מה המשמעות של ברוקר הנתונים של ביידן EO עבור העסק שלך ISMS.online

מה המשמעות של ברוקר הנתונים של ביידן EO עבור העסק שלך

מאת דני ברדבורי • 18 אפריל 2024

ברוקרי נתונים רבים שמחים למכור כל מיני מידע אישי על אזרחי ארה"ב. חבר את הנתונים האלה יחד ותוכל לקבל מידע מודיעיני מפורט להחריד על מגוון רחב של אנשים, החל מפגיעים פיזית ועד לבולטים מבחינה פוליטית.

מחוקקים יותר ויותר עצבניים לגבי הסיכונים של יריב זר שירכוש את הנתונים הללו, שעלולים לנוע מסחטנות ועד פגיעה פיזית. ב-28 בפברואר הבית הלבן נקט צעד נוסף כדי להפחית את האיום.

היסטוריה של דאגה לגבי זרימות נתונים זרים

השמיים להזמין הנהלה ב

ב-15 במאי 2019 הוציא ממשל טראמפ אבטחת שרשרת אספקת טכנולוגיות ושירותים מידע ותקשורת. אותו EO הכריז על מצב חירום לאומי בנוגע לשימוש בטכנולוגיית IT ותקשורת זרה.

הבית הלבן ביידן הכיר במצב חירום ב-9 ביוני 2021 ב-EO אחר, הגנה על הנתונים הרגישים של אמריקאים מפני יריבים זרים. זה הצריך ניתוח סיכונים של הסכנות משיתוף הנתונים של אזרחי ארה"ב מעבר לים, יחד עם המלצות לפעולה ביצועית.

ה-EO האחרון הוא תגובה לניתוח הזה. הוא מציין את חששות הממשל ששחקנים זדוניים מעבר לים עלולים להשתמש בבינה מלאכותית ובטכנולוגיות אחרות כדי לכרות תובנות חדשות מנתונים על אזרחי ארה"ב. יש לו דאגות לגבי נתונים על כל אזרחים, אבל מייחד יחידים בצבא ואחרים העובדים עבור הממשלה, יחד עם קבוצות פגיעות כולל מתנגדים.

המסמך קורא למחלקות הממשלתיות להגן על קבוצות אלה באמצעות מספר אמצעים, כולל מתן עדיפות לבחינת רישיונות עבור כבלי העברת נתונים תת-ימיים (נושא שהועלה לראשונה ב-EO נוסף מתקופת טראמפ מ-4 באפריל 2020. הבית הלבן מקווה שתעדוף זה יעזור לעצור מדינות מדאיגות מלהפעיל מניפולציות של בעלי רישיון להעלאת נתונים מהחוטים.

חוקרי שירותי בריאות הם יעד נוסף של ה-EO. הוא הנחה מחלקות ביצוע שונות להנפיק כללים לגבי ניהול מידע רפואי בתפזורת, כולל סוגי נתונים ביולוגיים כגון גנומיקה.

מתן הודעה לברוקרים בנתונים

ה-EO גם מתאפס על ברוקרים נתונים.

"ישויות בתעשיית תיווך הנתונים מאפשרות גישה לנתונים אישיים רגישים בתפזורת ולנתונים הקשורים לממשלת ארצות הברית על ידי מדינות דאגה ואנשים מכוסים", נכתב. "ישויות אלו מהוות סיכון מיוחד לתרום למצב החירום הלאומי המתואר בצו זה מכיוון שהן עוסקות באופן שגרתי באיסוף, הרכבה, הערכה והפצה של נתונים אישיים רגישים בתפזורת ושל תת-קבוצת הנתונים הקשורים לממשלת ארצות הברית בנוגע לארצות הברית. צרכנים."

היא נותנת מענה למגזר זה על ידי איסור על אנשים בארה"ב לבצע עסקאות הכוללות נתונים אישיים רגישים בתפזורת עם אזרחים זרים המייצגים מדינות של דאגה. נתונים אלה כוללים כמה מזהים אישיים וביומטריים, יחד עם מיקום גיאוגרפי ונתוני חיישנים קשורים, נתוני בריאות ביולוגיים ואישיים ונתונים פיננסיים אישיים. ישנם פטורים לכלל, לרבות מסירת מידע לשירותים פיננסיים או לעמידה ברגולציה.

עם זאת, חברות רגילות שהעסק העיקרי שלהן אינו מכירת נתונים לא צריכות להיבהל. ה-EO קובע כי הצו לא נועד לאסור עסקאות מסחריות "כולל החלפת נתונים פיננסיים ואחרים כחלק ממכירת סחורות ושירותים מסחריים" עם מדינות אלו. היא גם לא מנסה לשבש קשרי סחר רחבים יותר. הכל עניין של גישה לנתונים רגישים בתפזורת, מסביר המסמך.

הבית הלבן יסתמך בחלקו על הלשכה להגנה פיננסית לצרכן (CFPB) שתסייע בהכנסת מתווכים נתונים לתחום החוק. אין תקנה פדרלית ספציפית עבור מתווכים נתונים, אבל סוכנויות דיווח צרכנים (CRA) מוסדרות תחת חוק דיווח אשראי הוגן (FCRA) משנת 1970.

בה הצעת החוק, ה-CFPB דאג שלמעלה מחצי מאה לאחר הצגתו, ההגדרה של המעשה ל-CRA היא כעת צרה מדי, ושכמה מתווכים נתונים עסקו במידע אישי רגיש מבלי שיצטרכו לעמוד בצו הפרטיות שלו. הצעדים המוצעים כוללים הרחבת הטווח כדי להגדיר את אותם ברוקרים כסוכנויות מדווחות, ולהביא אותם לקבוצה.

השאלה, לפי קלוד מנדי, היא האם מתווכים נתונים יוכלו להגביל מכירות לאזרחים זרים. מנדי היא אוונגליסטית אבטחת מידע ראשית ב-Symmetry Systems, המסייעת לחברות להבין היכן הנתונים הרגישים שלהן נמצאים, כיצד נעשה בהם שימוש ועל ידי מי. לענות על שאלות אלה קשה יותר ממה שזה נראה, הוא מזהיר.

"בכל פעם שאנחנו נכנסים לארגון אנחנו רואים את האתגרים שיש להם בשליטה על זרימת הנתונים והבנת הנתונים שיש להם", הוא אומר ל-ISMS.online.
מנדי גם מזהיר כי נתונים נמכרים באופן קבוע לצדדים שלישיים שמוכרים אותם על עצמם, ויוצרים שרשרת אספקה עכורה במקרה הטוב.

"הם לא יודעים למי זה נשלח. הם לא יודעים למי יש גישה אליו. והזרימה הזו של נתונים מהעקרונות הראשונים לא מטופלת", הוא אומר. "עם חברות מעטפת ובעלות זרה, כמה שכבות עמוקות אתה יכול ללכת לפני שיהיה בלתי נסבל למצוא את העמדה הסופית הזו? וזה מה שאנחנו מבקשים מהם לעשות עם צו הביצוע הזה".

הגיע הזמן לחשוב מחדש על שיטות מידע

Cobun Zweifel-Keegan, מנכ"ל וושינגטון די.סי באיגוד הבינלאומי של מקצועני הפרטיות (IAPP), אומר שכאשר סוכנויות ממשלתיות יוצרות בסופו של דבר כללים ספציפיים, ייתכן שברוקרי נתונים יצטרכו לחשוב מחדש על ניהול הנתונים שלהם. זה אולי לא דבר רע, הוא מוסיף.

"הבנת ההקשר והנזקים הפוטנציאליים של מערכי נתונים מסוימים היא אתגר ידוע שחברה צריכה כבר לקחת בחשבון", הוא אומר ל-ISMS.online.

חוק אחד שיחייב את כולם?

בינתיים, הממשלה הפדרלית ממשיכה ללחוץ על חוק פרטיות פדרלי רחב יותר. ההצעה האחרונה היא טיוטת חוק זכויות הפרטיות האמריקאי, שתאפשר לאמריקאים לשלוט באילו נתונים חברות יכולות לאסוף ולשמור עליהם, ולמנוע את העברת הנתונים שלהם לאחרים.

בזמן שאנחנו מחכים שהדיון בטיוטת הדיון יהפוך להצעת חוק ממשית, יש מאמצים אחרים על הגבעה לרסן את ברוקרי הנתונים. המחוקקים הציגו את HR 7521, חוק ההגנה על אמריקאים מפני יישומים נשלטים של יריב חוץ (המפורסם כאיסור TikTok) ו HR 7520, חוק Protecting Americans' Data from Foreign Adversaries Act משנת 2024. בדומה ל-EO של פברואר, האחרון מתמקד במניעת מכירת מידע של מתווכים מידע לגופים זרים.

כאשר הן הבית הלבן והן בית הנבחרים להוטים להדק את הלחצים על ברוקרים בנתונים, חברות המתמקדות במכירת נתונים של אנשים יהיו נבונים לבחון את שיטות העבודה שלהן.

"ברוקרים בנתונים בהחלט מודעים לכך שקובעי מדיניות מודאגים מהפרקטיקות המערבות יריבים זרים ואפילו מכירת נתונים בדרכים בלתי מוגבלות ובהקשרים אחרים", אומרת צויפל-קיגן. "זה בהחלט לא הזמן לנוח על זרי הדפנה, כי זה רק אחד מני הרבה יעדי מדיניות נעים שמתקרבים לשיטות של ברוקר נתונים."

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.