从数据代理处购买数据库会给企业安全主管带来问题。 虽然有工具可以扫描文件中的恶意软件,但没有自动方法来确保数据库中包含的数据准确无误,更重要的是,这些数据是在获得适当同意的情况下获得的。 如果没有这种保证,这些文件可能会对企业的安全合规性构成威胁,甚至可能使公司面临诉讼。
考虑以下场景:业务部门领导者在从数据经纪人处购买数据库之前会进行详尽的尽职调查。 这些数据已广泛分布在该组织的全球系统中。 六个月后,执法机构对数据经纪人采取行动,并报告称其所有数据均以不当方式获取。 该组织现在面临着合规噩梦。
该组织可能希望删除所有这些数据以符合法规。 但是,如果团队在最初将数据加载到系统时没有标记数据,将很难跟踪和删除它。 即使数据被成功跟踪,它也可能与数 PB 的其他数据交织在一起,以至于无法再提取。
除此之外,一些监管机构可能会套用“毒树之果”的法律概念。 该学说通常在以下情况下使用 执法 被指控 没有正确获得搜查令. 如果法官发现他们确实有不当行为,水果原则不仅会排除在搜查过程中发现的任何证据,还会排除在搜查中发现的任何结果。
就数据而言,严格的监管机构可能会坚持,公司不仅必须删除数据经纪人的信息,而且还必须删除处理该数据所产生的任何信息。 换句话说,对该数据所做的分析也可能必须删除。
跟踪数据流动
数据合规性的另一个主要复杂因素是来自数据代理的信息文件夹通常反映了多年来所做的工作。 这意味着其中很大一部分源于规则不同的时间、地点和垂直领域。
“由于越来越多 监管合规框架 关于数据收集通知和同意,有些数据经纪人拥有大量不‘干净’的数据子集,他们无法向想要利用这些数据的第三方做出相关的陈述和保证,”律师肖恩·巴克利 (Sean Buckley) 说道与专门从事数据隐私问题的 Dykema 律师事务所合作。 “数据经纪人面临的风险又回到了他们的数据是否‘干净’以及他们是否能够在必要时证明这一点。”
清晰数据首席信息安全官 Chris Bowen 认为,数据跟踪在处理购买的文件时至关重要,但如果组织从一开始就没有充分标记它,那么数据跟踪也可能相当困难,甚至不可能。
“你需要密切跟踪数据存在的位置和流动的位置,”Bowen 说。 “你需要标记数据库中每个字段的来源。 您需要通过数 PB 的结构化和非结构化数据建立一致的链接。”
他补充说,大多数安全管理人员对这种方法感到不满意,因为数据流分析超出了他们的通常职权范围。
“[数据]流向何处、如何分发以及如何存档和销毁,这通常更多地属于隐私办公室的职权范围,”鲍文说。 “您需要在数据生命周期的每个要素中保护和跟踪数据。”
至关重要的是,Bowen 强调,一旦新数据集建立在数据代理信息之上,“几乎不可能解耦该数据。 需要人工智能来解耦和解除所有这些。”
让人工智能发挥作用
这个 AI 点正是其他一些数据专家认为这个论点的方向。 他们预计 大语言模型(LLM), 例如 ChatGPT,将能够通过无限的分析工作来跟踪数据。 在两到五年内,法学硕士方法可能足够有效,足以让监管机构依赖它。
“如今的公司以[数据跟踪的困难]为借口,不提供证据。 随着机器学习模型的出现,情况已不再如此。”咨询公司 Edgile 的董事总经理 Brad Smith 说道。
他说,对数据整个生命周期的详细跟踪是解决数据代理问题的关键。
“当您从外部组织获取数据时,总会有一定程度的责任。 解决方案是维护数据沿袭。 一般来说,当你移动信息、传输或复制,或者数据以某种方式从一个系统变形到另一个系统时,这种沿袭就被打破了,”Smith 说。 “有了大语言模型,每条数据都以其原始状态存在。 这些映射存在于他们创建的神经网络中。”
他补充说,云在这里也发挥着关键作用。
“他们唯一要做的就是将数据转移到超大规模基础设施中,”史密斯说。 “当监管机构意识到这一点并且[企业]尚未对 Azure 或 AWS 进行充分投资时,他们会问,‘为什么不迁移到该平台?’”
避免污染数据
从根本上说,一些人认为企业采购 来自数据代理的第三方数据 太快了,他们应该首先认真检查他们已经拥有或可以直接收集的数据。
“人们公开承认第三方数据的质量不佳,并且以非常可疑的方式收集。 他们对同意的定义参差不齐。 总的来说,数据经纪人获取数据的方式违反了全球隐私法,”Forrester 隐私分析师斯蒂芬妮·刘 (Stephanie Liu) 说。
SailPoint 首席信息安全官 Rex Booth 补充道:“令人震惊的是,我们如此之快地将数据聚合标准化,而就在几年前,这还被认为是对隐私的严重侵犯。” “现在,对经纪人来说,唯一正确和错误的界限就是他们收集数据是否违反法律。”
在解决数据经纪人面临的挑战时,首席信息安全官必须考虑数据现在的使用方式以及一年后可能的使用方式,”他说。 “它是否被用来决定谁获得贷款或公寓? 生成的数据对客户来说是可见的,还是完全是内部的,例如帮助销售人员知道该联系谁的数据?
咨询公司 Wipro 负责战略和风险实践的高级合伙人 Saugat Sindhu 表示,几乎所有数据经纪人都以匿名方式提供可交付成果,但通常不会保持这种方式。 “你可以很容易地去匿名化一个身份,”他说。
Sindhu 表示,在某些情况下,合规补救措施可能不仅仅限于删除数据,还包括评估不当创建的数据所产生的收入:“你并没有故意做错任何事,但你仍然从中获利,这可能会引发公平贸易。”问题,”他说。 “归根结底,受污染的数据就是受污染的数据。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/edge-articles/how-cisos-can-reduce-the-danger-of-using-data-brokers