Налице е значителна разлика между разбирането на организациите за правилата за суверенитет на данните и способността им да предотвратяват инциденти, свързани със суверенитета, разкри ново проучване.
В 44% от организациите ИТ лидерите се самоопределят като „много добре информирани“ относно изискванията за суверенитет на данните. Въпреки това мнозина са преживели инциденти: 23% в Канада, 32% в Европа и 44% в Близкия изток.
Подобни резултати показват, че организациите са изправени пред оперативен риск, дори когато вътрешните екипи смятат, че разбират правилата, казват анализаторите от Kiteworks, които оповестиха данните.
Похарчените милиони не гарантират суверенитет
Докладът „Риск за сигурността на данните и съответствието: Суверенитет на данните“ се основава на отговори от специалисти по управление на риска, съответствие, ИТ и сигурност в Канада, Близкия изток и Европа. Той разглежда натиска за съответствие, свързан с рамки, включително PIPEDA, PDPL и GDPR, както и нововъзникващите изисквания за управление на ИИ.
Най-често докладваните инциденти са пробиви в данните с последици за суверенитета (17%) и нарушения на съответствието от трети страни (17%). Респондентите посочват също регулаторни разследвания (15%), неоторизирани трансгранични трансфери (12%) и искания за достъп до правителствени данни (10%).
„Организациите във всеки регион харчат милиони за спазване на суверенитета, постигат високи резултати по отношение на осведомеността и въпреки това биват засегнати от пробиви, неоторизирани трансфери и искания за достъп от правителството“, каза Дарио Перфетибиле, генерален мениджър за EMEA по GTM и клиентски операции в Kiteworks.
Много от анкетираните организации харчат повече от 1 милион щатски долара годишно за спазване на суверенитета. Най-големите области на разходи са промени в техническата инфраструктура (59%) и правна експертиза и експертиза по съответствие (53%).
Регионален натиск
Близкият изток се откроява както с фокуса върху съответствието с регулаторните разпоредби, така и с големия процент инциденти. Почти всички анкетирани в региона (93%) казват, че разпоредбите на PDPL и SDAIA пряко засягат дейността им.
Две трети съобщават за годишни разходи над 1 милион щатски долара, но регионът все още регистрира най-висок процент на инциденти (44%).
Канада отчита най-нисък процент на инциденти. Все пак трансграничното излагане на данни остава проблем. Около 40% от канадските анкетирани посочват промените в споделянето на данни между Канада и САЩ като основен проблем. 21% посочват Закона за облачните технологии на САЩ като пряка заплаха за суверенитета.
Европа работи по коренно различен модел. Гаранциите на доставчиците на облачни услуги се очертават като основно ограничение.
В проучването 44% от европейските респонденти заявяват, че гаранциите за суверенитет на доставчиците са основната им пречка пред приемането на облачни услуги. Kiteworks определя това като разминаване между местоживеенето на данните и контрола върху достъпа до криптирано съдържание.
Докладът също така подчертава собствеността на ключовете за криптиране в облачни среди, като отбелязва, че някои конфигурации могат да отговарят на изискванията за местоживеене, без да дават на клиентите изключителен контрол върху ключовете за криптиране.
В тези случаи облачният доставчик може все още да има техническата възможност за достъп до данните на клиентите, посочват специалистите.
От политика към контрол
За следващите две години респондентите очакват да дадат приоритет на техническите мерки. Автоматизацията и по-строгият технически контрол са водещи инициативи в трите региона. Докладът свързва това изместване с по-цялостното тълкуване на изискванията за суверенитет.
Фокусът се разширява отвъд мястото, където се съхраняват данните, за да включи аспекти като кой има достъп до тях, кой контролира ключовете за криптиране и какви доказателства може да представи една организация по време на одити и разследвания.
„Суверенитетът някога означаваше география – дръжте данните в правилната държава и сте защитени“, каза Дарио Перфетибиле. „Тази ера свърши”.
„Регулаторите, клиентите и екипите за обществени поръчки сега искат доказателства: кой има достъп до данните, кой контролира ключовете и можете ли да демонстрирате съответствие при поискване”, допълни той.
„Организациите, които вграждат това доказателство в своята архитектура, ще излязат напред. Всички останали ще продължат да знаят правилата и ще бъдат критикувани“, заключи Перфетибиле.
