Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Làm thế nào CISO có thể giảm nguy cơ sử dụng các nhà môi giới dữ liệu

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 94

Mua cơ sở dữ liệu từ các nhà môi giới dữ liệu có thể gây ra vấn đề cho giám đốc điều hành bảo mật doanh nghiệp. Mặc dù có các công cụ để quét các tệp để tìm phần mềm độc hại nhưng không có cách tự động nào để đảm bảo rằng dữ liệu trong cơ sở dữ liệu là chính xác và thậm chí quan trọng hơn là được lấy với sự đồng ý thích hợp. Nếu không có sự đảm bảo đó, những tệp đó có thể gây ra mối đe dọa đối với việc tuân thủ bảo mật của doanh nghiệp và thậm chí có thể khiến công ty bị kiện tụng.

Hãy xem xét tình huống này: Các nhà lãnh đạo đơn vị kinh doanh đã thực hiện một nỗ lực thẩm định toàn diện trước khi mua cơ sở dữ liệu từ một nhà môi giới dữ liệu. Dữ liệu đã được phân phối rộng rãi trong các hệ thống toàn cầu của tổ chức. Sáu tháng sau, các cơ quan thực thi pháp luật có hành động chống lại nhà môi giới dữ liệu và báo cáo rằng tất cả dữ liệu của họ đã được thu thập một cách bất hợp pháp. Tổ chức hiện có một cơn ác mộng tuân thủ trong tay.

Tổ chức có thể muốn xóa tất cả dữ liệu đó để tuân thủ các quy định. Tuy nhiên, nếu nhóm không gắn thẻ dữ liệu khi dữ liệu được tải vào hệ thống lần đầu, sẽ rất khó để theo dõi và xóa dữ liệu đó. Ngay cả khi dữ liệu được theo dõi thành công, nó có thể trở nên đan xen với hàng petabyte dữ liệu khác đến mức không thể trích xuất được nữa.

Ngoài ra, một số cơ quan quản lý có thể áp dụng khái niệm pháp lý về “quả của cây độc”. Học thuyết đó thường được sử dụng khi thực thi pháp luật bị buộc tội không nhận được lệnh khám xét đúng cách. Nếu một thẩm phán thấy rằng họ thực sự đã hành động không đúng, thì học thuyết trái cây sẽ không chỉ loại trừ bất kỳ bằng chứng nào được tìm thấy trong quá trình khám xét mà còn bất kỳ điều gì được tìm thấy do kết quả của những gì được tìm thấy trong quá trình khám xét.

Trong trường hợp dữ liệu, một cơ quan quản lý nghiêm ngặt có thể nhấn mạnh rằng không chỉ một công ty phải xóa thông tin của nhà môi giới dữ liệu mà còn bất kỳ thông tin nào phát sinh từ việc xử lý dữ liệu đó. Nói cách khác, các phân tích được thực hiện trên dữ liệu đó cũng có thể phải bị xóa.

Theo dõi dữ liệu khi nó chảy

Một yếu tố phức tạp chính khác đối với việc tuân thủ dữ liệu là các thư mục thông tin đến từ các nhà môi giới dữ liệu thường phản ánh công việc được thực hiện trong nhiều năm. Điều đó có nghĩa là phần lớn nó bắt nguồn từ thời gian, địa điểm và chiều dọc nơi các quy tắc khác nhau.

“Do sự gia tăng khuôn khổ tuân thủ quy định liên quan đến thông báo thu thập dữ liệu và sự đồng ý, có những nhà môi giới dữ liệu có tập hợp con lớn dữ liệu của họ không 'sạch' và họ không thể đưa ra đại diện và bảo đảm về điều đó cho các bên thứ ba muốn tận dụng dữ liệu đó,” Sean Buckley, luật sư cho biết với công ty luật Dykema chuyên về các vấn đề bảo mật dữ liệu. “Rủi ro đối với nhà môi giới dữ liệu xoay quanh việc liệu dữ liệu của họ có 'sạch' hay không và liệu họ có thể chứng minh điều đó nếu cần hay không."

Chris Bowen, CISO tại ClearData, lập luận rằng việc theo dõi dữ liệu là rất quan trọng khi xử lý các tệp đã mua, nhưng nó cũng có thể khá khó khăn — thậm chí là không thể — nếu tổ chức không gắn thẻ đầy đủ ngay từ đầu.

Bowen nói: “Bạn cần theo dõi chặt chẽ nơi dữ liệu tồn tại và nơi dữ liệu chảy. “Bạn cần gắn thẻ nguồn của từng trường trong cơ sở dữ liệu. Bạn cần các liên kết nhất quán thông qua hàng petabyte dữ liệu, có cấu trúc và không cấu trúc.”

Bowen cho biết thêm rằng hầu hết các giám đốc điều hành bảo mật không cảm thấy thoải mái với phương pháp này vì việc phân tích luồng dữ liệu nằm ngoài nhiệm vụ thông thường của họ. “Dữ liệu (dữ liệu) chảy ở đâu và nó được phân phối như thế nào cũng như cách nó được lưu trữ và hủy, đó thường là phạm vi hoạt động của văn phòng quyền riêng tư,” ông nói. “Bạn cần bảo vệ và theo dõi dữ liệu thông qua mọi yếu tố trong vòng đời của nó.”

Một cách nghiêm túc, Bowen nhấn mạnh rằng một khi các bộ dữ liệu mới được xây dựng dựa trên thông tin của nhà môi giới dữ liệu, thì “gần như không thể tách rời dữ liệu đó. Sẽ cần một hành động của AI để tách rời và giải phóng tất cả những thứ đó.”

Đưa AI vào hoạt động

Điểm AI đó chính xác là nơi mà một số chuyên gia dữ liệu khác xem lập luận này. Họ dự đoán mô hình ngôn ngữ lớn (LLM) chẳng hạn như ChatGPT sẽ có thể theo dõi dữ liệu thông qua nỗ lực phân tích không giới hạn. Trong 2-5 năm tới, phương pháp LLM có thể đủ hiệu quả để các cơ quan quản lý dựa vào.

“Các công ty ngày nay sử dụng (khó khăn trong việc theo dõi dữ liệu) như một cái cớ để không đưa ra bằng chứng. Với sự ra đời của các mô hình học máy, điều đó không còn đúng nữa,” Brad Smith, giám đốc điều hành của công ty tư vấn Edgile cho biết.

Smith nói rằng việc theo dõi chi tiết dữ liệu trong suốt vòng đời của nó là chìa khóa để giải quyết vấn đề môi giới dữ liệu.

“Khi bạn lấy dữ liệu từ một tổ chức bên ngoài, sẽ luôn có một số mức độ trách nhiệm pháp lý. Giải pháp là duy trì dòng dữ liệu. Nói chung, khi bạn di chuyển thông tin, truyền hoặc sao chép hoặc dữ liệu bằng cách nào đó biến đổi từ hệ thống này sang hệ thống khác, thì dòng đó bị phá vỡ,” Smith nói. “Với mô hình ngôn ngữ lớn, mọi phần dữ liệu đều tồn tại ở trạng thái ban đầu. Những ánh xạ đó tồn tại trong mạng lưới thần kinh mà họ đã tạo ra.”

Ông nói thêm rằng đám mây cũng đóng một vai trò quan trọng ở đây. “Điều duy nhất họ phải làm là di chuyển dữ liệu của mình vào một cơ sở hạ tầng siêu quy mô. Khi các cơ quan quản lý nhận thức được điều này và (doanh nghiệp) chưa đầu tư đủ vào Azure hoặc AWS, họ sẽ hỏi 'Tại sao bạn chưa chuyển sang nền tảng đó?'”

Tránh dữ liệu bị nhiễm độc

Về cơ bản, một số người tin rằng các doanh nghiệp mua dữ liệu của bên thứ ba từ các nhà môi giới dữ liệu quá nhanh và trước tiên họ nên kiểm tra nghiêm túc dữ liệu họ đã có hoặc có thể thu thập trực tiếp.

“Có một sự thừa nhận công khai rằng chất lượng dữ liệu của bên thứ ba không tốt và dữ liệu đó được thu thập theo một cách khá đáng ngờ. Định nghĩa của họ về sự đồng ý là không chính xác. Nhìn chung, cách các nhà môi giới dữ liệu lấy dữ liệu của họ trái với luật riêng tư toàn cầu,” Stephanie Liu, nhà phân tích quyền riêng tư của Forrester, cho biết.

Rex Booth, CISO của SailPoint cho biết: “Thật ngạc nhiên khi chúng tôi đã bình thường hóa quá trình tổng hợp dữ liệu một cách nhanh chóng mà chỉ vài năm trước đây đã bị coi là một hành vi xâm phạm quyền riêng tư nghiêm trọng. “Giờ đây, ranh giới duy nhất giữa đúng và sai đối với các nhà môi giới là liệu họ có vi phạm pháp luật trong việc thu thập dữ liệu hay không.”

Khi tìm ra thách thức của nhà môi giới dữ liệu, CISO phải tính đến cách dữ liệu hiện đang được sử dụng và cách dữ liệu có thể sẽ được sử dụng trong một năm. Nó có được sử dụng để đưa ra quyết định về việc ai được vay tiền hoặc mua căn hộ không? Dữ liệu kết quả có hiển thị cho khách hàng hay hoàn toàn là dữ liệu nội bộ, chẳng hạn như dữ liệu giúp bộ phận bán hàng biết cần liên hệ với ai?

Saugat Sindhu, một đối tác cấp cao, người đứng đầu chiến lược và thực hành rủi ro tại công ty tư vấn Wipro, cho biết hầu hết tất cả các nhà môi giới dữ liệu đều cung cấp các sản phẩm phân phối theo kiểu ẩn danh, nhưng nó thường không giữ nguyên như vậy. Ông nói: “Bạn có thể dễ dàng hủy bỏ danh tính của một danh tính.

Trong một số trường hợp, Sindhu nói, biện pháp khắc phục tuân thủ có thể vượt ra ngoài việc xóa dữ liệu để đánh giá doanh thu do dữ liệu được tạo không đúng cách: “Bạn không cố ý làm gì sai, nhưng bạn vẫn kiếm được lợi nhuận từ việc đó và điều đó có thể tạo ra một giao dịch công bằng vấn đề. Vào cuối ngày, dữ liệu bị nhiễm độc là dữ liệu bị nhiễm độc.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.