ponieważ ponad 90% organizacji przechowuje dane w chmurze, przepływy pracy udostępniania danych muszą być bezpieczne. Szczególnie dotyczy to sytuacji, gdy bezpieczeństwo narodowe jest zagrożone—tak jak ma to miejsce w przypadku organizacji zajmujących się obronnością i sprawami wojskowymi., Wyzwaniem dla tych organizacji od dawna było zachowanie zgodności z przepisami International Traffic in Arms Regulations (ITAR), a jednocześnie możliwość wymiany danych i wydajnej i bezpiecznej współpracy.
na szczęście zgodność z ITAR zmienia się w 2020 roku. W grudniu tego roku (2019) prawodawcy opublikowali nowy „wycięcie szyfrowania”, który wszedł w życie 23 marca 2020. W ramach tej aktualizacji ITAR organizacje zgodne z przepisami mogą komunikować się i bezpiecznie udostępniać end-to-end zaszyfrowane dane techniczne ITAR z zagranicznymi biurami, partnerami lub USA., pracownicy rządowi bez ubiegania się o licencję eksportową za każdym razem.
ITAR Compliance Basics
ITAR kontroluje eksport produktów związanych z obronnością i wojskiem, aby wspierać cele bezpieczeństwa narodowego i polityki zagranicznej rządu USA. W szczególności ITAR reguluje pozycje-artykuły, Usługi i powiązane technologie-na liście United States Munitions List (USML), w tym proste przedmioty wojskowe, takie jak broń palna, amunicja i samoloty, ale niektóre mniej oczywiste przedmioty, takie jak sprzęt ochrony osobistej (np. kombinezony hazmat) i czujniki IoT.,
chronione są również „DANE TECHNICZNE” ITAR—wszelkie informacje, w tym plany, dokumentacja, schematy, schematy przepływu itp. potrzebne do projektowania, rozwoju, produkcji, eksploatacji, konserwacji lub modyfikacji elementów na USML. Szeroki zakres USML oznacza, że zgodność z ITAR jest nie tylko dla handlarzy bronią, ale wszystkich organizacji zaangażowanych w łańcuch dostaw każdego towaru lub usługi, które mogą być wykorzystane do celów wojskowych i obronnych.,
gdy te dane techniczne współgrają z usługami chmurowymi, takimi jak poczta e-mail i systemy plików, w ramach procesów pracy w cyfrowym łańcuchu dostaw, organizacje mogą szybko znaleźć się na celowniku ITAR. Kluczowy niuans w ITAR określa, że dane techniczne, które są dostępne dla osób spoza USA, gdy są przechowywane i udostępniane w chmurze, stanowią naruszenie ITAR, ponieważ są uważane za eksport w ramach ITAR, chyba że organizacja ma zaawansowane kontrole lub autoryzowaną licencję eksportową., W praktyce oznacza to, że rezydencja danych i uprawnienia personelu mają kluczowe znaczenie przy ocenie procesów pracy w chmurze.
ryzyko niezgodności
ponieważ niezgodność ITAR prowadzi do niektórych z najważniejszych konsekwencji wszystkich przepisów dotyczących danych, nie należy jej lekceważyć i sprowadza się do jednego: uniemożliwienia osobom spoza USA dostępu do danych technicznych ITAR w chmurze., Jeśli okaże się, że organizacja narusza to, kary za nieprzestrzeganie mogą skutkować grzywną cywilną do 500 000 USD, grzywną karną do 1 mln USD, 10 lat pozbawienia wolności i / lub zakazem prowadzenia działalności eksportowej w przyszłości.
ITAR Compliance Checklist: Technical Data Protection
Po prawie czterech latach obrad Departament Stanu USA wydał ostateczną decyzję modernizującą i jednoczącą rolę kompleksowego szyfrowania w zabezpieczaniu poufnych danych i umożliwianiu cyfrowych procesów pracy w łańcuchu dostaw., Teraz organizacje mogą przechowywać i udostępniać DANE TECHNICZNE ITAR w środowiskach chmurowych, jeśli są chronione przed dostępem przez podmioty zagraniczne z szyfrowaniem end-to-end., W rezultacie firmy z branży produkcyjnej, lotniczej i obronnej, telekomunikacyjnej, obronnej lub innej branży obsługującej DANE TECHNICZNE ITAR powinny włączyć następujące funkcje ochrony danych do swoich programów zgodności:
- End-to-End Encryption: szyfrowanie poczty e-mail i plików zawierających DANE TECHNICZNE ITAR w kliencie, aby zapobiec dostępowi zagranicznych serwerów chmurowych lub personelu, skutecznie rozwiązując problemy związane z geolokalizacją i uprawnieniami personelu.,
- Kontrola dostępu: Ustawia wygaśnięcie i wyłącza przekazywanie dla dodatkowych kontroli, które zapobiegają nieautoryzowanemu dostępowi zagranicznemu. Cofnięcie dostępu w celu zmniejszenia ryzyka obcego dostępu w przypadku naruszenia danych oraz plików ze znakami wodnymi zawierających DANE TECHNICZNE ITAR w celu powstrzymania wycieków plików.
- trwała ochrona: zachowaj kontrolę nad załącznikami, aby zapobiec zagranicznemu dostępowi wszędzie tam, gdzie są udostępniane, zapewniając zgodność ITAR poza początkową pocztą e-mail.,
- Zapobieganie utracie danych: wykrywanie danych technicznych ITAR w wiadomościach e-mail i plikach oraz automatyczne egzekwowanie szyfrowania i kontroli dostępu.
- szczegółowy audyt: sprawdzanie, kiedy i gdzie uzyskano dostęp do danych ITAR, udostępnianych w całym łańcuchu dostaw, i dostosowywanie kontroli do zmieniających się wymagań dotyczących współpracy i dostępu.
- funkcje zarządzania Kluczami: Hostuj własne klucze, aby tylko autoryzowany personel z USA mógł uzyskać dostęp do kluczy chroniących dane techniczne ITAR w celu uzyskania ostatecznej kontroli.,
Virtru odblokowuje Cyfrowe procesy łańcucha dostaw zgodne z ITAR
Virtru pomaga wspierać zgodność z ITAR, zapewniając kompleksowe szyfrowanie, które chroni dane techniczne ITAR przed dostępem zagranicznym, niezależnie od tego, gdzie są udostępniane, odblokowując korzyści związane z oszczędnością kosztów w chmurze i umożliwiając procesy współpracy, które napędzają innowacje i wzrost.
Dowiedz się, jak Virtru może wspierać Twoje programy zgodności z ITAR już dziś dzięki naszej liście kontrolnej zgodności z ITAR w zakresie ochrony danych.