Die Cybersecurity-Branche muss Lösungen für die Datensicherheit von Drittanbietern finden

Cyber Security News

Unternehmen müssen mehr Verantwortung für die Sicherheit von Drittanbietern übernehmen, die auf ihre Daten zugreifen, so die Meinung von Experten, die während einer von Atakama organisierten Webinar-Session sprachen.

Als Moderator der Diskussion hob Brian Herr, Field CISO bei Mainline Information Systems, zunächst hervor, wie Organisationen zunehmend auf Drittanbieter angewiesen sind, was bedeutet, dass eine wachsende Zahl von Unternehmen Zugriff auf ihre vertraulichen Daten erhält. “Organisationen geben immer mehr Daten außerhalb ihrer Kontrolle”, erklärte er und fügte hinzu: “Die regulatorische und rechtliche Landschaft versucht, dies zu kontrollieren, und das verändert die Art und Weise, wie wir Geschäfte machen.”

Die GDPR-Gesetzgebung der EU wird allgemein als Vorreiter für Datenschutzregeln angesehen, wobei andere Länder wie die USA beginnen, in Bezug auf ihre eigenen Vorschriften zu folgen. Jetzt gibt es einige Klarstellungen in Bezug auf den Datenzugriff Dritter aus der GDPR, die wahrscheinlich Auswirkungen auf der ganzen Welt haben werden. Patrick Burt, ehemaliger NY-Regulierer/Privacy-Anwalt bei Philip Nizer, skizzierte, dass “es mehr und mehr Fokus auf Dritte gibt.” Unter der GDPR erhalten Organisationen klare Verantwortlichkeiten, Risikobewertungen und andere Überprüfungen durchzuführen, wenn sie Daten an Dritte weitergeben.

Burt merkte an, dass in einer Reihe von Fällen, in denen das britische Information Commissioner’s Office (ICO) kürzlich Geldstrafen verhängte, darunter gegen BA, Marriott und Ticketmaster, argumentiert wurde, dass Dritte haftbar seien, “aber in jedem Fall stellte das ICO fest, dass es ihre Verantwortung war – sie machten diese Dritten überhaupt nicht verantwortlich”, erklärte Burt. Das lag letztlich daran, dass sie es versäumt hatten, eine Due Diligence durchzuführen.

Burt fügte hinzu, dass ähnliche Prinzipien im California Consumer Privacy Act (CCPA) gelten.

Dimitri Nemirovsky, Mitbegründer und COO bei Atakama, stimmte dem zu und erklärte, dass Unternehmen letztlich immer noch die Kontrolle darüber haben, was mit ihren Daten geschieht. In einer zunehmend digitalisierten Umgebung “glaube ich nicht, dass man heute existieren kann, ohne eine dritte Partei in irgendeiner Form zu nutzen”, skizzierte er. In diesem Zusammenhang ist es entscheidend, dass Unternehmen den richtigen Ansatz finden, um die Integrität der Daten, die diesen Dritten anvertraut werden, zu gewährleisten. Nemirovsky sagte, dass “es wirklich wichtig ist, dass Sie die Tools, die Sie verwenden, überprüfen und dies auf eine Art und Weise tun, bei der Sie die Leistung, die von Ihren Mitarbeitern erwartet wird, aufrechterhalten.”

Das Management der Verteilung von Verschlüsselungsschlüsseln ist laut Nemirovsky besonders wichtig, um dies zu erreichen. “Es läuft auf eine Frage des Identitäts- und Zugriffsmanagements hinaus”, kommentiert er. Denn wenn die Anmeldeinformationen eines autorisierten Benutzers kompromittiert werden, werden alle Daten für den Angreifer entschlüsselt.

Die Kompromittierung von Konten ist daher wohl das größte Sicherheitsproblem, wenn es um Dritte geht, da selbst nach einer angemessenen Risikobewertung immer noch Verstöße verursacht werden können. “Das wird ein sehr großes Problem werden, das die Branche lösen muss”, so Herr. “Letztendlich läuft es darauf hinaus, die Verschlüsselung zu verstehen und so nah wie möglich an die Datennutzung zu bringen, so dass alles in der Mitte keine Rolle spielt.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com