How Cyber Hygiene Promotes Information and Data Security for Research Institutions in a New Era for Remote Work

Em março de 2020, o ensino e a aprendizagem pessoalmente foram interrompidos quase da noite para o dia, enquanto governos, faculdades e universidades agiram para impedir a propagação do vírus Covid-19. Enquanto os administradores e professores do ensino superior se esforçavam para fazer a transição para um modelo remoto de ensino e aprendizagem, à medida que os campi físicos foram fechados, eles também lutaram para responder a necessidades de pesquisa exclusivas sobre operações de laboratório úmido e seco e conduta de pesquisa clínica. Instantaneamente, muitos pesquisadores começaram a acessar dados e continuar a rastrear os planos de projeto em casa, com ou sem salvaguardas de segurança da informação apropriadas fornecidas por suas instituições. Ação

Mais de um ano depois, algumas instituições estão repensando a necessidade de fornecer espaço físico dedicado para professores, funcionários e administradores de pesquisa que não precisam de laboratórios ou equipamentos especiais no campus. Mas a economia e as conveniências de custos realizadas neste novo modelo não virão sem uma abundância de considerações complicadas para a implantação de instalações virtuais dedicadas necessárias para o pessoal que opera fora do campus.

Modelos remotos permanentes para conduta de pesquisa apresentam ameaças e vulnerabilidades significativas à propriedade intelectual sensível, a menos que sejam estabelecidas configurações cuidadosas dos controles de tecnologia e processos de negócios. Um aumento nos incidentes cibernéticos direcionados a instituições de pesquisa (universidades e sistemas médicos acadêmicos), bem como requisitos de patrocinadores cada vez mais rigorosos relacionados à proteção e segurança de dados apresentam riscos que são mais do que uma ameaça à integridade da pesquisa: mover partes significativas de impostos de segurança dos Estados Unidos. Exceltração proposital ou inadvertida de dados e tecnologias de pesquisa financiados pelo governo federal a entidades estrangeiras, leis e políticas dos EUA para

To prevent the risk of purposeful or inadvertent exfiltration of federally funded research data and technologies to foreign entities, U.S. laws and policies for Gerenciamento de controle de exportação Regule e limita a liberação de informações científicas e tecnológicas e tecnologias para estrangeiros, tanto dentro e fora das fronteiras do país. As leis dos EUA normalmente exigem permissão, conhecida como Licença de exportação, antes de provisionar o acesso a certas tecnologias que não estão em domínio público, ou envio ou transporte de itens específicos no exterior. Influência

Well before the pandemic, the federal government was ramping up efforts to protect U.S. research assets and close vulnerability gaps related to undue foreign influence, incluindo:

• Instâncias de membros do corpo docente não divulgaram sua participação em programas de talentos estrangeiros. Para os controles de exportação. In May 2020, the Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) announced¹
• Improper compliance with reporting requirements related to the receipt of foreign research grants, contracts and gifts.²
• Addressing higher education-specific compliance issues related to export controls.³

Awareness of the importance of securing the U.S. research enterprise and research data securty intensified as American research institutions contributed to the global efforts to develop and roll out COVID-19 vaccines. In May 2020, the Federal Bureau of Investigation (FBI) and the Cybersecurity and Infrastructure Security Agency (CISA) announced increasing cybersecurity threats to COVID-19-related research, including instances in which U.S. research organizations were targeted by Chinese-affiliated hackers in an attempt to identify and illicitly obtain valuable intellectual property and public health data related to Vacinas, tratamentos e testes de redes de instituições de pesquisa. Pesquisa, tecnologia da informação e líderes de segurança reconhecem a crescente frequência de violações de dados em instituições de pesquisa, bem como os riscos representados pela crescente aceitação do trabalho de pesquisa remota. Esses líderes, portanto, devem dedicar mais atenção e recursos para alcançar os requisitos necessários da segurança da informação e direcionar os níveis de maturidade. Eles também devem considerar avaliações formais mais frequentes dos ambientes de tecnologia da informação em relação a estruturas de segurança da informação reconhecidas, incluindo os padrões do Instituto Nacional de Padrões e Tecnologia (NIST) e do Departamento de Defesa (DOD) para proteger os dados de pesquisa sensíveis. Iniciativa Receba Carveotos de patrocinadores federais projetados especificamente para faculdades e universidades, comumente conhecidas como

Many colleges and universities have already struggled to maintain basic controls and protocols in this area — and federal agencies have acknowledged regulations have been interpreted inconsistently. Research, information technology and security leaders recognize the increasing frequency of data breaches at research institutions, as well as the risks posed by the growing acceptance of remote research work. These leaders, therefore, must devote more attention and resources to achieve requisite information security compliance requirements and target maturity levels. They must also consider more frequent formal assessments of information technology environments against recognized information security frameworks, including the National Institute of Standards and Technology (NIST) and Department of Defense (DOD) standards for safeguarding sensitive research data.

The preponderance of university research portfolios is not subject to export controls, and some research contracts that are a part of a broader controlled initiative receive carveouts from federal sponsors specifically designed for colleges and universities, commonly known as the Exclusão fundamental da pesquisa (FRE). Essa determinação é para “pesquisa básica e aplicada em ciência e engenharia, onde as informações resultantes são normalmente publicadas e compartilhadas amplamente na comunidade científica”, bem como pesquisas realizadas com informações disponíveis ao público. Exceções ao FRE Entre em jogo quando houver restrições envolvidas, que podem ocorrer em certos projetos financiados pelo governo. Consequentemente, qualquer coisa, desde pesquisa biológica até algoritmos, pode estar sujeita a controles de exportação e pesquisa restrita considerada. A Certificação do Modelo de Maturidade de Segurança Cibernética (CMMC) do Departamento de Defesa, um programa de conformidade cibernética mais amplo e mais robusta para contratantes do Departamento de Defesa, também começou a chamar a atenção para o cenário do ensino superior, à medida que as instâncias em que a conformidade com essa estrutura também é necessária contratualmente. Em 2016, o Departamento de Educação também recomendou que faculdades e universidades procurassem a estrutura de controle fornecida no NIST SP 800-171 para

Colleges and universities are by now aware of Special Publication (SP) 800-171, issued by NIST, which contains a specific control framework and is contractually required in some federal government award mechanisms that support research involving controlled unclassified information (CUI). The Department of Defense’s cybersecurity maturity model certification (CMMC), a broader, more robust cyber compliance program for DOD contractors, has also begun to draw attention across the higher education landscape, as instances when compliance with this framework is contractually required have also increased. In 2016, the Department of Education also recommended that colleges and universities look to the control framework provided in NIST SP 800-171 for Orientação sobre protocolos de segurança da informação, mesmo na ausência de CUI. A avaliação proativa contra ambas as estruturas, mesmo na ausência de um requisito contratual de cumprir, tornou -se as melhores práticas. À medida que as instituições de pesquisa continuam a operar remotamente, os líderes de pesquisa devem ser capazes de identificar rapidamente quais programas podem exigir ambientes de segurança da informação mais rigorosos.

As decisões são baseadas nos tipos de pesquisa que estão ocorrendo e nos requisitos de seus prêmios patrocinados, incluindo quais devem permanecer potencialmente no local devido a recursos institucionais de segurança da informação. nível de risco e informe os planos para proteger dados. Pesquisa Mapas de estradas de segurança de dados podem começar com soluções de curto prazo que podem ser implementadas em uma linha do tempo acelerada. No entanto, esses mapas de estradas também devem abranger estratégias de longo prazo, levando ao desenvolvimento de uma infraestrutura robusta de conformidade que pode apoiar programas de pesquisa mais complexos. Os esforços devem considerar o ritmo em que os padrões e protocolos podem evoluir para atender a novas ameaças e requisitos subsequentes de conformidade. Embora as instituições com programas de pesquisa menores possam não ter segurança de dados de pesquisa listada alta em suas listas de prioridades de recursos e investimentos em conformidade, apenas uma infração pode ter um impacto significativo.

For colleges and universities with faculty engaging in restricted research, a comprehensive evaluation of the volume and proximity of research activity will inform the level of risk and inform plans to secure data. Research data security road maps can begin with near-term solutions that can be implemented on an accelerated timeline. However, these road maps should also encompass long-term strategies leading to the development of a robust compliance infrastructure that can support more-complex research programs. Efforts should consider the pace at which standards and protocols can evolve to meet new threats and subsequent compliance requirements. While institutions with smaller research programs may not have research data security listed high on their resourcing priority lists for IT and compliance investments, just one infraction can have a significant impact.

Áreas de investigação e ação imediatas a serem consideradas incluem:

• Políticas de hardware e software para garantir que pesquisadores remotos estejam usando equipamentos e programas emitidos pela instituição em vez de riscos e, em vez de riscos, em vez de um riscos de riscos ou em potencial; e clientes de rede privada virtual fora de suporte para trabalho remoto. (Estes aumentam os riscos de evolução da cadeia de suprimentos.)
• Licensing agreements and potential security risks associated with third-party communication platforms and out-of-support virtual private network clients for remote work. (These increase risks of evolving supply chain hacks.)
• Endpoint security controls such as data loss prevention (DLP) tools and security information and event management (SIEM) systems to classify and monitor restricted data.
• Infraestrutura de desktop virtual Para um maior controle sobre o acesso remoto a recursos e como software de criptografia para bloquear o spyware Keylogging. (O software de segurança também pode monitorar remoção de pressionamentos de chaves e tirar capturas de tela, mas os administradores devem ter cuidado ao considerar preocupações de privacidade e leis de emprego aplicáveis.)
• Programação de educação em segurança cibernética internaon how foreign hackers might use social engineering on remote faculty members and students (such as phishing and pretexting) to gain access to controlled information.

Estratégias e soluções de longo prazo requerem mais tempo, esforço e recursos, mas à medida que o ensino superior continua a considerar modelos no local e virtual, e como os requisitos para os protocolos basais de segurança cibernética continuam a evoluir, investimentos institucionais mais intensivos nessas áreas se tornarão cada vez mais necessários.

• Programa abrangente de gerenciamento de segurança: Além de avaliar vulnerabilidades de pesquisa remota, uma visão holística inclui controles técnicos, físicos e administrativos, bem como a conformidade com a regulamentação em outras áreas (como leis federais que restringem a liberação de informações médicas e educacionais, a proteção geral da proteção de dados, etc.).
• Cabilizadores de tecnologia segura: plataformas de próxima geração como Enclaves seguros oferecidos pelos principais fornecedores de nuvem: captura e gerenciar e gerenciar e gerenciar e gerenciar os planos de trabalho de conformidade, e os processos de negócios e os pontos de verificação. (por exemplo, uma instituição contrata regularmente o Departamento de Defesa ou se envolve em atividades de pesquisa afetadas), universidades e faculdades podem examinar a obtenção de uma certificação NIST 800-171 e/ou CMMC, com foco especial em como esses controles complexos operarão em um ambiente remoto.
• Updated government standards, regulations and certifications: If appropriate (e.g., an institution regularly contracts with DOD or engages in affected research activities), universities and colleges might examine obtaining a NIST 800-171 and/or CMMC certification with a special focus on how these complex controls will operate in a remote environment.

A ativação de pesquisas remotas apresenta novas oportunidades para faculdades e universidades, professores e estudantes em termos de inovação e eficiência, mas também apresenta desafios de segurança cibernética e conformidade aumentados. Reconhecer ameaças e vulnerabilidades e se mover proativamente para se alinhar com as diretrizes, certificações e leis aplicáveis ​​podem ajudar a garantir que dados de pesquisa patrocinados, propriedade intelectual e tecnologias não se enquadrassem nas mãos erradas.