ទីភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ និងសន្តិសុខសាយប័រអាមេរិក (CISA) កំពុងតែលើកស្នើ (Propose) តម្រូវការ (Requirement) សន្តិសុខ ដើម្បីការពារជនខិលខូចពីការលួចទិន្នន័យឯកជនរបស់ជនជាតិអាមេរិក ក៏ដូចជាព័ត៌មានទាក់ទងនឹងរដ្ឋាភិបាលផងដែរ។
តម្រូវការ (Requirement) សម្រាប់អង្គភាពដែលពាក់ព័ន្ធនឹងការផ្ទេរ (Transactions) ដែលត្រូវបានរឹតបន្តឹងដែលភាគច្រើនពាក់ព័ន្ធទិន្នន័យឯកជនសម្ងាត់ ឬទិន្នន័យរដ្ឋាភិបាលអាមេរិក ជាពិសេសមានការយកចិត្តទុកដាក់ខ្លាំងទៅលើព័ត៌មានត្រូវបានលាតត្រដាងទៅកាន់ “ប្រទេសដែលមានការព្រួយបារម្ភ (Countries Of Concern) ឬអ្នកទទួលរ៉ាប់រង (Covered Persons) ”។ សំណើ (Proposal) ទាក់ទងនឹងការអនុវត្ត Executive Order 14117 ដែលចុះហត្ថលេខាដោយប្រធានាធិបតី Biden កាលពីដើមឆ្នាំនេះ ក្នុងបំណងដោះស្រាយបញ្ហាសុវត្ថិភាពទិន្នន័យ (Data Security Liabilities) ដែលអាចបង្កគ្រោះថ្នាក់ដល់សន្តិសុខជាតិ។
អង្គភាពដែលរងផលប៉ះពាល់អាចមានអាជីវកម្មបច្ចេកវិទ្យាដូចជា AI Developers និងអ្នកផ្តល់សេវាក្លោដ ក្រុមហ៊ុនទូរគមនាគមន៍ ស្ថាប័នសុខភាពនិងជីវបច្ចេកវិទ្យា គ្រឹះស្ថានហិរញ្ញវត្ថុ និងអ្នកម៉ៅការការពារ (Defense Contractors)។ ប្រទេសដែលមានការព្រួយបារម្ភ (Countries Of Concern) សំដៅលើប្រទេសដែលរដ្ឋាភិបាលអាមេរិកចាត់ទុកជាសត្រូវ ឬបង្កហានិភ័យផ្នែកសន្តិសុខ ដោយផ្អែកលើប្រវត្តិចារកម្មអ៊ីនធឺណិត ការបំពានទិន្នន័យ និងការលួចចូលដោយមានការគាំទ្រពីរដ្ឋ (State-Sponsored)។
តម្រូវការសុវត្ថិភាព (Security Requirements)៖ ទីភ្នាក់ងារ CISA ស្នើសុំវិធានការសុវត្ថិភាពដែលបែងចែកទៅតាមតម្រូវការកម្រិតស្ថាប័ន ឬប្រព័ន្ធ និងតម្រូវការកម្រិតទិន្នន័យ។ខាងក្រោមនេះជាសេចក្តីសង្ខេបមួយចំនួន៖
– ថែរក្សា និងធ្វើបច្ចុប្បន្នភាពសារពើភណ្ឌទ្រព្យសម្បត្តិ (Asset Inventory) ប្រចាំខែ ជាមួយនឹង IP Addresses និង Hardware MAC Addresses
– ជួសជុលភាពងាយរងគ្រោះបន្ទាប់ពីបានដឹង (Known) ដែលត្រូវបានកេងចំណេញនៅក្នុងរយៈពេល ១៤ថ្ងៃ
– ជួលជុលភាពងាយរងគ្រោះសំខាន់ៗ (ការកេងចំណេញដែលមិនបានដឹង) នៅក្នុងរយៈពេល ១៥ថ្ងៃ និងបញ្ហា (Flaws) ធ្ងន់ធ្ងរនៅក្នុងរយៈពេល ៣០ថ្ងៃ
– ថែរក្សាបណ្តាញ Topology ឱ្យបានត្រឹមត្រូវ ដើម្បីអាចកំណត់នូវឧប្បត្តិហេតុ និងការឆ្លើយតប
– អនុវត្តការផ្ទៀងផ្ទាត់ច្រើនកត្តា (MFA) នៅលើប្រព័ន្ធសំខាន់ៗទាំងអស់ ត្រូវការលេខសម្ងាត់ដែលមានប្រវែងយ៉ាងតិច ១៦ខ្ទង់ និងដកសិទ្ធិភ្លាមចេញពីបុគ្គលិកបន្ទាប់ពីបញ្ចប់ការងារ ឬផ្លាស់ប្តូរតួនាទី
– ការពារ Hardware ដែលគ្មានការអនុញ្ញាតដូចជា USB Devices មិនឱ្យភ្ជាប់ទៅកាន់ប្រព័ន្ធគ្របដណ្តប់ (Covered Systems)
– ប្រមូល Logs On Access និងព្រឹត្តិការណ៍ទាក់ទងនឹងសុវត្ថិភាព (IDS/IPS, Firewall, Data Loss Prevention, VPN, Login Events ជាដើម)
– កាត់បន្ថយចំនួនទិន្នន័យដែលប្រមូលបាន ឬបិទបាំងទិន្នន័យ ដើម្បីការពារការលួចចូលប្រើដែលគ្មានការអនុញ្ញាត ឬលទ្ធភាពភ្ជាប់ទៅកាន់ប្រជាជនអាមេរិក និងដាក់ចេញនូវការអ៊ីនគ្រីប ដើម្បីការពារទិន្នន័យគ្របដណ្តប់ (Covered Data) នៅអំឡុងពេលនៃការផ្ទេរដែលត្រូវបានរឹតបន្តឹង (Transactions)
– កុំរក្សាកូដអ៊ីនគ្រីប (Encryption Keys) ជាមួយនឹងទិន្នន័យគ្របដណ្តប់ (Covered Data) ឬនៅក្នុងប្រទេសដែលមានការព្រួយបារម្ភ
– អនុវត្តបច្ចេកវិទ្យាដូចជា Homomorphic Encryption ឬឯកជនភាពផ្សេង (Differential Privacy) ដើម្បីការពារការបង្កើតឡើងវិញ (Reconstruction) នូវទិន្នន័យសម្ងាត់ចេញពីទិន្នន័យដែលបានប្រើប្រាស់។
ទីភ្នាក់ងារ CISA កំពុងតែស្វែងរកការបញ្ចូលជាសាធារណៈ ដើម្បីអភិវឌ្ឍសំណើចូលទៅក្នុងទម្រង់ចុងក្រោយ។ អ្នកដែលចាប់អារម្មណ៍ធ្វើរឿងទាំងនេះអាចចូលទៅកាន់ CISA-2024-0029 នៅក្នុង Search Field រួចចុចរូបតំណាង “Comment Now!” បន្ទាប់មកចុចលើ Comment នៅក្នុងផ្នែកនោះជាការស្រេច។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែតុលា ឆ្នាំ២០២៤
