نگاهی دقیق به الزامات امنیتی FBI برای سیستم‌های CJIS

فرض کنید سازمان شما به‌تازگی قراردادی برای مدیریت داده‌های حساس مربوط به اجرای قانون (Law-Enforcement) دریافت کرده است – ممکن است شما یک ارائه‌دهنده‌ی خدمات ابری، فروشنده‌ی نرم‌افزار یا شرکت تحلیل داده باشید. طولی نمی‌کشد که عبارت CJIS ذهن شما را به خود مشغول می‌کند.

می‌دانید که سیاست امنیتی Criminal Justice Information Services (CJIS) اف‌بی‌آی، نحوه‌ی محافظت از سوابق کیفری، اثرانگشت‌ها و پرونده‌های تحقیقاتی را مشخص می‌کند، اما فراتر از آن، همه‌چیز مبهم به نظر می‌رسد.

چه یک متخصص امنیت با‌تجربه باشید و چه تازه‌وارد دنیای داده‌های عدالت کیفری، درک الزامات تطابق با CJIS حیاتی است. ما با بررسی منشأ و هدف وجودی CJIS شروع می‌کنیم: چرا به وجود آمده و چرا برای هر سازمانی که با اطلاعات عدالت کیفری سروکار دارد اهمیت دارد.

سپس به ارکان هویتی (کلمات عبور، احراز هویت چندمرحله‌ای یا MFA و کنترل‌های سخت‌گیرانه‌ی دسترسی) می‌پردازیم و بررسی می‌کنیم چگونه می‌توان این کنترل‌ها را به‌صورت یکپارچه در محیط سازمانی پیاده‌سازی کرد.

CJIS چیست؟

CJIS ریشه در اواخر دهه‌ی ۱۹۹۰ دارد، زمانی که اف‌بی‌آی پایگاه‌های اطلاعاتی کیفری ایالتی و محلی را در یک سیستم سراسری ادغام کرد. امروزه این سیستم، مرکز اعصاب برای تبادل داده‌های بیومتریک، سوابق کیفری و اطلاعات تاکتیکی بین آژانس‌های فدرال، ایالتی، محلی و قبیله‌ای محسوب می‌شود.

در هسته‌ی خود، سیاست امنیتی CJIS تضمین می‌کند که هر طرفی که با این داده‌ها سروکار دارد (چه دولتی و چه پیمانکار خصوصی) از استاندارد امنیتی یکسانی پیروی کند. وقتی اسم CJIS را می‌شنوید، باید به “زنجیره‌ی غیرقابل نفوذ مالکیت داده” فکر کنید – از لحظه‌ای که داده از پایانه‌ی موبایلی یک واحد گشتی خارج می‌شود تا زمانی که در یک آزمایشگاه قانونی بایگانی می‌گردد.

چه کسانی باید با CJIS تطابق داشته باشند؟

ممکن است تصور کنید CJIS تنها به اداره‌های پلیس مربوط است، چون سیاست اف‌بی‌آی است. اما در واقع، دامنه‌ی آن بسیار گسترده‌تر است:

• آژانس‌های اجرای قانون (SLTF): شامل تمام نهادهای ایالتی، محلی، قبیله‌ای و فدرال که اطلاعات عدالت کیفری را ذخیره یا جستجو می‌کنند.
• فروشندگان و یکپارچه‌سازان ثالث: اگر نرم‌افزار شما داده‌ی CJIS را پردازش، ذخیره یا دریافت می‌کند (سیستم‌های مدیریت سوابق، سرویس‌های بررسی پیشینه، ارائه‌دهندگان میزبان ابری)، مشمول این سیاست هستید.
• نیروهای عملیاتی چندحوزه‌ای (Multi-jurisdictional): حتی ائتلاف‌های موقتی بین آژانس‌ها نیز باید در طول مدت همکاری خود، از الزامات CJIS تبعیت کنند.

نتیجه: اگر سیستم‌های شما در هر زمان با اثرانگشت، پیشینه‌ی کیفری یا لاگ‌های اعزام تماس دارند، CJIS برای شما الزامی است.

ایمن‌سازی کلمات عبور Active Directory با Specops Password Policy

گزارش تحقیقات نفوذ داده‌ها توسط Verizon نشان می‌دهد که ۴۴.۷٪ از نقض‌های امنیتی شامل سرقت اعتبارنامه‌ها (credentials) بوده‌اند.

با استفاده از Specops Password Policy می‌توان بدون دردسر، Active Directory را با سیاست‌های رمز عبور مطابق با استاندارد تقویت کرد، بیش از ۴ میلیارد گذرواژه‌ی فاش‌شده را مسدود نمود، امنیت را افزایش داد و هزینه‌های پشتیبانی را کاهش داد.

الزامات کلیدی

CJIS حوزه‌های بسیاری را پوشش می‌دهد (امنیت فیزیکی، بررسی پیشینه‌ی کارکنان، پاسخ به حوادث)، اما ستون فقرات آن، مدیریت هویت و دسترسی (IAM) است. زمانی که اف‌بی‌آی محیط شما را ممیزی می‌کند، سه سؤال اساسی می‌پرسد:

1. چه کسی به چه چیزی دسترسی داشت؟
2. چگونه اثبات کرد که همان شخص است؟
3. آیا مجاز به دسترسی به آن داده بود؟

بیایید داستان را مرور کنیم:

هویت‌های منحصربه‌فرد و مسئولیت‌پذیری بی‌چون‌وچرا:

هر فرد باید شناسه‌ی کاربری اختصاصی خود را داشته باشد. استفاده از حساب‌های مشترک یا عمومی ممنوع است. این الزام برای قابلیت ردیابی کامل اقدامات کاربران حیاتی است.

رمزهای عبور قوی:

CJIS الزام می‌کند که رمزها حداقل ۱۲ کاراکتر و شامل حروف بزرگ، کوچک، ارقام و نمادها باشند. Specops پیشنهاد می‌کند از عبارات عبور ۱۶+ کاراکتری استفاده شود. همچنین، باید تاریخچه‌ی رمزها (عدم استفاده مجدد از ۲۴ رمز اخیر) اعمال شود و پس از حداکثر ۵ تلاش ناموفق، حساب قفل گردد.

MFA به‌عنوان لایه‌ی دفاعی دیگر:

یک رمز عبور به‌تنهایی کافی نیست. CJIS ملزم می‌کند برای هرگونه دسترسی غیرمحلی، از احراز هویت چندمرحله‌ای (MFA) استفاده شود – یعنی چیزی که می‌دانید (رمز عبور) + چیزی که دارید (توکن سخت‌افزاری، اپلیکیشن احراز هویت و غیره).

اصل حداقل دسترسی و بازبینی فصلی:

تنها دسترسی‌هایی را اعطا کنید که کاربر برای انجام وظایف خود نیاز دارد، نه بیشتر. هر ۹۰ روز یک‌بار باید مالکان سیستم‌ها، دسترسی‌ها را بازبینی کرده و دسترسی‌های غیرضروری یا منقضی را حذف کنند.

ردپاهای ممیزی و لاگ‌های غیرقابل تغییر:

ثبت تمام رویدادهای ورود، تغییرات سطح دسترسی و پرس‌وجوهای داده ضروری است. CJIS الزام می‌کند که لاگ‌ها حداقل ۹۰ روز در محل و یک سال خارج از محل نگهداری شوند.

رمزنگاری و جداسازی شبکه:

داده‌ها باید در حالت انتقال و ذخیره‌سازی، با رمزنگاری تأیید‌شده توسط FIPS محافظت شوند: TLS 1.2 یا بالاتر برای انتقال، AES-256 برای ذخیره‌سازی. همچنین، محیط‌های CJIS باید از سایر بخش‌های شبکه جدا باشند (از طریق فایروال، VLAN یا ایزوله‌سازی کامل).

پیامدهای عدم تطابق

تصور کنید مجموعه‌ای از اعتبارنامه‌های به‌خطر‌افتاده منجر به درز اطلاعات از پایگاه CJIS شود. یک مهاجم از این نقطه‌ضعف استفاده می‌کند و سوابق کیفری و اثرانگشت‌های هزاران نفر به بیرون نشت می‌کند.

پیامدها فوری و جدی خواهد بود:

• تعلیق دسترسی CJIS توسط اف‌بی‌آی، که تحقیقات را متوقف می‌کند.
• بررسی‌های نظارتی و جریمه‌های مالی توسط مراجع ایالتی و فدرال.
• خدشه به اعتبار سازمان در رسانه‌ها و بین مشتریان.

تطابق مؤثر با استفاده از ابزارهای ثالث

تطابق فقط علامت‌زدن در چک‌لیست نیست؛ بلکه به معنی نهادینه‌کردن امنیت در فرایندهای روزمره است، به‌طوری‌که هم در ممیزی‌ها قابل اثبات باشد و هم در برابر حملات مؤثر واقع شود.

مزایای Specops در مسیر CJIS:

• Specops Password Policy: سیاست‌های رمز عبور مطابق با CJIS را مستقیماً در Active Directory پیاده‌سازی می‌کند؛ شامل پیچیدگی، تاریخچه، چرخش رمزها و بررسی در برابر ۴ میلیارد رمز فاش‌شده.
• Specops Secure Access: تقویت احراز هویت چندمرحله‌ای با روش‌هایی مقاوم‌تر در برابر مهندسی اجتماعی و فیشینگ.
• Specops uReset: پورتال سلف‌سرویس برای بازنشانی حساب‌های Active Directory با حفاظت MFA، با ثبت کامل وقایع برای پاسخ به ممیزی.

این ابزارها به‌گونه‌ای طراحی شده‌اند که با زیرساخت فعلی Active Directory شما یکپارچه شده، سربار مدیریتی را کاهش دهند و شواهد قابل اثبات از کنترل‌های تطابقی با CJIS ارائه دهند.