yazısı, yeni CJIS politikasının gerekliliklerini araştırıyor, gelişmiş kimlik doğrulamanın zorluklarını açıklıyor ve nasıl yapıldığını gösteriyor Silverfort kuruluşların uyum sağlamasına yardımcı olabilir.

CJIS'in Rolü ve Güvenlik Gelişimi

FBI'ın Kimlik Tespit Bölümü olarak 1924'te ilk somutlaşmasıyla başlayan ajans, ABD'de toplanan tüm sabıka kayıtları için aranabilir bir havuz sağladı. Resmi olarak 1992'de CJIS olarak kurulan birim, şu anda Entegre Otomatik Parmak İzi Tanımlama Sistemi (IAFIS) ve Ulusal Olay Tabanlı Raporlama Sistemi (NIBRS) dahil olmak üzere çeşitli teknolojik girişimlerden sorumlu FBI'daki en büyük bölümdür. CJIS'in en önemli parçası, sabıka geçmişi kayıtları, parmak izleri, biyometrik veriler ve federal, eyalet, yerel ve aşiret kolluk kuvvetlerinin erişmesi gereken diğer kritik bilgileri içeren veritabanıdır.

Ortaya çıkan siber güvenlik tehditlerini ele almak için CJIS, hassas verilerinin güvenliğini güçlendirmek ve en iyi uygulamaları dahil etmek için politikalarını düzenli olarak günceller. En son olarak ajans, erişim politikalarını Başkan Joe Biden'ın politikalarıyla uyumlu olacak şekilde yenilemeye başladı. Ülkenin Siber Güvenliğinin İyileştirilmesine İlişkin Yürütme Emri (EO) 140282021'de imzalanan ve Ekim 2024'ten başlayarak, özellikle "gelişmiş kimlik doğrulama" yöntemlerini uygulayarak tüm federal kurumlar için daha sıkı güvenlik standartlarının uygulanmasını zorunlu kılan.

Gelişmiş Kimlik Doğrulamayı Anlamak

Siber güvenlikte gelişmiş kimlik doğrulama, bir sisteme veya hassas verilere erişmeye çalışan kullanıcıların kimliğini doğrulamak için çok katmanlı bir yaklaşım benimsemek anlamına gelir. Gelişmiş kimlik doğrulama, standart kimlik bilgileri gerektirmenin ötesine geçer ve kullanıcı kimliği için daha yüksek bir güvence düzeyi oluşturmak üzere en az bir ek faktör içerir. Bunlar, parolalar veya PIN'ler ("bildiğiniz bir şey") artı donanım belirteçleri veya akıllı kartlar ("sahip olduğunuz bir şey) veya parmak izi veya yüz tanıma ("olduğunuz bir şey") gibi biyometrik faktörleri içerebilir.

Ancak EO 14028, Ekim 2024'ten itibaren, federal kurumlar tarafından kullanılan gelişmiş kimlik doğrulama yöntemleri "oltalamaya dayanıklı" olmalıdır. Saldırganlar, bir kullanıcının kimlik bilgilerini kimlik avı yoluyla ifşa etmesini sağlayabilirlerse veya kullanıcıları erişime izin vermek için yormak için hızlı bombalama gibi taktikler kullanırlarsa, erişim elde etmelerini zorlaştırır. Bu nedenle kimlik avına dayanıklı, metin mesajları veya uygulama tarafından oluşturulan kodlar gibi itmeli kimlik doğrulamalarına güvenmemek, bunun yerine sertifika tabanlı kimlik doğrulama (CBA), kişisel kimlik doğrulama (PIV) kartları veya en son standartlarla uyumlu donanım belirteçleri gibi öğeleri dahil etmek anlamına gelir. FIDO2 olarak bilinen Çevrimiçi Hızlı Kimlik (FIDO) Birliği.

CJIS'e Erişim İçin Yeni Gereksinimler

Geçen Aralık ayında, CJIS bir güvenlik politikasının yeni versiyonu, CSP 5.9.2, güvenlik ve kontrol gereksinimlerinde birkaç büyük değişiklik getiren. En önemlilerinden biri, çok faktörlü kimlik doğrulama (MFA) bir kullanıcı ceza adaleti bilgilerine her erişmeye çalıştığında gerekli olacaktır, fiziksel olarak güvenli bir yerde (bir sevk merkezi gibi) veya bir "ceza adalet aracında" (yani bir polis kruvazörü) olsa bile. Ayrıca politika, bir cihazın kilidini açmanın (örneğin, bir PIN veya biyometrik kullanarak) artık CJIS veritabanına erişim elde etmek için kabul edilebilir bir MFA biçimi olarak kabul edilmeyeceğini belirtmektedir.

CJIS güvenlik politikasındaki bu değişiklikler, ceza adaleti bilgilerine erişimi daha güvenli hale getirecek, ancak aynı zamanda, bir kullanıcı CJIS'e bağlı bir cihazda her oturum açtığında gelişmiş kimlik doğrulaması gerekeceğinden, veritabanına hızlı ve kolay erişimi zorlaştıracaktır. Ayrıca, kuruluşlar 1 Ekim 2024'e kadar CJIS'e bağlı tüm cihazlarda kimlik avına dayanıklı MFA uygulamazlarsa yaptırımlarla karşılaşabilir ve potansiyel olarak veritabanına erişimlerini tamamen kaybedebilirler.

Polis Departmanlarını Önümüzdeki Zorluk

Belediyeler, her dakikanın önemli olduğu yüksek basınçlı durumlarda hızlı bir şekilde müdahale etmek için polis memurlarına güvenmektedir. Bir memurun bunu yapabilmesi, hızlı bir şekilde bilgiye dayalı kararlar almak için mobil veri bilgisayarları (MDC'ler)/mobil veri terminalleri (MDT'ler) üzerinden ceza adaleti verilerine anında erişme becerilerine bağlıdır. Bu nedenle, belediyelerin yeni CJIS güvenlik politikası gerekliliklerine uyarken aynı zamanda polis departmanlarını güçlendirmenin en iyi yolunu bulmaları çok önemlidir.

MDC'ler geleneksel olarak polis kruvazöründen departmanın veri merkezine bir VPN bağlantısı aracılığıyla CJIS gibi ceza adaleti bilgi kaynaklarına erişmiştir; bu bağlantı, cihaza geri gönderme MFA aracılığıyla doğrulanmıştır. Ancak bu yöntemle ilgili sorunlar var. İlk olarak, kruvazörlerin içinde bulunan kablosuz yönlendiriciler her zaman hemen dönmez ve memurları, bağlanmalarını sağlayacak MFA istemini almak için kritik anları beklemeye bırakır. İkinci olarak, memurlar, hastane veya otel gibi bir yerde evrak işlerini yaparken olduğu gibi güvenli bir ağda değil, kruvazörlerinin dışındayken düzenli olarak bağlanmaları gerekir. Bu nedenle bazı polis güçleri, hızlı bir şekilde güvenli bağlantı kurmak için ikinci bir faktör olarak FIDO2 özellikli erişim kontrol kartlarını kullanmaya başladı.

Ne kadar Silverfort FIDO2 ile Gelişmiş Kimlik Doğrulamayı Etkinleştirir

SilverfortBirleşik Kimlik koruması platform, kuruluşların, uzak bir konumdayken terminallerine güvenli bir şekilde erişmesi gereken polis memurları da dahil olmak üzere, kullanıcı nasıl bağlanırsa bağlansın, MFA korumasını herhangi bir cihaza genişletmesini sağlar. Silverfort push MFA'ya izin verilmeyen bu gibi durumlarda kimlik doğrulamak için kullanılabilen FIDO belirteçleri dahil olmak üzere ikinci faktörlü kimlik doğrulama için çok sayıda seçeneği destekleyebilir.

Silverfort bunu cihaz katmanında güvenlik ilkeleri uygulayarak yapar. İle Silverfort Windows Oturum Açma için, kimlik bilgisi sağlayıcı önce MFA gerektirecek bir ilkenin uygulanması gerekip gerekmediğini kontrol eder, ardından memurun gelişmiş kimlik doğrulama için ikinci faktör olarak FIDO2 özellikli erişim kartını kullanmasına izin verebilir. Bu, polis departmanlarının, memurların sahada kullandığı Windows tabanlı tabletler ve dizüstü bilgisayarlar dahil olmak üzere tüm Windows uç noktalarını güvence altına almasını sağlar.

Silverfort for Windows Logon, MFA'yı kuruluşların Windows cihazlarına, çevrimdışı çalıştırıldıklarında bile koşullu erişim ilkeleri uygulamasına izin veren bir ilke motoruyla entegre edebilen tek çözümdür. Ayrıca, CJIS tarafından sağlanan ceza adaleti veri tabanı gibi belirli uygulamalar için ek MFA hızlandırması gerekebilir. Böylece kritik bir denge sağlanır: Memurlar ihtiyaç duydukları erişimi hızla elde ederek değerli zamanlarından tasarruf ederken, cihazları yeni federal güvenlik gereklilikleriyle tamamen uyumlu kalır.

Ajansınız gelişmiş kimlik doğrulama için hazır mı? Uzmanlarımızdan biriyle konuşun bugün ve nasıl olduğunu öğrenin Silverfort uyum sağlamanıza yardımcı olabilir.