Η αγορά βάσεων δεδομένων από μεσίτες δεδομένων μπορεί να δημιουργήσει πρόβλημα στα στελέχη της ασφάλειας των επιχειρήσεων. Αν και υπάρχουν εργαλεία για τη σάρωση των αρχείων για κακόβουλο λογισμικό, δεν υπάρχει αυτοματοποιημένος τρόπος για να βεβαιωθείτε ότι τα δεδομένα που περιέχονται στη βάση δεδομένων είναι ακριβή και, ακόμη πιο σημαντικό, ότι ελήφθησαν με την κατάλληλη συγκατάθεση. Χωρίς αυτή τη διαβεβαίωση, αυτά τα αρχεία μπορεί να αποτελέσουν απειλή για τη συμμόρφωση της επιχείρησης σχετικά με την ασφάλεια και μπορεί ακόμη και να ανοίξουν την εταιρεία σε δικαστικές αγωγές.
Σκεφτείτε αυτό το σενάριο: Οι ηγέτες των επιχειρηματικών μονάδων πραγματοποιούν μια εξαντλητική προσπάθεια δέουσας επιμέλειας πριν αγοράσουν βάσεις δεδομένων από έναν μεσίτη δεδομένων. Τα δεδομένα έχουν διανεμηθεί ευρέως στα παγκόσμια συστήματα του οργανισμού. Έξι μήνες αργότερα, οι αρχές επιβολής του νόμου κινούνται εναντίον του μεσίτη δεδομένων και αναφέρουν ότι όλα τα δεδομένα του ελήφθησαν ακατάλληλα. Ο οργανισμός έχει τώρα έναν εφιάλτη συμμόρφωσης στα χέρια του.
Ο οργανισμός μπορεί να θέλει να διαγράψει όλα αυτά τα δεδομένα για να συμμορφωθεί με τους κανονισμούς. Ωστόσο, εάν η ομάδα δεν επισήμανε τα δεδομένα όταν φορτώθηκαν αρχικά στο σύστημα, θα είναι δύσκολο να εντοπιστούν και να αφαιρεθούν. Ακόμα κι αν τα δεδομένα παρακολουθούνταν με επιτυχία, θα μπορούσαν να είχαν γίνει τόσο συνυφασμένα με petabyte άλλων δεδομένων που δεν είναι πλέον βιώσιμο να εξαχθούν.
Επιπλέον, ορισμένοι ρυθμιστές μπορεί να εφαρμόσουν τη νομική έννοια του «καρπού του δηλητηριώδους δέντρου». Αυτό το δόγμα χρησιμοποιείται συνήθως όταν επιβολή του νόμου κατηγορείται για μη λήψη εντάλματος έρευνας σωστά. Εάν ένας δικαστής διαπιστώσει ότι πράγματι ενήργησαν ακατάλληλα, το δόγμα των φρούτων δεν θα απέκλειε μόνο τυχόν στοιχεία που βρέθηκαν κατά την έρευνα, αλλά και οτιδήποτε βρέθηκε ως αποτέλεσμα αυτού που βρέθηκε στην έρευνα.
Στην περίπτωση των δεδομένων, μια αυστηρή ρυθμιστική αρχή μπορεί να επιμείνει ότι όχι μόνο μια εταιρεία πρέπει να διαγράψει τις πληροφορίες του μεσίτη δεδομένων, αλλά και κάθε πληροφορία που προέκυψε από την επεξεργασία αυτών των δεδομένων. Με άλλα λόγια, οι αναλύσεις που έγιναν σε αυτά τα δεδομένα ενδέχεται να πρέπει επίσης να διαγραφούν.
Παρακολούθηση δεδομένων καθώς ρέουν
Ένας άλλος σημαντικός παράγοντας που περιπλέκει τη συμμόρφωση δεδομένων είναι ότι οι φάκελοι πληροφοριών που προέρχονται από μεσίτες δεδομένων αντικατοπτρίζουν συχνά τη δουλειά που έχει γίνει εδώ και πολλά χρόνια. Αυτό σημαίνει ότι πολλά από αυτά προέρχονται από έναν χρόνο, έναν τόπο και έναν κλάδο όπου οι κανόνες ήταν διαφορετικοί.
«Λόγω της αύξησης κανονιστικό πλαίσιο συμμόρφωσης σχετικά με την ειδοποίηση και τη συγκατάθεση συλλογής δεδομένων, υπάρχουν μεσίτες δεδομένων που έχουν τεράστια υποσύνολα των δεδομένων τους που δεν είναι «καθαρά» και δεν μπορούν να κάνουν επαναλήψεις και εγγυήσεις σχετικά με αυτό σε τρίτα μέρη που θέλουν να αξιοποιήσουν αυτά τα δεδομένα», λέει ο Sean Buckley, δικηγόρος με τη δικηγορική εταιρεία Dykema που ειδικεύεται σε θέματα απορρήτου δεδομένων. «Ο κίνδυνος για τον μεσίτη δεδομένων βασίζεται στο αν τα δεδομένα τους είναι «καθαρά» και αν μπορούν να το αποδείξουν εάν είναι απαραίτητο».
ClearData CISO Ο Chris Bowen υποστηρίζει ότι η παρακολούθηση δεδομένων είναι κρίσιμης σημασίας όταν ασχολούμαστε με αγορασμένα αρχεία, αλλά μπορεί επίσης να αποδειχθεί αρκετά δύσκολη —ακόμη και αδύνατη— εάν ο οργανισμός δεν την επισήμανε επαρκώς από την αρχή.
«Πρέπει να παρακολουθείτε στενά πού ζουν τα δεδομένα και πού ρέουν», λέει ο Bowen. «Πρέπει να επισημάνετε την πηγή κάθε πεδίου στη βάση δεδομένων. Χρειάζεστε συνεπείς συνδέσμους μέσω petabyte δεδομένων, δομημένων και μη».
Τα περισσότερα στελέχη ασφαλείας δεν αισθάνονται άνετα με αυτήν την προσέγγιση επειδή η ανάλυση ροής δεδομένων είναι εκτός της συνήθους αρμοδιότητάς τους, προσθέτει.
«Πού ρέουν [δεδομένα] και πώς διανέμονται και πώς αρχειοθετούνται και καταστρέφονται, αυτό είναι συνήθως περισσότερο στην αρμοδιότητα του γραφείου απορρήτου», λέει ο Bowen. «Πρέπει να προστατεύετε και να παρακολουθείτε τα δεδομένα σε κάθε στοιχείο του κύκλου ζωής τους».
Σημαντικά, ο Bowen τονίζει ότι μόλις δημιουργηθούν νέα σύνολα δεδομένων πάνω από τις πληροφορίες του μεσίτη δεδομένων, «είναι σχεδόν αδύνατο να αποσυνδεθούν αυτά τα δεδομένα. Θα χρειαζόταν μια πράξη τεχνητής νοημοσύνης για να αποσυνδεθεί και να ξετυλιχτεί όλα αυτά».
Βάζοντας το AI σε λειτουργία
Αυτό το σημείο AI είναι ακριβώς εκεί που ορισμένοι άλλοι ειδικοί δεδομένων βλέπουν να κατευθύνεται αυτό το επιχείρημα. Προβλέπουν μεγάλα γλωσσικά μοντέλα (LLM), όπως το ChatGPT, θα μπορεί να παρακολουθεί τα δεδομένα μέσω απεριόριστων προσπαθειών ανάλυσης. Σε δύο έως πέντε χρόνια, η προσέγγιση LLM μπορεί να είναι αρκετά αποτελεσματική ώστε οι ρυθμιστικές αρχές να βασίζονται σε αυτήν.
«Οι εταιρείες σήμερα χρησιμοποιούν [τη δυσκολία παρακολούθησης δεδομένων] ως δικαιολογία για να μην προσκομίσουν τα αποδεικτικά στοιχεία. Με την εμφάνιση των μοντέλων μηχανικής μάθησης, αυτό δεν ισχύει πλέον», λέει ο Brad Smith, διευθύνων σύμβουλος στην εταιρεία συμβούλων Edgile.
Η λεπτομερής παρακολούθηση των δεδομένων σε όλη τη διάρκεια του κύκλου ζωής τους είναι το κλειδί για την επίλυση του προβλήματος του μεσίτη δεδομένων, λέει.
«Όταν αντλείτε δεδομένα από έναν εξωτερικό οργανισμό, θα υπάρχει πάντα κάποιο επίπεδο ευθύνης. Η λύση είναι η διατήρηση της γενεαλογίας δεδομένων. Γενικά, όταν μετακινείτε πληροφορίες, μεταφέρετε ή αντιγράφετε, ή όταν τα δεδομένα μεταμορφώνονται με κάποιο τρόπο από το ένα σύστημα στο άλλο, αυτή η γενεαλογία σπάει», λέει ο Smith. «Με το μοντέλο της μεγάλης γλώσσας, κάθε κομμάτι δεδομένων υπάρχει στην αρχική του κατάσταση. Αυτές οι χαρτογραφήσεις υπάρχουν στο νευρωνικό δίκτυο που έχουν δημιουργήσει».
Το σύννεφο παίζει επίσης κρίσιμο ρόλο εδώ, προσθέτει.
«Το μόνο πράγμα που πρέπει να κάνουν είναι να μετακινήσουν τα δεδομένα τους σε μια υποδομή υπερκλίμακας», λέει ο Smith. "Όταν οι ρυθμιστικές αρχές το αντιληφθούν και η [επιχείρηση] δεν έχει επενδύσει επαρκώς στο Azure ή στο AWS, θα ρωτήσουν, "Γιατί δεν μετακομίσατε σε αυτήν την πλατφόρμα;"
Αποφυγή αλλοιωμένων δεδομένων
Βασικά, ορισμένοι πιστεύουν ότι οι επιχειρήσεις αγοράζουν δεδομένα τρίτων από μεσίτες δεδομένων πολύ γρήγορα και ότι θα πρέπει πρώτα να εξετάσουν σοβαρά τα δεδομένα που έχουν ήδη ή μπορούν να συλλέξουν άμεσα.
«Υπάρχει μια ανοιχτή παραδοχή ότι η ποιότητα των δεδομένων τρίτων δεν είναι καλή και ότι συλλέγονται με αρκετά αμφίβολο τρόπο. Ο ορισμός της συγκατάθεσής τους είναι ανώμαλος. Συνολικά, ο τρόπος με τον οποίο οι μεσίτες δεδομένων λαμβάνουν τα δεδομένα τους ανταποκρίνεται στους παγκόσμιους νόμους περί απορρήτου», λέει η Stephanie Liu, αναλύτρια απορρήτου της Forrester.
«Είναι συγκλονιστικό το πόσο γρήγορα κανονικοποιήσαμε τη συγκέντρωση δεδομένων που, μόλις πριν από λίγα χρόνια, θα θεωρούνταν κατάφωρη παραβίαση της ιδιωτικής ζωής», προσθέτει ο Rex Booth, ο CISO για το SailPoint. «Τώρα η μόνη οριοθέτηση του σωστού και του λάθους σχετικά με τους μεσίτες είναι αν παραβίασαν τους νόμους κατά τη συλλογή των δεδομένων τους».
Όταν υπολογίζουν την πρόκληση του διαμεσολαβητή δεδομένων, οι CISO πρέπει να συνυπολογίσουν πώς χρησιμοποιούνται τα δεδομένα τώρα και πώς πιθανότατα θα χρησιμοποιηθούν σε ένα χρόνο», λέει. «Χρησιμοποιείται για τη λήψη αποφάσεων σχετικά με το ποιος παίρνει δάνειο ή διαμέρισμα; Είναι τα δεδομένα που προκύπτουν ορατά στους πελάτες ή είναι εντελώς εσωτερικά, όπως δεδομένα που βοηθούν τις πωλήσεις να γνωρίζουν με ποιον να επικοινωνήσουν;
Ο Saugat Sindhu, ανώτερος συνεργάτης που ηγείται της στρατηγικής και της πρακτικής κινδύνου στη συμβουλευτική εταιρεία Wipro, λέει ότι σχεδόν όλοι οι μεσίτες δεδομένων παρέχουν παραδοτέα με ανώνυμο τρόπο, αλλά συχνά δεν μένει έτσι. «Μπορείς εύκολα να αποανωνυμίσεις μια ταυτότητα», λέει.
Σε ορισμένες περιπτώσεις, λέει ο Sindhu, η λύση συμμόρφωσης μπορεί να υπερβαίνει τη διαγραφή δεδομένων στην αξιολόγηση των εσόδων που δημιουργούνται από τα ακατάλληλα δημιουργημένα δεδομένα: «Δεν κάνατε τίποτα λάθος εν γνώσει σας, αλλά παρόλα αυτά αποκομίσατε κέρδη από αυτό και αυτό μπορεί να δημιουργήσει ένα δίκαιο εμπόριο θέμα», λέει. "Στο τέλος της ημέρας, τα αλλοιωμένα δεδομένα είναι αλλοιωμένα δεδομένα."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/edge-articles/how-cisos-can-reduce-the-danger-of-using-data-brokers