Bescherming van intellectueel eigendom wanneer het moet worden gedeeld

Het beschermen van intellectueel eigendom (IP) wanneer het zich op het bedrijfsnetwerk of in de cloud bevindt, is al moeilijk genoeg wanneer een bedrijf controle heeft over de netwerkverdediging, maar wanneer IP moet worden gedeeld met een zakenpartner, nemen de bedreigingen exponentieel toe. Hoewel contractuele verplichtingen en verzekeringen een bedrijf een financiële tegemoetkoming kunnen bieden, is het onmogelijk om de spreekwoordelijke geest terug in de fles te stoppen wanneer bedrijfsgeheimen openbaar worden of in handen van concurrenten vallen.

Vanuit een puur technologisch standpunt kunnen CISO's technologieën gebruiken die de toegang van gebruikers beperken, zoals het overschakelen naar een zero trust netwerkarchitectuur (ZTNA)-tool in plaats van de traditionele VPN (Virtual Private Network) externe toegang, of gebruik misschien een op rollen gebaseerd toegangsbeheer (RBAC) op basis van gegevensclassificatie, tokenisatie of andere beveiligingscontrole. Bovendien is het gebruikelijk om de toegang te beperken door Identity Access Management (IAM).

Niet alle IP is hetzelfde, noch vereist alle IP dezelfde beveiligingscontroles, merkt Aaron Tantleff op, een partner in de Technology Transactions, Cybersecurity en Privacy praktijkgroepen bij het advocatenkantoor Foley & Lardner LLP.

Bepalen welke controles vereist zijn en tot welk niveau hangt af van de waarde van de IP, zowel in geld als in de activiteiten van het bedrijf. Het is moeilijk om IP-bescherming te generaliseren omdat elke organisatie verschillende soorten IP heeft die ze anders beschermen, merkt Tantleff op. Organisaties zouden niet noodzakelijkerwijs dezelfde beveiligingscontroles implementeren via de leverancierstrein, omdat de controles afhankelijk zijn van kritieke IP versus minderwaardige IP, voegt hij eraan toe.

Veilig delen

Traditionele technologieën — en zelfs sommige opkomende op ZT gebaseerde benaderingen — helpen de mogelijkheid om IP in gevaar te brengen te beperken, maar bieden weinig veiligheid wanneer het IP met partners moet worden gedeeld. Traditioneel deelden bedrijven slechts kleine delen van hun IP, waarbij verschillende zakenpartners hun werk deden zonder toegang te hebben tot alle IP voor een product. Een zakenpartner kan bijvoorbeeld een enkel onderdeel bouwen voor een groter project, maar niet genoeg kennis hebben om alles te dupliceren. In sommige gevallen zijn valse "stappen" opgenomen in hoe iets werkt, waardoor de database die het bedrijf deelde, zout wordt, zegt Tantleff.

Een andere manier waarop bedrijven hun IP-adres kunnen aanpassen om het minder bruikbaar te maken als het wordt verkregen door iemand die niet van plan is het te zien, is door sommige details, zoals projectcodenamen, te verdoezelen. Men kan bepaalde functionaliteit hernoemen, zoals hernoemen codering, wat de kernfunctionaliteit is van het wijzigen van een video van het ene formaat naar het andere.

Hoewel het beheersen van het type en de hoeveelheid gedeelde gegevens één strategie is, kan een bedrijf kwetsbaarheden beperken door alle IP op hun eigen systeem vast te houden en hun directe partners toegang te geven tot wat ze lokaal nodig hebben, voegt Jennifer Urban, co-voorzitter voor Cybersecurity & Data toe. Privacy binnen de innovatieve technologiesector van Foley & Lardner.

Een grote kwetsbaarheid van corporate IP is third-party risk management (TPRM), waarbij zakenpartners uw IP delen met hun eigen derde partijen. "Het is moeilijk om risico's van derden, vierde partijen of vijfde partijen echt te beheersen, omdat het zich niet in uw omgeving bevindt", zegt ze. Een aanbeveling "is uiteraard om geen IP te verzenden voor zover dat mogelijk is, en leveranciers zeker te prioriteren op basis van het type IP dat ze ontvangen."

Idealiter behoudt een bedrijf het IP-adres op zijn beschermde netwerk en deelt het alleen de onderdelen die een partner nodig heeft via een beveiligde verbinding met het bedrijfsnetwerk. Het beperken van de toegang op basis van behoefte en specifieke gegevens verbetert de verdediging van het bedrijf.

Valse verwachtingen

Peter Wakiyama, expert op het gebied van intellectueel eigendom en partner bij het advocatenkantoor Troutman Pepper, zegt dat er twee belangrijke IE-kwesties zijn waar veel CISO's en bedrijfsleiders het bij het verkeerde eind hebben.

“CISO's denken misschien dat als er geen schade is, [zoals] een datalek of -verlies, er geen fout is. Dat is niet waar. Het eenvoudigweg niet nemen van adequate beschermingsmaatregelen kan juridische gevolgen hebben, omdat een eigenaar van een handelsgeheim consequent redelijke inspanningen moet leveren om handelsgeheimen en andere vertrouwelijke informatie veilig te houden”, zegt hij. "Naarmate er nieuwe bedreigingen opduiken, moeten er voortdurend nieuwe beschermingen worden geïmplementeerd om ervoor te zorgen dat de wettelijke rechten van handelsgeheimen niet in het gedrang komen."

Wat het tweede betreft, merkt Wakiyama op: “Veel CISO's en andere IT-professionals geloven dat als je ervoor betaalt om het te maken, je het bezit. Niet waar. Afhankelijk van de feiten en omstandigheden kan de verkoper/ontwikkelaar aanzienlijke IP-eigendomsrechten op uitvindingen (octrooien) en auteursrechten behouden.

“Bijvoorbeeld”, vervolgt hij, “als een verkoper wordt ingehuurd om een ​​aangepast beveiligingsprogramma te ontwerpen, bouwen en implementeren, behoudt hij de uitvindingsrechten en auteursrechten, tenzij de verkoper schriftelijk instemt met het overdragen van al zijn IP-rechten. vrij om die rechten te gebruiken en te delen met anderen.”

Andi Mann, oprichter van het managementadviesbureau Sageable, zei dat het beschermen van IP moet worden gezien als een menselijke kwestie evenzeer als een technologische. Hoewel organisaties audits kunnen uitvoeren om het gebruik van IP te volgen, met behulp van een reeks monitoring- en netwerkzichtbaarheidstools, komt het normaal gesproken neer op een mensenprobleem.

"Je moet controles hebben", zegt hij. De technologiecomponent is belangrijk, maar contractuele afspraken om te beperken wat een derde partij kan weten en doen met die kennis is nog steeds een hoeksteen.

“Je moet prikkels geven. Je moet begrijpen waarom mensen toegang hebben tot dit soort inhoud in deze gegevens, bijvoorbeeld als een van mijn ingenieurs onze octrooidatabase of ons innovatieplan gaat opzoeken. Waarom? Praat met me over waarom je het nodig hebt. En je kunt de toegang tot sommige van deze gegevens en sommige van deze informatie beperken”, zegt Mann.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared