Hướng dẫn an ninh mạng cho ngành khách sạn của NIST

13:00 | 12/05/2021 | CHÍNH SÁCH - CHIẾN LƯỢC

Hướng dẫn thực hiện giải pháp an ninh mạng từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) có thể giúp chủ khách sạn giảm thiểu rủi ro cho hệ thống quản lý tài sản khách sạn (PMS) - nơi lưu trữ thông tin cá nhân và dữ liệu thẻ tín dụng của nhiều khách hàng.

Hướng dẫn an ninh mạng cho ngành khách sạn của NIST

Hướng dẫn bao gồm ba phần, trình bày hướng tiếp cận để đảm bảo an toàn cho PMS. Nó cung cấp hướng dẫn sử dụng các sản phẩm có sẵn trên thị trường, cho phép chủ khách sạn kiểm soát và hạn chế quyền truy cập vào PMS của họ, giúp bảo vệ quyền riêng tư và thông tin thẻ thanh toán của khách hàng.

Ông Bill Newhouse thuộc Trung tâm An ninh mạng Quốc gia (NCCoE) của NIST cho biết, họ đã chứng minh được rằng rủi ro an ninh mạng đối với PMS có thể được giảm thiểu nhờ sử dụng các công nghệ ngày nay.

Hướng dẫn của NIST cung cấp cách thức áp dụng các khái niệm an ninh mạng như kiến trúc zero-trust, bảo vệ các mục tiêu di chuyển, triển khai mã hóa token cho dữ liệu thẻ tín dụng và xác thực dựa trên vai trò người dùng trong một thiết kế tham khảo, nhằm giải quyết rủi ro an ninh mạng và quyền riêng tư. NIST cũng đưa ra các trường hợp sử dụng cụ thể để cho thấy chức năng của thiết kế.

Khách sạn là ngành có nhiều vi phạm dữ liệu nhiều thứ ba trong năm 2019

Trong những năm gần đây, tin tặc đã xâm nhập hệ thống mạng của một số chuỗi khách sạn lớn, làm lộ thông tin của hàng trăm triệu khách hàng. Theo một báo cáo ngành gần đây, khách sạn đứng thứ ba trong số các ngành bị thiệt hại nhiều nhất do vi phạm an ninh mạng vào năm 2019, hứng chịu 13% trong tổng số sự cố.

Khoảng 2/3 các vụ vi phạm này là các cuộc tấn công vào máy chủ của các tổ chức, nơi thường lưu trữ thông tin của khách hàng và kết nối với các PMS tại chỗ. Các vi phạm đối với PMS có thể gây tổn hại đến danh tiếng của tổ chức, làm gián đoạn hoạt động và gây ra thiệt hại tài chính lớn.

Mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối

NCCoE đã hợp tác với cộng đồng doanh nghiệp khách sạn và các nhà cung cấp công nghệ an ninh mạng để xây dựng một hệ thống mẫu gọi là “thiết kế PMS tham khảo”, mô phỏng PMS của khách sạn và cơ sở hạ tầng CNTT được kết nối, bao gồm hệ thống thanh toán điện tử và khóa cửa điện tử. Thiết kế này bảo vệ dữ liệu di chuyển trong môi trường và ngăn người dùng truy cập vào nhiều hệ thống và dịch vụ khác nhau.

Mặc dù, thiết kế sử dụng các công nghệ có sẵn trên thị trường để thực hiện các mục tiêu này, nhưng hướng dẫn không cung cấp thông tin của các sản phẩm cụ thể nào. Tất cả các công nghệ được sử dụng trong giải pháp đều hỗ trợ các tiêu chuẩn và hướng dẫn bảo mật của Khung an ninh mạng NIST, nhằm bảo vệ quyền riêng tư và đúng với kết quả cần có trong Khung Quyền riêng tư NIST.

Cung cấp hướng tiếp cận zero-trust

Hướng dẫn cũng giới thiệu các nguyên lý và thành phần về kiến trúc zero-trust, một mô hình an ninh mạng tập trung vào bảo vệ tài nguyên mạng. Tiền đề của nó là sự tin tưởng không bao giờ là mặc định mà phải được đánh giá liên tục.

Theo ông Newhouse, NIST cung cấp hướng tiếp cận zero-trust có thể giúp những người làm việc trong lĩnh vực khách sạn hiểu rõ hơn về những giải pháp của các nhà cung cấp khi mới làm quen với khái niệm này.

Mô hình zero-trust có nghĩa là quyền truy cập không được cấp cho các thiết bị hoặc tài khoản người dùng chỉ dựa trên vị trí thực tế, mạng kết nối hoặc người sở hữu. Thay vào đó, cần xác thực và ủy quyền cho cả chủ thể và thiết bị trước khi người dùng có thể truy cập tài nguyên của mạng.

Ông Robert Braun, một đối tác tại công ty luật Jeffer Mangels Butler & Mitchell (Los Angeles, Mỹ), người đã tư vấn cho khách hàng của khách sạn về vi phạm dữ liệu và quyền riêng tư, cho biết: "Hướng dẫn của NIST phân tích và giải quyết những thách thức chung đối với hầu hết các khách sạn trong việc tạo ra các hệ thống dữ liệu an toàn. Các khách sạn được khuyến nghị nên đưa hướng dẫn này vào các giao thức bảo vệ thông tin."

Đỗ Đoàn Kết

(Theo Help Net Security)

‹ › ×

Tin liên quan

Mô hình và đánh giá nguồn Entropy sử dụng cho các bộ tạo số ngẫu nhiên theo NIST

16:00 | 13/02/2019

Xây dựng các nguồn entropy nhằm tạo ra các đầu ra không thể dự đoán được là rất khó, và đưa ra các chỉ dẫn cung cấp chỉ dẫn cho việc thiết kế và kiểm tra đánh giá chúng còn khó hơn nhiều. NIST đã phát hành tài liệu SP 800-90B nhằm giúp các nhà phát triển hiểu quy trình đánh giá, lập kế hoạch quy trình đánh giá và thực hiện đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên, trong đó giả định rằng các nhà phát triển hiểu rõ cách xử lý của nguồn nhiễu trong nguồn entropy và nỗ lực để đưa ra nguồn entropy ngẫu nhiên. Bài viết dưới đây sẽ giới thiệu về mô hình và đánh giá nguồn entropy sử dụng cho các bộ tạo số ngẫu nhiên theo NIST.

Giới thiệu về NIST và một số tiêu chuẩn về bảo mật, an toàn thông tin

14:00 | 30/12/2018

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (National Institute of Standards and Technology - NIST) là cơ quan thuộc bộ phận Quản trị Công nghệ của Bộ Thương mại Mỹ (U.S. Department of Commerce). NIST được thành lập với nhiệm vụ chính thức là thúc đẩy sự đổi mới và cạnh tranh công nghiệp của Mỹ bằng cách cải tiến hệ thống đo lường, tiêu chuẩn và công nghệ để nâng cao nền kinh tế và cải thiện phúc lợi xã hội. Bài viết sẽ giới thiệu về NIST và một số tiêu chuẩn tiêu biểu thuộc lĩnh vực bảo mật và an toàn thông tin của NIST.

5 bước để áp dụng Khung An ninh mạng của NIST vào thực tế

10:00 | 17/12/2018

Việc áp dụng Khung An ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ gồm 5 bước: Thiết lập các mục tiêu cần đạt được; Tạo bản hồ sơ chi tiết; Đánh giá tình trạng hiện tại của tổ chức; Lên kế hoạch hành động phân tích khoảng cách; Thực hiện kế hoạch hành động. Những trình bày dưới đây sẽ khuyến nghị việc ứng dụng Khung an ninh mạng trong thực tế sao cho phù hợp với nhu cầu nghiệp vụ của tổ chức.

NIST SP 800-22 và những cẩn trọng khi sử dụng (Phần I)

23:00 | 02/09/2022

Trong các ứng dụng mật mã, việc đánh giá chất lượng của bộ sinh số ngẫu nhiên và giả ngẫu nhiên đóng vai trò cực kỳ quan trọng, và việc đánh giá tính ngẫu nhiên theo thống kê là một yêu cầu cơ bản nhất trong quá trình đánh giá đó. NIST SP 800-22 đã được đưa ra và trở thành một công cụ hữu ích, phổ biến nhất cho việc đánh giá tính ngẫu nhiên theo thống kê đối với các bộ sinh trên. Tuy nhiên, cho đến nay dù được sử dụng khá rộng rãi nhưng vẫn còn những điểm bất cập trong bộ kiểm tra này, khi một số kiểm tra thống kê còn chưa chính xác. Trong nội dung của bài báo, chúng tôi sẽ đưa ra một góc nhìn chung về bộ kiểm tra tính ngẫu nhiên theo thống kê NIST SP 800-22 cho các bộ tạo số ngẫu nhiên và giả ngẫu nhiên, đồng thời trình bày các vấn đề còn tồn tại và đưa ra một vài lưu ý đối với việc sử dụng công cụ này.

Tin cùng chuyên mục

Telegram đồng ý chia sẻ dữ liệu người dùng với các cơ quan chức năng để điều tra tội phạm

14:00 | 02/10/2024

Ứng dụng nhắn tin phổ biến Telegram tuyên bố sẽ cung cấp địa chỉ IP và số điện thoại của người dùng cho chính quyền để đáp ứng các yêu cầu pháp lý hợp lệ nhằm kiểm soát hoạt động tội phạm trên nền tảng này.

WHO cảnh báo tình trạng thanh thiếu niên nghiện mạng xã hội

14:00 | 30/09/2024

Tổ chức Y tế thế giới (WHO) đưa ra cảnh báo về sự gia tăng đáng kể tình trạng thanh thiếu niên tại các nước châu Âu nghiện mạng xã hội, gây tác hại cho sức khỏe tâm thần của họ.

Các tỉnh, thành phố miền Tây Nam Bộ đẩy mạnh hiệu lực, hiệu quả trong công tác cơ yếu và bảo mật an toàn thông tin

13:00 | 27/08/2024

Trong 04 ngày từ 20 - 23/8, Đoàn công tác của ngành Cơ yếu Việt Nam do Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến làm việc với các Tỉnh/Thành ủy: Cần Thơ, Bến Tre, Sóc Trăng và Đồng Tháp nhằm tăng cường sự phối hợp và đẩy mạnh việc triển khai các nhiệm vụ về lĩnh vực cơ yếu, bảo mật và an toàn thông tin.

Video giả mạo bằng AI trên YouTube có thể bị xóa nếu người dùng yêu cầu

08:00 | 22/07/2024

YouTube vừa cập nhật chính sách mới, cho phép người dùng gửi yêu cầu xóa video khi phát hiện nội dung do trí tuệ nhân tạo (AI) tạo ra mô phỏng khuôn mặt hoặc giọng nói của bản thân. Chính sách mới này là một phần trong quy trình bảo vệ quyền riêng tư được cập nhật, cho phép trao nhiều quyền hơn cho người dùng để chống lại nạn giả mạo bằng công nghệ AI.