Veri simsarlarından veritabanları satın almak, kurumsal güvenlik yöneticileri için sorun yaratabilir. Dosyaları kötü amaçlı yazılımlara karşı taramak için araçlar olsa da, veritabanında yer alan verilerin doğru olduğundan ve daha da önemlisi uygun izinle alındığından emin olmanın otomatik bir yolu yoktur. Bu güvence olmadan, bu dosyalar kuruluşun güvenlik uyumluluğu için bir tehdit oluşturabilir ve hatta şirketi davaya açabilir.
Şu senaryoyu göz önünde bulundurun: İş birimi liderleri, bir veri simsarından veritabanları satın almadan önce kapsamlı bir durum tespiti çalışması gerçekleştirdi. Veriler, kuruluşun küresel sistemleri içinde geniş çapta dağıtılmıştır. Altı ay sonra, kolluk kuvvetleri veri komisyoncusuna karşı harekete geçti ve tüm verilerinin uygunsuz bir şekilde elde edildiğini bildirdi. Kuruluşun artık bir uyum kabusu var.
Kuruluş, düzenlemelere uymak için tüm bu verileri silmek isteyebilir. Ancak ekip, verileri sisteme ilk yüklendiğinde etiketlemediyse, izlemesi ve kaldırması zor olacaktır. Veriler başarılı bir şekilde izlense bile, petabaytlarca başka veriyle o kadar iç içe geçmiş olabilir ki, artık çıkarılamaz.
Bunun üzerine, bazı düzenleyiciler yasal “zehirli ağacın meyvesi” kavramını uygulayabilir. Bu doktrin, genellikle kolluk kuvvetleri bir arama emrini düzgün bir şekilde almamakla suçlandığında kullanılır. Bir yargıç, onların gerçekten uygunsuz davrandıklarını tespit ederse, meyve doktrini yalnızca arama sırasında bulunan herhangi bir kanıtı değil, aynı zamanda aramada bulunanların bir sonucu olarak bulunan her şeyi de hariç tutacaktır.
Veriler söz konusu olduğunda, katı bir düzenleyici, bir şirketin yalnızca veri simsarının bilgilerini değil, aynı zamanda bu verilerin işlenmesinden kaynaklanan tüm bilgileri de silmesi konusunda ısrar edebilir. Yani o veriler üzerinde yapılan analizlerin de silinmesi gerekebilir.
Verileri Akarken İzleme
Veri uyumluluğunu karmaşıklaştıran bir başka önemli faktör de, veri simsarlarından gelen bilgi klasörlerinin genellikle uzun yıllar boyunca yapılan çalışmaları yansıtmasıdır. Bu, çoğunun kuralların farklı olduğu bir zamandan, bir yerden ve bir dikeyden kaynaklandığı anlamına gelir.
“Veri toplama bildirimi ve onayıyla ilgili artan mevzuat uyumluluğu çerçevesi nedeniyle, verilerinin ‘temiz’ olmayan çok büyük alt kümelerine sahip olan ve bu verilerden yararlanmak isteyen üçüncü taraflara bu konuda temsilci ve garanti veremeyen veri simsarları var. Dykema hukuk firmasında veri gizliliği konularında uzmanlaşmış bir avukat olan Sean Buckley diyor. “Veri komisyoncusunun riski, verilerinin ‘temiz’ olup olmadığına ve gerekirse bunu kanıtlayıp kanıtlayamayacağına bağlıdır.”
ClearData’nın CISO’su Chris Bowen, satın alınan dosyalarla uğraşırken veri izlemenin kritik öneme sahip olduğunu, ancak kuruluş bunu en başından yeterince etiketlemediyse bunun oldukça zor, hatta imkansız olabileceğini savunuyor.
Bowen, “Verilerin nerede yaşadığını ve nereye aktığını yakından takip etmeniz gerekiyor” diyor. “Veritabanındaki her alanın kaynağını etiketlemeniz gerekiyor. Yapılandırılmış ve yapılandırılmamış petabaytlarca veri aracılığıyla tutarlı bağlantılara ihtiyacınız var.”
Bowen, çoğu güvenlik yöneticisinin bu yaklaşımdan rahatsız olduğunu, çünkü veri akışı analizinin olağan görevlerinin dışında olduğunu ekliyor. “(Veri) nereye akar ve nasıl dağıtılır ve nasıl arşivlenir ve yok edilir, bu genellikle gizlilik ofisinin alanıdır” diyor. “Yaşam döngüsünün her öğesinde verileri korumanız ve izlemeniz gerekiyor.”
Bowen, kritik bir şekilde, veri komisyoncusu bilgilerinin üzerine yeni veri kümeleri oluşturulduğunda, “bu verileri ayırmanın neredeyse imkansız olduğunu vurguluyor. Tüm bunları ayırmak ve çözmek için bir yapay zeka eylemi gerekir.”
Yapay Zekayı Çalıştırmak
Bu AI noktası, tam olarak diğer bazı veri uzmanlarının bu argümanın yöneldiğini gördüğü yerdir. ChatGPT gibi büyük dil modellerinin (LLM’ler) sınırsız analitik çabalarıyla verileri izleyebileceğini tahmin ediyorlar. 2-5 yıl içinde, LLM yaklaşımı düzenleyicilerin buna güvenmesi için yeterince etkili olabilir.
Edgile danışmanlık firmasının genel müdürü Brad Smith, “Günümüzde şirketler (veri izlemenin zorluğunu) kanıt üretmemek için bir bahane olarak kullanıyor. Makine öğrenimi modellerinin ortaya çıkmasıyla artık durum böyle değil” diyor.
Smith, verilerin yaşam döngüsü boyunca ayrıntılı olarak izlenmesinin, veri komisyoncusu sorununu çözmenin anahtarı olduğunu söylüyor.
“Harici bir kuruluştan veri çektiğinizde, her zaman bir miktar sorumluluk olacaktır. Çözüm, veri soyunu sürdürmektir. Genel olarak, bilgileri taşıdığınızda, aktardığınızda veya kopyaladığınızda veya veriler bir şekilde bir sistemden diğerine dönüştüğünde. bir diğeri, bu soy bozuldu” diyor Smith. “Büyük dil modeliyle, her veri parçası orijinal durumunda bulunur. Bu eşlemeler, oluşturdukları sinir ağında bulunur.”
Burada bulutun da kritik bir rol oynadığını ekliyor. “Yapmaları gereken tek şey, verilerini hiper ölçekli bir altyapıya taşımak. Düzenleyiciler bunun farkına vardığında ve (kurum) Azure veya AWS’ye yeterince yatırım yapmadığında, ‘Neden taşınmadınız? o platforma mı?'”
Bozulmuş Verilerden Kaçınma
Temel olarak, bazıları işletmelerin üçüncü taraf verilerini veri simsarlarından çok hızlı satın aldıklarına ve öncelikle halihazırda sahip oldukları veya doğrudan toplayabilecekleri verileri ciddi şekilde incelemeleri gerektiğine inanıyor.
“Üçüncü taraf verilerinin kalitesinin iyi olmadığına ve oldukça şüpheli bir şekilde toplandığına dair açık bir kabul var. Rıza tanımları belirsiz. Genel olarak, veri simsarlarının verilerini elde etme yöntemi, küresel gizlilik karşısında uçup gidiyor. yasalar,” diyor Forrester’da bir gizlilik analisti olan Stephanie Liu.
SailPoint’in CISO’su Rex Booth, “Sadece birkaç yıl önce mahremiyete korkunç bir saldırı olarak değerlendirilebilecek veri toplanmasını bu kadar çabuk normalleştirmemiz şok edici,” diyor. “Şimdi komisyoncularla ilgili doğru ve yanlışın tek tanımı, verilerini toplarken yasaları çiğneyip çiğnemedikleridir.”
CISO’lar, veri komisyoncusu sorununu çözerken, verilerin şu anda nasıl kullanıldığını ve muhtemelen bir yıl içinde nasıl kullanılacağını dikkate almalıdır. Kimin kredi veya daire alacağına karar vermek için mi kullanılıyor? Ortaya çıkan veriler müşteriler tarafından görülebiliyor mu yoksa satışların kiminle iletişime geçeceğini bilmesine yardımcı olacak veriler gibi tamamen dahili mi?
Danışmanlık şirketi Wipro’da strateji ve risk uygulamalarını yöneten kıdemli ortaklardan Saugat Sindhu, neredeyse tüm veri simsarlarının çıktıları anonimleştirilmiş bir şekilde sunduğunu, ancak bunun genellikle bu şekilde kalmadığını söylüyor. “Bir kimliği kolayca anonimleştirebilirsiniz” diyor.
Sindhu, bazı durumlarda uyumluluk çaresinin veri silmenin ötesine geçip, uygun olmayan şekilde oluşturulmuş verilerden elde edilen geliri değerlendirmeye kadar gidebileceğini söylüyor: “Bilerek yanlış bir şey yapmadınız, ancak yine de bundan kar elde ettiniz ve bu adil bir ticareti artırabilir. günün sonunda, kusurlu veriler kusurlu verilerdir.”