Hướng dẫn an ninh mạng cho ngành khách sạn của NIST

13:00 | 12/05/2021 | CHÍNH SÁCH - CHIẾN LƯỢC

Hướng dẫn thực hiện giải pháp an ninh mạng từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) có thể giúp chủ khách sạn giảm thiểu rủi ro cho hệ thống quản lý tài sản khách sạn (PMS) - nơi lưu trữ thông tin cá nhân và dữ liệu thẻ tín dụng của nhiều khách hàng.

Hướng dẫn an ninh mạng cho ngành khách sạn của NIST

Hướng dẫn bao gồm ba phần, trình bày hướng tiếp cận để đảm bảo an toàn cho PMS. Nó cung cấp hướng dẫn sử dụng các sản phẩm có sẵn trên thị trường, cho phép chủ khách sạn kiểm soát và hạn chế quyền truy cập vào PMS của họ, giúp bảo vệ quyền riêng tư và thông tin thẻ thanh toán của khách hàng.

Ông Bill Newhouse thuộc Trung tâm An ninh mạng Quốc gia (NCCoE) của NIST cho biết, họ đã chứng minh được rằng rủi ro an ninh mạng đối với PMS có thể được giảm thiểu nhờ sử dụng các công nghệ ngày nay.

Hướng dẫn của NIST cung cấp cách thức áp dụng các khái niệm an ninh mạng như kiến trúc zero-trust, bảo vệ các mục tiêu di chuyển, triển khai mã hóa token cho dữ liệu thẻ tín dụng và xác thực dựa trên vai trò người dùng trong một thiết kế tham khảo, nhằm giải quyết rủi ro an ninh mạng và quyền riêng tư. NIST cũng đưa ra các trường hợp sử dụng cụ thể để cho thấy chức năng của thiết kế.

Khách sạn là ngành có nhiều vi phạm dữ liệu nhiều thứ ba trong năm 2019

Trong những năm gần đây, tin tặc đã xâm nhập hệ thống mạng của một số chuỗi khách sạn lớn, làm lộ thông tin của hàng trăm triệu khách hàng. Theo một báo cáo ngành gần đây, khách sạn đứng thứ ba trong số các ngành bị thiệt hại nhiều nhất do vi phạm an ninh mạng vào năm 2019, hứng chịu 13% trong tổng số sự cố.

Khoảng 2/3 các vụ vi phạm này là các cuộc tấn công vào máy chủ của các tổ chức, nơi thường lưu trữ thông tin của khách hàng và kết nối với các PMS tại chỗ. Các vi phạm đối với PMS có thể gây tổn hại đến danh tiếng của tổ chức, làm gián đoạn hoạt động và gây ra thiệt hại tài chính lớn.

Mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối

NCCoE đã hợp tác với cộng đồng doanh nghiệp khách sạn và các nhà cung cấp công nghệ an ninh mạng để xây dựng một hệ thống mẫu gọi là “thiết kế PMS tham khảo”, mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối, bao gồm hệ thống thanh toán điện tử và khóa cửa điện tử. Thiết kế này bảo vệ dữ liệu di chuyển trong môi trường và ngăn người dùng truy cập vào nhiều hệ thống và dịch vụ khác nhau.

Mặc dù, thiết kế sử dụng các công nghệ có sẵn trên thị trường để thực hiện các mục tiêu này, nhưng hướng dẫn không cung cấp thông tin của các sản phẩm cụ thể nào. Tất cả các công nghệ được sử dụng trong giải pháp đều hỗ trợ các tiêu chuẩn và hướng dẫn bảo mật của Khung an ninh mạng NIST, nhằm bảo vệ quyền riêng tư và đúng với kết quả cần có trong Khung Quyền riêng tư NIST.

Cung cấp hướng tiếp cận zero-trust

Hướng dẫn cũng giới thiệu các nguyên lý và thành phần về kiến trúc zero-trust, một mô hình an ninh mạng tập trung vào bảo vệ tài nguyên mạng. Tiền đề của nó là sự tin tưởng không bao giờ là mặc định mà phải được đánh giá liên tục.

Theo ông Newhouse, NIST cung cấp hướng tiếp cận zero-trust có thể giúp những người làm việc trong lĩnh vực khách sạn hiểu rõ hơn về những giải pháp của các nhà cung cấp khi mới làm quen với khái niệm này.

Mô hình zero-trust có nghĩa là quyền truy cập không được cấp cho các thiết bị hoặc tài khoản người dùng chỉ dựa trên vị trí thực tế, mạng kết nối hoặc người sở hữu. Thay vào đó, cần xác thực và ủy quyền cho cả chủ thể và thiết bị trước khi người dùng có thể truy cập tài nguyên của mạng.

Ông Robert Braun, một đối tác tại công ty luật Jeffer Mangels Butler & Mitchell (Los Angeles, Mỹ), người đã tư vấn cho khách hàng của khách sạn về vi phạm dữ liệu và quyền riêng tư, cho biết: "Hướng dẫn của NIST phân tích và giải quyết những thách thức chung đối với hầu hết các khách sạn trong việc tạo ra các hệ thống dữ liệu an toàn. Các khách sạn được khuyến nghị nên đưa hướng dẫn này vào các giao thức bảo vệ thông tin."

Đỗ Đoàn Kết

(Theo Help Net Security)

‹ › ×

Tin liên quan

Mô hình và đánh giá nguồn Entropy sử dụng cho các bộ tạo số ngẫu nhiên theo NIST

16:00 | 13/02/2019

Xây dựng các nguồn entropy nhằm tạo ra các đầu ra không thể dự đoán được là rất khó, và đưa ra các chỉ dẫn cung cấp chỉ dẫn cho việc thiết kế và kiểm tra đánh giá chúng còn khó hơn nhiều. NIST đã phát hành tài liệu SP 800-90B nhằm giúp các nhà phát triển hiểu quy trình đánh giá, lập kế hoạch quy trình đánh giá và thực hiện đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên, trong đó giả định rằng các nhà phát triển hiểu rõ cách xử lý của nguồn nhiễu trong nguồn entropy và nỗ lực để đưa ra nguồn entropy ngẫu nhiên. Bài viết dưới đây sẽ giới thiệu về mô hình và đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên theo NIST.

Giới thiệu về NIST và một số tiêu chuẩn về bảo mật, an toàn thông tin

14:00 | 30/12/2018

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) là cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Mỹ (U.S. Department of Commerce). NIST được thành lập với nhiệm vụ chính thức là thúc đẩy sự đổi mới và cạnh tranh công nghiệp của Mỹ bằng cách cải tiến hệ thống đo lường, tiêu chuẩn và công nghệ để nâng cao nền kinh tế và cải thiện phúc lợi xã hội. Bài viết sẽ giới thiệu về NIST và một số tiêu chuẩn tiêu biểu thuộc lĩnh vực bảo mật và an toàn thông tin của NIST.

5 bước để áp dụng Khung An ninh mạng của NIST vào thực tế

10:00 | 17/12/2018

Việc áp dụng Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ gồm 5 bước: Thiết lập các mục tiêu cần đạt được; Tạo bản hồ sơ chi tiết; Đánh giá tình trạng hiện tại của tổ chức; Lên kế hoạch hành động phân tích khoảng cách; Thực hiện kế hoạch hành động. Những trình bày dưới đây sẽ khuyến nghị việc ứng dụng Khung an ninh mạng trong thực tế sao cho phù hợp với nhu cầu nghiệp vụ của tổ chức.

NIST SP 800-22 và những cẩn trọng khi sử dụng (Phần I)

23:00 | 02/09/2022

Trong các ứng dụng mật mã, việc đánh giá chất lượng của bộ sinh số ngẫu nhiên và giả ngẫu nhiên đóng vai trò cực kỳ quan trọng, và việc đánh giá tính ngẫu nhiên theo thống kê là một yêu cầu cơ bản nhất trong quá trình đánh giá đó. NIST SP 800-22 đã được đưa ra và trở thành một công cụ hữu ích, phổ biến nhất cho việc đánh giá tính ngẫu nhiên theo thống kê đối với các bộ sinh trên. Tuy nhiên, cho đến nay dù được sử dụng khá rộng rãi nhưng vẫn còn những điểm bất cập trong bộ kiểm tra này, khi một số kiểm tra thống kê còn chưa chính xác. Trong nội dung của bài báo, chúng tôi sẽ đưa ra một góc nhìn chung về bộ kiểm tra tính ngẫu nhiên theo thống kê NIST SP 800-22 cho các bộ tạo số ngẫu nhiên và giả ngẫu nhiên, đồng thời trình bày các vấn đề còn tồn tại và đưa ra một vài lưu ý đối với việc sử dụng công cụ này.

Tin cùng chuyên mục

Giám sát, đảm bảo an toàn thông tin cho các mạng công nghệ thông tin trọng yếu năm 2023 và thách thức trong thời gian tới

07:00 | 15/02/2024

Thời gian qua, các hình thức tấn công mạng nguy hiểm nhằm mục đích phá hoại hệ thống thông tin, đánh cắp dữ liệu ngày càng tinh vi. Các kỹ thuật phức tạp, vũ khí mạng ngày càng được sử dụng rộng rãi, các chiến dịch tấn công mạng gây hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia. Chiến tranh trên không gian mạng gắn liền với chiến tranh truyền thống đã hiện hữu. Trước bối cảnh đó, hoạt động giám sát an toàn thông tin (ATTT) là một trong những giải pháp quan trọng và cấp thiết nhằm kịp thời phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Đây là một trong bốn nhiệm vụ trọng tâm Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (sau đây gọi tắt là Trung tâm) được Lãnh đạo Ban Cơ yếu Chính phủ giao chủ trì thực hiện.

Các mối đe dọa và thách thức an ninh mạng năm 2024

09:00 | 13/02/2024

Trong thời đại số được đánh dấu bằng những tiến bộ và phát triển khoa học công nghệ, tầm quan trọng của an ninh mạng đã ngày càng được thể hiện và thúc đẩy rõ ràng hơn. Dự đoán năm 2024, bối cảnh kỹ thuật số không ngừng phát triển, công nghệ mở ra cả những cơ hội đột phá lẫn những thách thức an ninh mạng. Để chuẩn bị tốt cho công tác đảm bảo an ninh, an toàn thông tin, bài báo sẽ đề cập đến sự gia tăng của các mối đe dọa bảo mật cũng như thách thức về an ninh mạng trong năm tới.

Bảo đảm an ninh thông tin cơ sở hạ tầng quan trọng của Hoa Kỳ

08:00 | 11/01/2024

Hoa Kỳ là một trong những quốc gia dẫn đầu thế giới về chiến lược, quy định và triển khai các hoạt động cụ thể trong bảo vệ an ninh thông tin cơ sở hạ tầng quan trọng. Dưới thời Tổng thống Biden, hàng loạt biện pháp được áp dụng đã nâng cao hiệu quả bảo đảm an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.

Liên bang Nga ban hành đạo luật về đồng Ruble kỹ thuật số

08:00 | 18/08/2023

Ngân hàng Trung ương Liên Bang Nga bắt đầu dự án phát triển đồng Ruble kỹ thuật số vào cuối năm 2020, dự kiến bắt đầu thử nghiệm đồng tiền này với khách hàng và tiền thật từ ngày 1/4/2023. Tuy nhiên, thời hạn này đã phải hoãn lại do chậm trễ trong việc thông qua các hành lang pháp lý cần thiết. Mặc dù vậy, dự luật về đồng Ruble kỹ thuật số cuối cùng đã được hạ viện của Quốc hội Liên bang Nga thông qua vào ngày 11/7, Hội đồng Liên bang phê duyệt vào ngày 19/7 và đến ngày 24/7 vừa qua đã được Tổng thống Liên bang Nga Putin ký ban hành với tên đầy đủ là: Luật Liên bang số 340-FZ ngày 24/7/2023 "Về sửa đổi một số đạo luật lập pháp của Liên bang Nga".