Hướng dẫn bao gồm ba phần, trình bày hướng tiếp cận để đảm bảo an toàn cho PMS. Nó cung cấp hướng dẫn sử dụng các sản phẩm có sẵn trên thị trường, cho phép chủ khách sạn kiểm soát và hạn chế quyền truy cập vào PMS của họ, giúp bảo vệ quyền riêng tư và thông tin thẻ thanh toán của khách hàng.
Ông Bill Newhouse thuộc Trung tâm An ninh mạng Quốc gia (NCCoE) của NIST cho biết, họ đã chứng minh được rằng rủi ro an ninh mạng đối với PMS có thể được giảm thiểu nhờ sử dụng các công nghệ ngày nay.
Hướng dẫn của NIST cung cấp cách thức áp dụng các khái niệm an ninh mạng như kiến trúc zero-trust, bảo vệ các mục tiêu di chuyển, triển khai mã hóa token cho dữ liệu thẻ tín dụng và xác thực dựa trên vai trò người dùng trong một thiết kế tham khảo, nhằm giải quyết rủi ro an ninh mạng và quyền riêng tư. NIST cũng đưa ra các trường hợp sử dụng cụ thể để cho thấy chức năng của thiết kế.
Trong những năm gần đây, tin tặc đã xâm nhập hệ thống mạng của một số chuỗi khách sạn lớn, làm lộ thông tin của hàng trăm triệu khách hàng. Theo một báo cáo ngành gần đây, khách sạn đứng thứ ba trong số các ngành bị thiệt hại nhiều nhất do vi phạm an ninh mạng vào năm 2019, hứng chịu 13% trong tổng số sự cố.
Khoảng 2/3 các vụ vi phạm này là các cuộc tấn công vào máy chủ của các tổ chức, nơi thường lưu trữ thông tin của khách hàng và kết nối với các PMS tại chỗ. Các vi phạm đối với PMS có thể gây tổn hại đến danh tiếng của tổ chức, làm gián đoạn hoạt động và gây ra thiệt hại tài chính lớn.
NCCoE đã hợp tác với cộng đồng doanh nghiệp khách sạn và các nhà cung cấp công nghệ an ninh mạng để xây dựng một hệ thống mẫu gọi là “thiết kế PMS tham khảo”, mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối, bao gồm hệ thống thanh toán điện tử và khóa cửa điện tử. Thiết kế này bảo vệ dữ liệu di chuyển trong môi trường và ngăn người dùng truy cập vào nhiều hệ thống và dịch vụ khác nhau.
Mặc dù, thiết kế sử dụng các công nghệ có sẵn trên thị trường để thực hiện các mục tiêu này, nhưng hướng dẫn không cung cấp thông tin của các sản phẩm cụ thể nào. Tất cả các công nghệ được sử dụng trong giải pháp đều hỗ trợ các tiêu chuẩn và hướng dẫn bảo mật của Khung an ninh mạng NIST, nhằm bảo vệ quyền riêng tư và đúng với kết quả cần có trong Khung Quyền riêng tư NIST.
Cung cấp hướng tiếp cận zero-trust
Hướng dẫn cũng giới thiệu các nguyên lý và thành phần về kiến trúc zero-trust, một mô hình an ninh mạng tập trung vào bảo vệ tài nguyên mạng. Tiền đề của nó là sự tin tưởng không bao giờ là mặc định mà phải được đánh giá liên tục.
Theo ông Newhouse, NIST cung cấp hướng tiếp cận zero-trust có thể giúp những người làm việc trong lĩnh vực khách sạn hiểu rõ hơn về những giải pháp của các nhà cung cấp khi mới làm quen với khái niệm này.
Mô hình zero-trust có nghĩa là quyền truy cập không được cấp cho các thiết bị hoặc tài khoản người dùng chỉ dựa trên vị trí thực tế, mạng kết nối hoặc người sở hữu. Thay vào đó, cần xác thực và ủy quyền cho cả chủ thể và thiết bị trước khi người dùng có thể truy cập tài nguyên của mạng.
Ông Robert Braun, một đối tác tại công ty luật Jeffer Mangels Butler & Mitchell (Los Angeles, Mỹ), người đã tư vấn cho khách hàng của khách sạn về vi phạm dữ liệu và quyền riêng tư, cho biết: "Hướng dẫn của NIST phân tích và giải quyết những thách thức chung đối với hầu hết các khách sạn trong việc tạo ra các hệ thống dữ liệu an toàn. Các khách sạn được khuyến nghị nên đưa hướng dẫn này vào các giao thức bảo vệ thông tin."
Đỗ Đoàn Kết
(Theo Help Net Security)
16:00 | 13/02/2019
14:00 | 30/12/2018
10:00 | 17/12/2018
23:00 | 02/09/2022
07:00 | 15/02/2024
Thời gian qua, các hình thức tấn công mạng nguy hiểm nhằm mục đích phá hoại hệ thống thông tin, đánh cắp dữ liệu ngày càng tinh vi. Các kỹ thuật phức tạp, vũ khí mạng ngày càng được sử dụng rộng rãi, các chiến dịch tấn công mạng gây hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia. Chiến tranh trên không gian mạng gắn liền với chiến tranh truyền thống đã hiện hữu. Trước bối cảnh đó, hoạt động giám sát an toàn thông tin (ATTT) là một trong những giải pháp quan trọng và cấp thiết nhằm kịp thời phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Đây là một trong bốn nhiệm vụ trọng tâm Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (sau đây gọi tắt là Trung tâm) được Lãnh đạo Ban Cơ yếu Chính phủ giao chủ trì thực hiện.
09:00 | 13/02/2024
Trong thời đại số được đánh dấu bằng những tiến bộ và phát triển khoa học công nghệ, tầm quan trọng của an ninh mạng đã ngày càng được thể hiện và thúc đẩy rõ ràng hơn. Dự đoán năm 2024, bối cảnh kỹ thuật số không ngừng phát triển, công nghệ mở ra cả những cơ hội đột phá lẫn những thách thức an ninh mạng. Để chuẩn bị tốt cho công tác đảm bảo an ninh, an toàn thông tin, bài báo sẽ đề cập đến sự gia tăng của các mối đe dọa bảo mật cũng như thách thức về an ninh mạng trong năm tới.
08:00 | 11/01/2024
Hoa Kỳ là một trong những quốc gia dẫn đầu thế giới về chiến lược, quy định và triển khai các hoạt động cụ thể trong bảo vệ an ninh thông tin cơ sở hạ tầng quan trọng. Dưới thời Tổng thống Biden, hàng loạt biện pháp được áp dụng đã nâng cao hiệu quả bảo đảm an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.
08:00 | 18/08/2023
Ngân hàng Trung ương Liên Bang Nga bắt đầu dự án phát triển đồng Ruble kỹ thuật số vào cuối năm 2020, dự kiến bắt đầu thử nghiệm đồng tiền này với khách hàng và tiền thật từ ngày 1/4/2023. Tuy nhiên, thời hạn này đã phải hoãn lại do chậm trễ trong việc thông qua các hành lang pháp lý cần thiết. Mặc dù vậy, dự luật về đồng Ruble kỹ thuật số cuối cùng đã được hạ viện của Quốc hội Liên bang Nga thông qua vào ngày 11/7, Hội đồng Liên bang phê duyệt vào ngày 19/7 và đến ngày 24/7 vừa qua đã được Tổng thống Liên bang Nga Putin ký ban hành với tên đầy đủ là: Luật Liên bang số 340-FZ ngày 24/7/2023 "Về sửa đổi một số đạo luật lập pháp của Liên bang Nga".