Mua cơ sở dữ liệu từ các nhà môi giới dữ liệu có thể gây ra vấn đề cho giám đốc điều hành bảo mật doanh nghiệp. Mặc dù có các công cụ để quét các tệp để tìm phần mềm độc hại nhưng không có cách tự động nào để đảm bảo rằng dữ liệu trong cơ sở dữ liệu là chính xác và thậm chí quan trọng hơn là được lấy với sự đồng ý thích hợp. Nếu không có sự đảm bảo đó, những tệp đó có thể gây ra mối đe dọa đối với việc tuân thủ bảo mật của doanh nghiệp và thậm chí có thể khiến công ty bị kiện tụng.
Consider this scenario: Business unit leaders perform an exhaustive due diligence effort before purchasing databases from a data broker. The data has been widely distributed within the organization’s global systems. Six months later, law enforcement authorities move against the data broker and report that all of its data was improperly obtained. The organization now has a compliance nightmare on its hands.
Tổ chức có thể muốn xóa tất cả dữ liệu đó để tuân thủ các quy định. Tuy nhiên, nếu nhóm không gắn thẻ dữ liệu khi dữ liệu được tải vào hệ thống lần đầu, sẽ rất khó để theo dõi và xóa dữ liệu đó. Ngay cả khi dữ liệu được theo dõi thành công, nó có thể trở nên đan xen với hàng petabyte dữ liệu khác đến mức không thể trích xuất được nữa.
Ngoài ra, một số cơ quan quản lý có thể áp dụng khái niệm pháp lý về “quả của cây độc”. Học thuyết đó thường được sử dụng khi thực thi pháp luật bị buộc tội không nhận được lệnh khám xét đúng cách. Nếu một thẩm phán thấy rằng họ thực sự đã hành động không đúng, thì học thuyết trái cây sẽ không chỉ loại trừ bất kỳ bằng chứng nào được tìm thấy trong quá trình khám xét mà còn bất kỳ điều gì được tìm thấy do kết quả của những gì được tìm thấy trong quá trình khám xét.
Trong trường hợp dữ liệu, một cơ quan quản lý nghiêm ngặt có thể nhấn mạnh rằng không chỉ một công ty phải xóa thông tin của nhà môi giới dữ liệu mà còn bất kỳ thông tin nào phát sinh từ việc xử lý dữ liệu đó. Nói cách khác, các phân tích được thực hiện trên dữ liệu đó cũng có thể phải bị xóa.
Theo dõi dữ liệu khi nó chảy
Another major complicating factor with data compliance is that the folders of information that come from data brokers often reflect work done over many years. That means much of it stems from a time, a place, and a vertical where the rules were different.
“Do sự gia tăng khuôn khổ tuân thủ quy định regarding data collection notice and consent, there are data brokers that have huge subsets of their data that is not ‘clean’ and they cannot make reps and warranties about it to third parties that want to leverage that data,” says Sean Buckley, an attorney with law firm Dykema who specializes in data privacy issues. “The risk to the data broker circles back to whether their data is ‘clean’ and whether they can prove it if necessary.”
ClearData CISO Chris Bowen argues that data tracking is critical when dealing with purchased files, but it can also prove quite difficult — even impossible — if the organization didn’t tag it sufficiently from the beginning.
Bowen nói: “Bạn cần theo dõi chặt chẽ nơi dữ liệu tồn tại và nơi dữ liệu chảy. “Bạn cần gắn thẻ nguồn của từng trường trong cơ sở dữ liệu. Bạn cần các liên kết nhất quán thông qua hàng petabyte dữ liệu, có cấu trúc và không cấu trúc.”
Most security executives are not comfortable with this approach because dataflow analysis is outside of their usual remit, he adds.
“Where [data] flows and how it’s distributed and how it is archived and destroyed, that’s usually more the purview of the privacy office,” Bowen says. “You need to protect and track the data through every element of its life cycle.”
Một cách nghiêm túc, Bowen nhấn mạnh rằng một khi các bộ dữ liệu mới được xây dựng dựa trên thông tin của nhà môi giới dữ liệu, thì “gần như không thể tách rời dữ liệu đó. Sẽ cần một hành động của AI để tách rời và giải phóng tất cả những thứ đó.”
Đưa AI vào hoạt động
Điểm AI đó chính xác là nơi mà một số chuyên gia dữ liệu khác xem lập luận này. Họ dự đoán large language models (LLMs), such as ChatGPT, will be able to track the data through unlimited analytics efforts. In two to five years, the LLM approach may be effective enough for regulators to rely on it.
“Companies today use [the difficulty of data tracking] as an excuse to not produce the evidence. With the advent of machine learning models, that is no longer the case,” says Brad Smith, a managing director at consulting firm Edgile.
Detailed tracking of the data throughout its life cycle is key to solving the data broker problem, he says.
“Khi bạn lấy dữ liệu từ một tổ chức bên ngoài, sẽ luôn có một số mức độ trách nhiệm pháp lý. Giải pháp là duy trì dòng dữ liệu. Nói chung, khi bạn di chuyển thông tin, truyền hoặc sao chép hoặc dữ liệu bằng cách nào đó biến đổi từ hệ thống này sang hệ thống khác, thì dòng đó bị phá vỡ,” Smith nói. “Với mô hình ngôn ngữ lớn, mọi phần dữ liệu đều tồn tại ở trạng thái ban đầu. Những ánh xạ đó tồn tại trong mạng lưới thần kinh mà họ đã tạo ra.”
The cloud also plays a critical role here, he adds.
“The only thing that they have to do is move their data into a hyperscale infrastructure,” Smith says. “When regulators become aware of this and the [enterprise] hasn’t sufficiently invested in Azure or AWS, they’ll ask, ‘Why haven’t you moved to that platform?'”
Tránh dữ liệu bị nhiễm độc
Về cơ bản, một số người tin rằng các doanh nghiệp mua dữ liệu của bên thứ ba từ các nhà môi giới dữ liệu too quickly and that they should first do serious examination of the data they already have or can collect directly.
“Có một sự thừa nhận công khai rằng chất lượng dữ liệu của bên thứ ba không tốt và dữ liệu đó được thu thập theo một cách khá đáng ngờ. Định nghĩa của họ về sự đồng ý là không chính xác. Nhìn chung, cách các nhà môi giới dữ liệu lấy dữ liệu của họ trái với luật riêng tư toàn cầu,” Stephanie Liu, nhà phân tích quyền riêng tư của Forrester, cho biết.
“It’s shocking how quickly we’ve normalized the aggregation of data that, just a few years ago, would have been considered an egregious intrusion of privacy,” adds Rex Booth, the CISO for SailPoint. “Now the only delineation of right and wrong regarding brokers is whether they broke laws in gathering their data.”
When figuring out the data broker challenge, CISOs must factor in how the data is being used now and how it will likely be used in a year,” he says. “Is it being used to make decisions about who gets a loan or an apartment? Is the resultant data visible to customers, or is it entirely internal, such as data to help sales know who to contact?
Saugat Sindhu, một đối tác cấp cao, người đứng đầu chiến lược và thực hành rủi ro tại công ty tư vấn Wipro, cho biết hầu hết tất cả các nhà môi giới dữ liệu đều cung cấp các sản phẩm phân phối theo kiểu ẩn danh, nhưng nó thường không giữ nguyên như vậy. Ông nói: “Bạn có thể dễ dàng hủy bỏ danh tính của một danh tính.
In some cases, Sindhu says, the compliance remedy may go beyond data deletion to assessing revenue generated by the improperly created data: “You didn’t do anything wrong knowingly, but you still made profits off of it and that may raise a fair trade issue,” he says. “At the end of the day, tainted data is tainted data.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/edge-articles/how-cisos-can-reduce-the-danger-of-using-data-brokers