Operationalisierung der Einhaltung der DOJ-Regel für Massenübertragungen sensibler personenbezogener Daten

2024 erließ Präsident Biden eine Exekutivverordnung, mit der das Justizministerium angewiesen wurde, die Übertragung von Daten der US-Regierung und großer Mengen sensibler personenbezogener Daten der USA an „besorgniserregende Länder“ — China, Kuba, Iran, Nordkorea, Russland und Venezuela — sowie an Personen oder Unternehmen, die ihrer Kontrolle unterliegen, zu regulieren.

Der Zweck der Verordnung besteht darin, Amerikas Gegner daran zu hindern, an Daten zu gelangen, die für Spionage oder zur Ausbildung von KI-Modellen verwendet werden könnten, die eine Gefahr für die nationale Sicherheit der USA darstellen oder auf andere Weise ein erhebliches Risiko darstellen, den Interessen der US-Regierung oder amerikanischer Bürger zu schaden.

Die Datensicherheitsprogrammregel des DOJ erfüllt die Ziele der Verordnung, indem sie bestimmte Arten von „abgedeckten Transaktionen“ — Datenvermittlungen, Arbeitsverträge, Lieferantenverträge und Investitionsverträge — verbietet oder einschränkt, bei denen es sich um große Mengen sensibler personenbezogener Daten handelt, die zu bestimmten definierten Kategorien gehören. Generell gilt: Je sensibler die Daten, wie etwa genomische oder biometrische Daten, sind, desto weniger Fälle müssen als „Massendaten“ betrachtet werden.

Sowohl die Verordnung als auch die Regel machen deutlich, dass ihr Zweck nicht darin besteht, allgemeine Anforderungen an die Datenlokalisierung aufzuerlegen, wie wir es in Ländern wie China und Russland gesehen haben. Während einige Übertragungen verboten sind, können eingeschränkte Transaktionen weitergeführt werden, sofern die für die Datenverarbeitung Verantwortlichen angemessene Datensicherheits- und Verwaltungskontrollen eingeführt und die nachgelagerten Datenschutz- und Sicherheitsanforderungen für Drittanbieter durch Schutzmaßnahmen wie spezifische Vertragsklauseln geklärt haben.

‍

Ebenso wenig besteht die Absicht, den legitimen kommerziellen oder wissenschaftlichen Austausch zu belasten. Die meisten Übertragungen von personenbezogenen Daten oder Finanzdaten werden wahrscheinlich unter die Ausnahme für normale Geschäftstransaktionen fallen. Dennoch erwartet die Regierung, dass Organisationen, die an versicherten Transaktionen beteiligt sind, „ihre Daten kennen“ und „sich der Art und des Umfangs ihrer Daten bewusst sind“. An dieser Stelle wird DSPM unverzichtbar.

Die Funktionen von Cyera zur Datenermittlung und -klassifizierung verstehen

Die KI-native Datensicherheitsplattform von Cyera erkennt die Daten Ihres Unternehmens in SaaS-, PaaS-, IaaS- und DBaaS-Datenspeichern sowie in lokalen Ressourcen. Sie werden sehen, wie viele Datenspeicher Sie haben, wie viele Datensätze pro Datenspeicher vorhanden sind, wo sich die betroffenen Personen dieser Datensätze befinden und wer Zugriff darauf hat. Und dank der agentenlosen Bereitstellung von Cyera erhalten Sie diesen Einblick in Ihr Datenökosystem innerhalb von Minuten, nicht Monaten.

‍

Darüber hinaus verfügt die Klassifizierungsmaschine von Cyera über vortrainierte Klassifikatoren, die auf die meisten wichtigen regulatorischen Rahmenbedingungen abgestimmt sind und es ihr ermöglichen, personenbezogene Daten (PII), persönliche Gesundheitsinformationen (PHI) und verschiedene Kategorien personenbezogener Finanzinformationen wie Kreditkarten- und Bankkontonummern zu kennzeichnen. Zu den kontextuellen Erkenntnissen gehören Informationen wie die Region, in der sich ein Datenspeicher befindet, oder der Wohnsitz der betroffenen Personen.

Zusätzlich zu den sofort einsatzbereiten Klassifikatoren kann das DSPM von Cyera auch Datenkategorien lernen, die für Ihr Unternehmen spezifisch sind. Im Durchschnitt gehören 20 bis 40 Prozent der Daten unserer Kunden zu einer dieser gelernten Klassifizierungen, darunter alles, was von personenbezogenen Daten wie „Mitarbeiter-ID“ bis hin zu wertvollem geistigem Eigentum wie „Produktformeln“ oder „Rezepten“ reicht.

Obwohl die KI von Cyera wahrscheinlich die wichtigsten Datenkategorien für Ihr Unternehmen lernen kann, sind unsere Customer Success Engineers bereit, Ihnen bei Bedarf bei der Entwicklung benutzerdefinierter Regeln zu helfen, um sicherzustellen, dass Sie den größtmöglichen Nutzen aus Ihrer Bereitstellung ziehen. Mit sofort einsatzbereiten und erlernten Klassifizierungsmethoden und unserer flexiblen Policy-Engine wird fast jeder wichtige kommerzielle und regulatorische Anwendungsfall abgedeckt. Im Vergleich zu manuellem Aufwand sorgt Cyera viel schneller und zu deutlich niedrigeren Kosten für Transparenz und eine präzise Klassifizierung.

Mehr als nur Einblicke: Problembehebung und Validierung

Aber Cyera gibt dir auch die Kontrolle. Es überwacht Ihr Datenökosystem auf neue Datenspeicher und neue Benutzer. Es identifiziert riskante Benutzer mit übermäßigen Berechtigungen oder veraltete Benutzer, deren Konten gesperrt werden sollten. Es überwacht unbefugte Zugriffe und übermäßiges Teilen von Zugriffsrechten und kann Ihnen durch die Identifizierung des Wohnsitzes Ihrer Nutzer aus „besorgniserregenden Ländern“ helfen, die Anordnung und Regel des DOJ einzuhalten.

Sie können nicht nur herausfinden und sehen, wer innerhalb der Cyera-Plattform Zugriff auf Ihre Daten hat, sondern Sie können auch Richtlinien definieren, um zu warnen, wenn eine kritische Anzahl von Datensätzen einer bestimmten Datenkategorie (z. B. „persönliche Finanzdaten“) in einem Datenspeicher entdeckt wird, auf den Benutzer in einer bestimmten Region oder einem bestimmten Land zugreifen können. Noch wichtiger ist, dass Sie mit Cyera diese Warnungen in Maßnahmen umsetzen können, indem es in Ihre Workflow-Tools integriert wird und eine automatische Problembehebung ermöglicht. Es kann auch Benachrichtigungen per E-Mail oder Slack direkt an relevante Interessengruppen (z. B. Datenschutz, Sicherheit, Compliance) mit Anweisungen zur manuellen Behebung senden.

Cyera kann Auditprotokolle und Berichte erstellen, was es einfacher macht, den Umfang der Transaktionen zu dokumentieren, die zu einer Analyse und zu Abhilfemaßnahmen geführt haben, die zur Einhaltung der DOJ-Vorschriften ergriffen wurden. Wenn Sie von den Bundesbehörden dazu aufgefordert werden, können Sie die Prüf- und Berichtsfunktionen von Cyera nutzen, um die Menge und den Standort sensibler personenbezogener Daten in Ihrem Datenökosystem sowie Ihre Bemühungen zu bestätigen, den Zugriff von Benutzern in betroffenen Ländern auf Ihre Daten einzuschränken oder zu verhindern.

‍

Compliance kann sich oft wie eine entmutigende Aufgabe anfühlen, aber die Erfüllung der Anforderungen der Data Security Program Rule muss nicht besonders anstrengend sein. Das DOJ möchte, dass Unternehmen ihre Daten kennen und sicher aufbewahren. Bei Cyera ist das buchstäblich unser Mantra. Und mit der Transparenz und Kontrolle, die Cyera bietet, war es noch nie so einfach. Um mehr zu erfahren, fordern Sie noch heute eine Demo an unter Cyera.com.

‍