GDPR 3年目で、今、EUデータプライバシー規制の遵守は、モノのインターネット(IOT)に来る場合は特に、特に、まだ組織が取り組むするための重要な問題です。

GDPR コンプライアンス IoT

さらに、現在リモートワークが一般的であり、その後、個人のデバイスが組織のネットワークに大量に統合されているため、企業内の個人によってシャドウ IoTが広く展開されます。今後のオフィスへの物理的な復帰は、新しいCOVID-19職場コンプライアンス ポリシーの一環としてネットワークにインストールされる可能性のある IoT デバイスの流入をもたらすように設定されています。

デジタル トランスフォーメーションは、これらの接続されたデバイスの爆発的な増加につながりました。しかし、これらはビジネスの生産性を向上させ、接続性を向上させる絶好の機会を提供する一方で、データ保護と GDPR コンプライアンスに対する新たな課題ももたらします。これらのデバイス (医療機器など) の一部は、保護する必要があり、GDPR の対象となる大量の個人データを収集する場合があります。

GDPR プライバシー バイ デザイン

GDPR のプライバシー バイ デザインとセキュリティ設計は、IoT メーカーとデバイス自体の設計におけるコンプライアンスに焦点を当てています。さらに、英国内のすべての IoT サービス プロバイダーおよびメーカーは、コンシューマー IoT セキュリティの実施基準に概説されている次の原則に準拠する必要があります。

  • デフォルトのパスワードはありません
  • 脆弱性開示ポリシーを実装する
  • IoT ソフトウェアを最新の状態に保つ
  • 資格情報とセキュリティ上重要なデータを安全に保存
  • 安全な通信、つまりリモート管理と制御は暗号化する必要があります
  • 最小権限の原則により、露出した攻撃対象領域を最小限に抑える
  • ソフトウェアの整合性を確保
  • 個人データが保護されていることを確認する
  • システムを停止に依存させる
  • システム テレメトリ データの監視
  • 消費者データを簡単に削除できるようにする
  • 機器の設置とメンテナンスを容易にします
  • 入力データの検証

ただし、これらのガイドラインは、IoT デバイスのメーカーに負担をかけます。GDPR に準拠するために企業ができることは何ですか? 上記と同じ原則の多くが適用されます。

データ保護の盲点を明らかにする

組織は、今日のデータ保護の盲点に対処し、消費者のプライベート データを保護し、最低限のサイバー セキュリティを満たすための合理的なセキュリティを確保する必要があります。

ほとんどのデータ セキュリティ標準は、テクノロジが安全で最新であることを保証するよう組織に求めていますが、これはほとんどの場合の課題です。接続されたデバイスはビジネス オペレーションの重要な部分ですが、広範囲に及ぶ可能性があり、古いシステムを実行することがよくあります。それらの規模と多様性、およびネットワーク接続の容量はリスクをもたらします。すべてのデバイスは潜在的な攻撃ベクトルであり、サイバー攻撃や潜在的な脆弱性から保護する必要があります。

これらのリスクを最小限に抑え、GDPR データのコンプライアンスと規制のしきい値を満たすには、組織がすべてのデバイスを保護するための包括的なアプローチを開発することが不可欠です。これらには次のものが含まれます。

  • すべてのデバイスの検出とインベントリ:ネットワーク内のすべての IoT デバイスを把握し、プロファイルできるようにすることが、セキュリティへの第一歩です。
  • 危険にさらされる可能性のあるリスクと個人データを理解する: GDPR に準拠するには、デバイスにデータ侵害のリスクがあるかどうかを理解することが重要です (たとえば、古いオペレーティング システムを実行している、脆弱なパスワードや証明書をサポートしている、PII データがあるなど)。デバイス自体に)
  • デバイスがネットワーク内で何をしているかを理解する:デバイスの通信パターンのベースラインを作成して理解すると、個人データが処理または保存される場所を理解するのに役立ちます。たとえば、医療機器はその機器自体に PII を持っているかもしれませんが、クラウド内のサーバーと通信している IP カメラはクラウド内にデータを持っている可能性があります。
  • 異常な通信を監視する:このベスト プラクティスは、悪意のあるドメインへの通信など、すでに発生している潜在的な侵害を特定して、進行中のデータ侵害を阻止することに関するものです。
  • 脆弱なデバイスのセグメンテーション:リアルタイムの検出、監視、および行動分析が最初のステップです。セキュリティ チームは、AI と自動化を使用して、既存のインフラストラクチャで脆弱なIoT デバイスを積極的にセグメント化することもできます。これにより、サイバーセキュリティ攻撃や潜在的なデータ保護侵害への露出を制限しながら、デバイスが適切にアクセスできるようになります。

自動化と適切なツールを活用することで、セキュリティ チームは IoT リスクの可視性を高め、GDPR の対象となるデバイスを特定し、潜在的なデータ侵害からデバイスを保護できます。

データと接続されたデバイスに必要なベスト プラクティスを思い出して、GDPR の記念日を祝いましょう。

コメントをどうぞ