Da über 90% der Unternehmen Daten in der Cloud speichern, müssen Workflows für den Datenaustausch sicher sein. Wenn die nationale Sicherheit gefährdet ist – wie dies bei Organisationen der Fall ist, die sich mit verteidigungs-und militärrelevanten Gegenständen befassen—, gilt dies insbesondere., Die Herausforderung für diese Organisationen besteht seit langem darin, die International Traffic in Arms Regulations (ITAR) einzuhalten und gleichzeitig Daten auszutauschen und effizient und sicher zusammenzuarbeiten.
Glücklicherweise ändert sich die ITAR-Compliance im Jahr 2020 stark. Im vergangenen Dezember (2019) veröffentlichte der Gesetzgeber mit Wirkung zum 23. Im Rahmen dieser Aktualisierung der ITAR können konforme Organisationen End-to-End-verschlüsselte technische ITAR-Daten kommunizieren und sicher mit ausländischen Büros, Partnern oder US-Behörden teilen., regierungsangestellte ohne jedes Mal eine Exportlizenz zu beantragen.
ITAR Compliance Basics
Die ITAR kontrolliert den Export von verteidigungs – und militärrelevanten Gegenständen zur Unterstützung der nationalen sicherheits-und außenpolitischen Ziele der US-Regierung. Insbesondere regelt die ITAR Gegenstände-Artikel, Dienstleistungen und verwandte Technologien—auf der United States Munitions List (USML), einschließlich einfacher militärischer Gegenstände wie Schusswaffen, Munition und Flugzeuge, aber einige weniger offensichtliche Gegenstände wie persönliche Schutzausrüstung (z. B. Hazmat-Anzüge) und IoT-Sensoren.,
Ebenfalls geschützt sind ITAR “ technische Daten—- alle Informationen, einschließlich Blaupausen, Dokumentation, Schaltpläne, Flussdiagramme usw. benötigt für das Design, Entwicklung, Herstellung, Betrieb, Wartung oder Änderung von Elementen auf der USML. Die breite Palette der USML bedeutet, dass die ITAR-Konformität nicht nur für Waffenhändler gilt, sondern für alle Organisationen, die an der Lieferkette für Güter oder Dienstleistungen beteiligt sind, die für Militär-und Verteidigungszwecke verwendet werden könnten.,
Wenn diese technischen Daten über digitale Lieferketten-Workflows hinweg mit Cloud-basierten Diensten wie E-Mail-und Dateisystemen interagieren, befinden sich Unternehmen schnell im Fadenkreuz der ITAR. Eine wichtige Nuance innerhalb der ITAR gibt an, dass technische Daten, auf die Nicht-US-Personen zugreifen können, wenn sie in der Cloud gespeichert und freigegeben werden, einen ITAR-Verstoß darstellen, da sie als Export unter ITAR gelten, es sei denn, die Organisation verfügt über erweiterte Kontrollen oder eine autorisierte Exportlizenz., In der Praxis sind daher Datenresidenz und Personalberechtigungen entscheidende Überlegungen bei der Bewertung cloudbasierter Workflows.
Das Risiko der Nichteinhaltung
Da die Nichteinhaltung von ITAR zu einigen der wichtigsten Konsequenzen aller Datenvorschriften führt, ist es nicht leicht zu nehmen und läuft auf eines hinaus: Verhindern, dass Nicht-US-Personen auf technische ITAR-Daten in der Cloud zugreifen., Wenn festgestellt wird, dass eine Organisation gegen diese Bestimmungen verstößt, können Nichteinhaltungsstrafen zu zivilen Geldstrafen von bis zu 500.000 US-Dollar, Geldstrafen von bis zu 1 Mio. US-Dollar, 10 Jahren Haft und/oder zu einer Sperre für Exportgeschäfte in der Zukunft führen.
ITAR-Compliance-Checkliste: Technischer Datenschutz
Nach fast vierjähriger Beratung erließ das US-Außenministerium ein endgültiges Urteil zur Modernisierung und Vereinheitlichung der Rolle der End-to-End-Verschlüsselung bei der Sicherung sensibler Daten und der Ermöglichung digitaler Lieferkettenworkflows., Jetzt können Unternehmen technische ITAR-Daten in Cloud-Umgebungen speichern und freigeben, wenn sie vor dem Zugriff ausländischer Entitäten mit End-to-End-Verschlüsselung geschützt sind., Infolgedessen sollten Unternehmen in den Bereichen Fertigung, Luft-und Raumfahrt und Verteidigung, Telekommunikation, Verteidigungsaufträge oder andere Branchen, die mit technischen ITAR-Daten umgehen, die folgenden Datenschutzfunktionen in ihre Compliance-Programme integrieren:
- End-to-End-Verschlüsselung: Verschlüsseln Sie E-Mails und Dateien, die technische ITAR-Daten enthalten, innerhalb des Clients, um den Zugriff ausländischer Cloud-Server oder-Mitarbeiter zu verhindern und Geolokalisierungs-und Personalberechtigungsbedenken effektiv zu lösen.,
- Zugriffskontrollen: Legen Sie den Ablauf fest und deaktivieren Sie die Weiterleitung für zusätzliche Steuerelemente, die unbefugten Fremdzugriff verhindern. Widerrufen Sie den Zugriff, um das Risiko eines Fremdzugriffs im Falle einer Datenverletzung zu verringern, und Wasserzeichendateien mit technischen ITAR-Daten, um dateibasierte Lecks abzuschrecken.
- Persistenter Schutz: Behalten Sie die Kontrolle über Anhänge, um Fremdzugriff zu verhindern, wo immer sie freigegeben werden, und stellen Sie sicher, dass ITAR über die anfängliche E-Mail hinaus eingehalten wird.,
- Data Loss Prevention: Erkennen Sie technische ITAR-Daten in E-Mails und Dateien und erzwingen Sie automatisch Verschlüsselungs-und Zugriffskontrollen.
- Granular Audit: Zeigen Sie an, wann und wo auf ITAR-Daten zugegriffen wurde, während sie in der gesamten Lieferkette gemeinsam genutzt werden, und passen Sie die Steuerelemente an sich ändernde Anforderungen für Zusammenarbeit und Zugriff an.
- Schlüsselverwaltungsfunktionen: Hosten Sie Ihre eigenen Schlüssel, damit nur Ihr autorisiertes US-Personal auf die Schlüssel zugreifen kann, die die technischen Daten von ITAR schützen, um die ultimative Kontrolle zu erhalten.,
Virtru entriegelt ITAR-konforme digitale Lieferketten-Workflows
Virtru unterstützt die ITAR-Konformität, indem es eine durchgängige Verschlüsselung bietet, die technische ITAR-Daten vor dem Zugriff aus dem Ausland schützt, wo immer sie gemeinsam genutzt werden, Cloud-Kosteneinsparungsvorteile freisetzt und Workflows für die Zusammenarbeit ermöglicht, die Innovation und Wachstum fördern.
Erfahren Sie noch heute, wie Virtru Ihre ITAR Compliance Programme mit unserer ITAR Compliance Checkliste für den Datenschutz unterstützen kann.