Các nhà sản xuất thuộc mọi lĩnh vực hiện đang phải tuân thủ các tiêu chuẩn và quy định mới cũng như liên tục thay đổi liên quan đến bảo mật dữ liệu, quyền riêng tư và an ninh chuỗi cung ứng, đặc biệt là các doanh nghiệp sản xuất hoạt động trong những ngành có mức độ quản lý nghiêm ngặt như chính phủ và y tế.
Áp lực tuân thủ sẽ càng trở nên rõ rệt hơn đối với các nhà sản xuất đang hưởng lợi từ nguồn vốn của Đạo luật CHIPS và Khoa học năm 2022 (CHIPS and Science Act of 2022)1, vốn ưu tiên hoạt động sản xuất và nghiên cứu chất bán dẫn tại Hoa Kỳ, bao gồm cả sản xuất phục vụ quốc phòng và các lĩnh vực hạ tầng trọng yếu khác.
Nhu cầu về MFA chống phishing
Các hợp đồng liên bang có thể yêu cầu nhà sản xuất phải tuân thủ các tiêu chuẩn trong Sắc lệnh Hành pháp (Executive Order – EO) 14028 và Bản ghi nhớ M-22-09 của Văn phòng Quản lý và Ngân sách Hoa Kỳ (OMB), bao gồm yêu cầu triển khai xác thực đa yếu tố chống phishing (phishing-resistant MFA), hoặc đáp ứng các yêu cầu cập nhật của tiêu chuẩn Chứng nhận Mô hình Trưởng thành An ninh mạng (Cybersecurity Maturity Model Certification – CMMC).
Các cơ quan và tài liệu khuyến nghị
Ngoài ra, MFA chống phishing còn được khuyến nghị bởi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cùng Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) cho tất cả các lĩnh vực cơ sở hạ tầng trọng yếu, bao gồm cả ngành sản xuất. Các yêu cầu chi tiết được đề cập trong tài liệu năm 2023 “Best Practices in Identity and Access Management”, đồng thời hướng dẫn bổ sung về triển khai MFA chống phishing cũng có trong tài liệu hướng dẫn (fact sheet) do CISA công bố.
Áp lực tuân thủ toàn cầu
Ngoài phạm vi liên bang Hoa Kỳ, các nhà sản xuất còn phải đối mặt với áp lực tuân thủ từ các quy định như Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR), Chỉ thị về An ninh mạng và Thông tin của EU (NIS2), các đạo luật bảo vệ quyền riêng tư cấp bang, cũng như các tiêu chuẩn như ISO/IEC 27001 (Quản lý An toàn Thông tin), IEC 62443 (Bảo mật cho Hệ thống Điều khiển và Tự động hóa Công nghiệp) và Khung An ninh mạng của NIST.
Giảm thiểu rủi ro tuân thủ bảo vệ dữ liệu trong ngành sản xuất
Mọi doanh nghiệp đều sở hữu dữ liệu cá nhân chịu sự điều chỉnh của các luật và quy định nghiêm ngặt về quyền riêng tư và an ninh mạng. Ngoài ra, nhiều nhà sản xuất còn phải đạt chứng nhận ISO hoặc tuân thủ các tiêu chuẩn cao hơn nhằm đáp ứng yêu cầu hợp đồng — đặc biệt trong lĩnh vực liên bang. YubiKey và YubiHSM 2 có thể hỗ trợ các nhà sản xuất tuân thủ cả những tiêu chuẩn bảo mật dữ liệu bắt buộc lẫn tự nguyện.
Danh sách kiểm tra dưới đây sẽ giúp định hình cách các sản phẩm của Yubico đáp ứng các yêu cầu tuân thủ.
- EO 14028 về Cải thiện An ninh mạng Quốc gia / OMB Memo M-22-09: Triển khai MFA chống phishing
- CMMC 2.0 / DFARS Defense Federal Acquisition Regulation Supplement: Xác nhận việc triển khai các thực hành phù hợp với NIST SP 800-171
- CISA và NSA – Best Practices in Identity and Access Management: Triển khai MFA chống phishing
- National Institute of Standards and Technology (NIST) SP 800-63-3 / 4 – Digital Identity Guidelines: Đáp ứng cấp độ đảm bảo bộ xác thực Authenticator Assurance Level 3 (AAL3) cho bộ xác thực dựa trên phần cứng / Đáp ứng định nghĩa cập nhật về khả năng chống phishing
- Tiêu chuẩn ISO/IEC 27001 dành cho Hệ thống Quản lý An toàn Thông tin (ISMS): Phụ lục A.9 Bảo vệ quyền truy cập vào thông tin
- NIST SP 800-171 – Protecting Controlled Unclassified Inchomation in Nonfederal Systems and Organizations
- 3.5.2 Xác thực danh tính của người dùng, tiến trình hoặc thiết bị trước khi cho phép truy cập vào hệ thống của tổ chức
- 3.5.3 MFA cho truy cập cục bộ và truy cập mạng đối với tài khoản đặc quyền, cũng như truy cập mạng đối với tài khoản không đặc quyền
- IEC 62443 – Security cho Industrial Automation and Control Systems
- 262 Xác minh các thành phần của bên thứ ba
- 264 Định danh và xác thực đáng tin cậy cho mọi người dùng
- Quy định Bảo vệ Dữ liệu Chung của Liên minh châu Âu (GDPR) | Đạo luật Quyền riêng tư Calichonia (Calichonia Privacy Rights Act) và các luật cấp bang khác: Điều 32 Các biện pháp kỹ thuật và tổ chức nhằm bảo vệ và bảo mật dữ liệu
- Chỉ thị EU Network and Inchomation Security (NIS2) – Điều khoản: 21 Quy định bắt buộc sử dụng xác thực đa yếu tố để quản lý và giảm thiểu rủi ro


