Andmemaakleritelt andmebaaside ostmine võib ettevõtte turbejuhtidele probleeme tekitada. Kuigi on olemas tööriistu failide skannimiseks pahavara suhtes, puudub automaatne viis, kuidas veenduda, et andmebaasis sisalduvad andmed on täpsed ja, mis veelgi olulisem, on saadud nõuetekohase nõusolekuga. Ilma selle tagatiseta võivad need failid ohustada ettevõtte turvanõuete järgimist ja avada ettevõtte isegi kohtuvaidlustele.
Consider this scenario: Business unit leaders perform an exhaustive due diligence effort before purchasing databases from a data broker. The data has been widely distributed within the organization’s global systems. Six months later, law enforcement authorities move against the data broker and report that all of its data was improperly obtained. The organization now has a compliance nightmare on its hands.
Organisatsioon võib soovida kõik need andmed eeskirjade järgimiseks kustutada. Kui aga meeskond ei märgistanud andmeid, kui need algselt süsteemi laaditi, on nende jälgimine ja eemaldamine keeruline. Isegi kui andmeid oleks edukalt jälgitud, oleksid need petabaitide muude andmetega nii läbi põimunud, et neid pole enam võimalik välja võtta.
Lisaks võivad mõned regulaatorid kohaldada õiguslikku mõistet "mürgise puu vili". Seda doktriini kasutatakse tavaliselt siis, kui õiguskaitse süüdistatakse ei saanud korralikult läbiotsimismäärust. Kui kohtunik leiab, et nad käitusid tõepoolest valesti, ei välistaks puuviljadoktriin mitte ainult läbiotsimise käigus leitud tõendid, vaid ka kõik, mis leiti läbiotsimisel leitu tulemusel.
Andmete puhul võib range reguleerija nõuda, et ettevõte ei peaks kustutama mitte ainult andmemaakleri teabe, vaid ka kogu teabe, mis tulenes nende andmete töötlemisest. Teisisõnu, võib-olla tuleb kustutada ka nende andmete põhjal tehtud analüüs.
Andmete jälgimine nende voogudes
Another major complicating factor with data compliance is that the folders of information that come from data brokers often reflect work done over many years. That means much of it stems from a time, a place, and a vertical where the rules were different.
„Tänu suurenemisele regulatiivse vastavuse raamistik regarding data collection notice and consent, there are data brokers that have huge subsets of their data that is not ‘clean’ and they cannot make reps and warranties about it to third parties that want to leverage that data,” says Sean Buckley, an attorney with law firm Dykema who specializes in data privacy issues. “The risk to the data broker circles back to whether their data is ‘clean’ and whether they can prove it if necessary.”
ClearData CISO Chris Bowen argues that data tracking is critical when dealing with purchased files, but it can also prove quite difficult — even impossible — if the organization didn’t tag it sufficiently from the beginning.
"Peate hoolikalt jälgima, kus andmed elavad ja kuhu need voolavad, " ütleb Bowen. "Peate andmebaasis iga välja allika märgistama. Teil on vaja järjekindlaid linke petabaitide arvu struktureeritud ja struktureerimata andmete kaudu.
Most security executives are not comfortable with this approach because dataflow analysis is outside of their usual remit, he adds.
“Where [data] flows and how it’s distributed and how it is archived and destroyed, that’s usually more the purview of the privacy office,” Bowen says. “You need to protect and track the data through every element of its life cycle.”
Bowen rõhutab kriitiliselt, et kui andmemaakleri teabele on üles ehitatud uued andmekogumid, on neid andmeid peaaegu võimatu lahti siduda. Selle kõige lahtiühendamiseks ja lahtivõtmiseks oleks vaja teha tehisintellekti.
AI tööle panemine
See AI-punkt on täpselt see, kus mõned teised andmespetsialistid näevad selle argumendi juhitavat. Nad näevad ette large language models (LLMs), such as ChatGPT, will be able to track the data through unlimited analytics efforts. In two to five years, the LLM approach may be effective enough for regulators to rely on it.
“Companies today use [the difficulty of data tracking] as an excuse to not produce the evidence. With the advent of machine learning models, that is no longer the case,” says Brad Smith, a managing director at consulting firm Edgile.
Detailed tracking of the data throughout its life cycle is key to solving the data broker problem, he says.
"Kui hankite andmeid välisest organisatsioonist, on alati teatud vastutus. Lahendus on andmeliini säilitamine. Üldiselt, kui liigutate teavet, edastate või kopeerite või kui andmed mingil moel ühest süsteemist teise liiguvad, siis see sugupuu katkeb, "ütleb Smith. "Suure keelemudeliga on kõik andmed olemas oma algses olekus. Need kaardistused eksisteerivad nende loodud närvivõrgus.
The cloud also plays a critical role here, he adds.
“The only thing that they have to do is move their data into a hyperscale infrastructure,” Smith says. “When regulators become aware of this and the [enterprise] hasn’t sufficiently invested in Azure or AWS, they’ll ask, ‘Why haven’t you moved to that platform?'”
Rikutud andmete vältimine
Põhimõtteliselt usuvad mõned, et ettevõtted ostavad kolmanda osapoole andmed andmemaakleritelt too quickly and that they should first do serious examination of the data they already have or can collect directly.
"On avalikult tunnistatud, et kolmandate osapoolte andmete kvaliteet ei ole hea ja et neid kogutakse üsna kahtlasel viisil. Nende nõusoleku määratlus on täpiline. Üldiselt on see, kuidas andmemaaklerid oma andmeid saavad, ülemaailmsete privaatsusseaduste taustal,” ütleb Forresteri privaatsusanalüütik Stephanie Liu.
“It’s shocking how quickly we’ve normalized the aggregation of data that, just a few years ago, would have been considered an egregious intrusion of privacy,” adds Rex Booth, the CISO for SailPoint. “Now the only delineation of right and wrong regarding brokers is whether they broke laws in gathering their data.”
When figuring out the data broker challenge, CISOs must factor in how the data is being used now and how it will likely be used in a year,” he says. “Is it being used to make decisions about who gets a loan or an apartment? Is the resultant data visible to customers, or is it entirely internal, such as data to help sales know who to contact?
Saugat Sindhu, vanempartner, kes juhib konsultatsioonifirma Wipro strateegiat ja riskipraktikat, ütleb, et peaaegu kõik andmemaaklerid pakuvad tulemusi anonüümselt, kuid sageli see nii ei jää. "Saate identiteedi kergesti deanonüümseks muuta," ütleb ta.
In some cases, Sindhu says, the compliance remedy may go beyond data deletion to assessing revenue generated by the improperly created data: “You didn’t do anything wrong knowingly, but you still made profits off of it and that may raise a fair trade issue,” he says. “At the end of the day, tainted data is tainted data.”
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/edge-articles/how-cisos-can-reduce-the-danger-of-using-data-brokers