التفاعلات بين الامتثال لقانون حماية خصوصية المستهلك وحلول الأمان.
بقلم Oren T.Dvoskin ، مدير التسويق العالمي ، Sasa Software
المُقدّمة
تم سن قانون خصوصية المستهلك في كاليفورنيا ، AB 375 ("CCPA") في يونيو 2018 ، وأصبح ساريًا في 20 يناير 2020. يحتمل أن تتجاوز أحكام قانون خصوصية المستهلك في كاليفورنيا اللائحة العامة لحماية البيانات في الاتحاد الأوروبي ("GDPR"). وبناءً على ذلك ، حان الوقت الآن لمراجعة وضمان الامتثال لقانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) ، خاصة بالنسبة لتلك المنظمات التي اعتمدت على الامتثال للقانون العام لحماية البيانات (GDPR) لتجنب العقوبات التنظيمية.
على الرغم من أن البنية التحتية الأمنية القوية أمر حيوي لمتطلبات CCPA الإضافية ، إلا إذا تمت مراقبتها بعناية ، فقد تظل مصدرًا لفقدان البيانات. في هذه المقالة ، نناقش كيف يمكن أن يساعد Content Disarm and Reconstruction (“CDR”) في الامتثال التنظيمي والحماية الفعالة ضد فقدان البيانات والعواقب السلبية الإضافية.
معًا ، يمكن أن يؤدي تنفيذ التدابير للوفاء بهذه المعايير التنظيمية ، بالإضافة إلى اتخاذ جميع الخطوات لضمان سرية البيانات الحساسة وسلامتها وإمكانية الوصول إليها ، إلى إحداث فرق بين قائد الصناعة والمنافس الذي يحاول دائمًا اللحاق بالركب.
تلبية CCPA
لطالما عُرفت كاليفورنيا بأنها دولة تقدمية لحماية حقوق المستهلك والخصوصية الفردية. في حين أن هذا كان مفيدًا من نواح كثيرة لسكانها ، فقد فتحت القوانين واللوائح الجديدة أيضًا فرصة لمقاضي الإجراءات الخاصة لتحدي الشركات لعدم الامتثال. يجب على الشركات تكثيف جهودها لحماية نفسها ، لا سيما بالنظر إلى الغرامات الكبيرة التي يمكن فرضها على الانتهاكات. يفرض القانون غرامة تصل إلى 7,500 دولار لكل خرق سجل، ويمكن أن تتزايد العقوبات بشكل كبير بمرور الوقت مع الحوادث المتراكمة. ما وراء حماية البيانات ، يهدف CCPA إلى توفير الشفافية لكيفية استخدام المعلومات والتأكد من الاحتفاظ بالبيانات المحفوظة بشكل آمن ، وكذلك سهولة الوصول إليها.
تأثير CCPA على الخصوصية ومدى الوصول
تتطلب لوائح قانون حماية خصوصية المستهلك CCPA من الشركات توفير شفافية واسعة في كيفية جمعها ومشاركتها واستخدامها البيانات الشخصية وبيانات المستهلك التي تم جمعها بدءًا من يناير 2020 ؛ و عمل لعمل (B2B) يتم تغطية البيانات اعتبارًا من عام 2021. سيكون للمستهلكين الحق في الوصول إلى البيانات الشخصية التي تم جمعها خلال الاثني عشر شهرًا الماضية ، مصنفة بين بيعها ونقلها ، لتمكينهم من فهم كيفية مشاركة مجموعات الشركات للمعلومات لبناء ملفات تعريف السلوك والمواقف والتنبؤ. يجب تقديم طلبات البيانات إلى المستهلكين في الوقت المناسب وبصيغة تصدير سهلة الاستخدام. ستضطر الشركات إلى بناء البنية التحتية للوفاء بهذه التفويضات. ستكون الشركات ملزمة أيضًا بتقديم خيارات إلغاء الاشتراك لتقييد بيع بيانات المستهلك أو مشاركتها مع أطراف ثالثة. يجب أن يتم عرض روابط إلغاء الاشتراك بشكل بارز على مواقع الويب الخاصة بهم. في ظل ظروف معينة ، يمكن للمستهلكين المطالبة بحذف البيانات الشخصية من مخازن بيانات الشركة.
بينما يتم وصف قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) باعتباره إجمالي الناتج المحلي لولاية كاليفورنيا - إنه لا يقتصر فقط على سكان كاليفورنيا ، نظرًا لأنه يغطي تقريبًا جميع المؤسسات والشركات العاملة خارج كاليفورنيا. مع عمالقة التكنولوجيا مثل Facebook و LinkedIn و Google و Apple الموجودة في جميع أنحاء كاليفورنيا ، من المحتمل أن يكون تأثير CCPA عالميًا. قد يكون للشركات التي استثمرت بالفعل لدعم الناتج المحلي الإجمالي السبق. في حين أن هناك بعض التداخل بين القانون العام لحماية البيانات وقانون حماية خصوصية المستهلك ، إلا أن العديد من السياسات والعمليات والأنظمة ستظل بحاجة إلى التحديث لمعالجة الاختلافات بين القانونين ؛ من بين أهم هذه المتطلبات ضرورة الوصول العام الشفاف إلى جميع السجلات الشخصية التي تخزنها الشركات ، بما في ذلك القائمة الكاملة لجميع الأطراف الثالثة التي تمت مشاركة المعلومات معها. لدى الشركات نافذة زمنية مدتها 30 يومًا لمعالجة الانتهاكات المبلغ عنها من قبل المنظمين أو الأفراد.
التأثير الأمني
تعد البنية التحتية السليمة لأمن تكنولوجيا المعلومات أساس منع تسرب البيانات وأيضًا أساس تقليل التعرض لانتهاكات قانون حماية خصوصية المستهلك. ومع ذلك ، يجب ألا تكون أنظمة الأمان نفسها مصدرًا لتسرب البيانات ، ولا ينبغي أن تكون عرضة لطرف ثالث تتم مشاركة معلومات الخصوصية معه. مع الاعتماد الهائل لخدمات الأمان المستندة إلى السحابة ، أصبح تطبيق هذا المطلب صعبًا بشكل متزايد.
وفقًا لتقرير التحقيق في خرق بيانات Verizon (ديبير) ، المستندات المُسلَّحة هي ناقل رئيسي للهجوم على المنظمات مما يؤدي إلى فقدان البيانات المتعلقة بالقرصنة. على سبيل المثال ، في منتصف ديسمبر 2019 ، أصدرت القيادة الإلكترونية الإسرائيلية تحذيرًا بعد عشرات الحوادث التي تم فيها العثور على مستندات حساسة على العديد من منصات تحليل البرامج الضارة القائمة على السحابة. تم تحميل الملفات بشكل ثابت بواسطة الحلول الأمنية التي تنشرها المنظمات ، وكذلك بواسطة محللي الأمن الراغبين في الاستعلام عن ملفات معينة. يعد الفحص الدقيق ، لا سيما الهجمات المستندة إلى الملفات غير القابلة للكشف ، ضرورة للتغلب على نقاط الضعف هذه.
أدخل محتوى نزع السلاح وإعادة الإعمار (CDR)
تعد Content Disarm and Reconstruction (CDR) تقنية فعالة لمنع الهجمات القائمة على الملفات التي لا يمكن اكتشافها لأنها تحول كل المحتوى الوارد إلى نسخة غير ضارة يمكن استخدامها بأمان. كما راجعت Gartner في تقنياتها الأخيرة Hype Cycle for Threat Facing ، "يحمي CDR من عمليات الاستغلال والمحتوى المُسلح الذي لم يتم رؤيته من قبل". كانت قوات الدفاع الإسرائيلية ووكالات الاستخبارات والبنى التحتية الحيوية من أوائل من تبنوا مجلس الإنماء والإعمار ، مما جعلها أفضل ممارسة أمنية أساسية.
Sasa Software ، المملوكة من قبل Kibbutz Sasa في إسرائيل ، أثبتت نفسها كرائدة لهذه التكنولوجيا ، مما ساعد على توسيعها من الاستخدام الحكومي إلى التطبيقات التجارية. تجمع GateScanner CDR من Sasa Software بين الماسحات الضوئية المتعددة والمُحسّنة للغاية ، جنبًا إلى جنب مع اكتشاف NextGen ، لمنع الهجمات الضارة المعروفة والمتقدمة. تم دمج هذه الأساليب مع إعادة بناء الملفات الخاصة لمنع الهجمات غير القابلة للكشف ، بما في ذلك Zero Day Exploits و Ransomware ، مع زيادة الأمان وسهولة استخدام الملفات الناتجة. تحمي هذه التقنية حالات الاستخدام المكثفة بما في ذلك الوسائط المحمولة (USB) والبريد الإلكتروني وتحميل المستندات وتنزيلات المتصفح وتجزئة الشبكة والمزيد. يمكن نشر الحل كخدمة (SaaS) وكذلك لحماية شبكات OT و ICS.
تم تصميم GateScanner في البداية لحماية الشبكات المعطلة ، لذلك تم بناؤها دون الحاجة إلى الوصول إلى الإنترنت أو الاتصال السحابي لجهة خارجية. تتم جميع العمليات في جهاز فعلي أو افتراضي آمن للغاية يتم فصله أثناء معالجة الملفات. من خلال التصميم الذي يعتمد على إجراءات الأمان والخصوصية الصارمة ، يعود الحل أيضًا إلى "الحالة الصفرية" الآمنة بعد كل مسح ، ولا يخزن أبدًا نسخًا من المعلومات التي تمت معالجتها. يمكن أن يساعد GateScanner أيضًا في منع تسرب المعلومات حيث يمكن تطبيق العملية في وضع "DLP" ، ومسح الملفات الصادرة وفرض سياسات الخصوصية.
وفي الختام
يتطلب التحضير لـ CCPA بروتوكولات مخصصة للشفافية ، فضلاً عن الاختيار الدقيق للبنى التحتية للأمن السيبراني. يجب تطبيق التدقيق عند تحديد فعالية الأمان الذي توفره الحلول ، وكيفية معالجتها لقضايا الخصوصية التي تتطلبها CCPA. تعد المستندات والملفات أمرًا حيويًا لعمل كل مؤسسة ، ومع ذلك فهي مصدر قلق رئيسي باعتبارها ثغرة أمنية ، فضلاً عن كونها مصدرًا محتملاً لفقدان الخصوصية. Sasa Software هي شركة رائدة عالميًا في CDR وتدمج إجراءات الأمان والخصوصية الفعالة في حماية المؤسسات من الهجمات المتقدمة وتحقيق الامتثال للخصوصية.
عن المؤلف
Oren T. Dvoskin هو مدير التسويق العالمي لبرامج Sasa ، ولديه أكثر من 10 سنوات من تطوير الأعمال والمبيعات وخبرة ريادة الأعمال. قبل شركة Sasa Software ، كان أورين مدير تطوير الأعمال في شركة BeatMed Inc. ، وهي سوق إلكتروني رائد للرعاية الصحية. قبل BeatMed ، شغل أورين مناصب قيادية في صناعة الأجهزة الطبية والرعاية الصحية. وقد سبقت خبرته التجارية مسيرة مهنية واسعة في البحث والتطوير ، بما في ذلك مناصب إدارية في سلاح الجو الإسرائيلي. السيد دفوسكين حاصل على ماجستير في إدارة الأعمال من التخنيون ، المعهد الإسرائيلي للتكنولوجيا ودرجة البكالوريوس في علوم الكمبيوتر من المركز متعدد التخصصات ، هرتسليا.
إنه دراج متحمس وناشط اجتماعي ، بعد أن مثل إسرائيل في الصيف Deaflympics.
يمكن الوصول إلى أورين في orend@sasa-software.com, لينكدان: linkin.com/in/ordvoskin
او على موقع الشركة: www.sasa-software.com
المصدر: https://www.cyberdefensemagazine.com/gdpr-stand-aside-meet-ccpa/
