Ochrona własności intelektualnej, gdy trzeba ją udostępniać

Ochrona własności intelektualnej (IP), gdy znajduje się ona w sieci korporacyjnej lub w chmurze, jest wystarczająco trudna, gdy firma ma kontrolę nad zabezpieczeniami sieci, ale kiedy własność intelektualna musi zostać udostępniona partnerowi biznesowemu, zagrożenia rosną wykładniczo. Podczas gdy zobowiązania umowne i ubezpieczenie mogą zwrócić firmie pewną ulgę pieniężną, włożenie przysłowiowego dżina z powrotem do butelki, gdy tajemnice korporacyjne staną się publiczne lub wpadną w ręce konkurencji, jest niemożliwe.

Z czysto technologicznego punktu widzenia, CISO mogą stosować technologie, które ograniczają dostęp użytkowników, takie jak przejście na architektura sieci zerowego zaufania (ZTNA) zamiast tradycyjnego zdalnego dostępu do wirtualnej sieci prywatnej (VPN) lub zastosować kontrolę dostępu opartą na rolach (RBAC) opartą na klasyfikacji danych, tokenizacji lub innej kontroli bezpieczeństwa. Ponadto powszechne jest ograniczanie dostępu przez zarządzanie dostępem do tożsamości (IAM).

Nie każda własność intelektualna jest taka sama i nie każda wymaga tych samych kontroli bezpieczeństwa, zauważa Aaron Tantleff, partner w grupach zajmujących się transakcjami technologicznymi, cyberbezpieczeństwem i prywatnością w firmie prawniczej Foley & Lardner LLP.

Określenie, jakie kontrole są wymagane iw jakim stopniu, zależy od wartości własności intelektualnej, zarówno pieniężnej, jak i operacyjnej firmy. Trudno jest generalizować na temat ochrony własności intelektualnej, ponieważ każda organizacja ma różne rodzaje własności intelektualnej, które chroni w różny sposób, zauważa Tantleff. Dodaje, że organizacje nie musiałyby wdrażać tych samych kontroli bezpieczeństwa za pośrednictwem pociągu dostawców, ponieważ kontrole zależą od IP o znaczeniu krytycznym w porównaniu z IP o mniejszej wartości.

Bezpieczne udostępnianie

Tradycyjne technologie — a nawet niektóre pojawiające się podejścia oparte na ZT — pomagają ograniczyć możliwość naruszenia własności intelektualnej, ale w niewielkim stopniu zapewniają bezpieczeństwo, gdy własność intelektualna musi być udostępniana partnerom. Tradycyjnie firmy dzieliły się tylko niewielką częścią swojej własności intelektualnej, zlecając pracę różnym partnerom biznesowym bez dostępu do całej własności intelektualnej produktu. Na przykład partner biznesowy może zbudować pojedynczą część do większego projektu, ale nie ma wystarczającej wiedzy, aby wszystko powielić. Tantleff mówi, że w niektórych przypadkach fałszywe „kroki” są uwzględniane w działaniu czegoś, co zanieczyszcza bazę danych udostępnioną przez firmę.

Innym sposobem, w jaki firmy mogą modyfikować swoje IP, aby uczynić je mniej użytecznymi, jeśli uzyska je osoba, która nie jest przeznaczona do ich przeglądania, jest zaciemnianie niektórych szczegółów, takich jak nazwy kodowe projektów. Można zmienić nazwę niektórych funkcji, takich jak zmiana nazwy kodowanie, która jest podstawową funkcją zmiany wideo z jednego formatu na inny.

Podczas gdy kontrolowanie rodzaju i ilości udostępnianych danych jest jedną ze strategii, firma może ograniczyć luki w zabezpieczeniach, przechowując wszystkie IP we własnym systemie i umożliwiając swoim bezpośrednim partnerom lokalny dostęp do tego, czego potrzebują, dodaje Jennifer Urban, współprzewodnicząca ds. cyberbezpieczeństwa i danych Prywatność w sektorze innowacyjnych technologii firmy Foley & Lardner.

Główną luką w zabezpieczeniach korporacyjnej własności intelektualnej jest zarządzanie ryzykiem strony trzeciej (TPRM), w ramach którego partnerzy biznesowi udostępniają Twoją własność intelektualną swoim własnym stronom trzecim. „Ryzyko strony trzeciej, czwartej lub piątej jest trudne do powstrzymania, ponieważ nie ma go w twoim środowisku” — mówi. Jednym z zaleceń jest „oczywiście, aby nie wysyłać żadnych adresów IP w takim zakresie, w jakim jest to możliwe, i na pewno priorytetyzować dostawców według rodzaju otrzymywanych adresów IP”.

Idealnie byłoby, gdyby firma utrzymywała adres IP w swojej chronionej sieci i udostępniała partnerowi tylko te części, których potrzebuje, za pośrednictwem bezpiecznego połączenia z siecią korporacyjną. Ograniczanie dostępu według potrzeb i określonych danych poprawia zabezpieczenia korporacyjne.

Fałszywe oczekiwania

Peter Wakiyama, ekspert ds. własności intelektualnej i partner w firmie prawniczej Troutman Pepper, mówi, że są dwie ważne kwestie dotyczące własności intelektualnej, które wielu CISO i dyrektorów korporacyjnych myli.

„CiSO mogą myśleć, że jeśli nie ma szkody, [takiej jak] naruszenie lub utrata danych, nie ma faulu. To nie jest prawda. Po prostu niezastosowanie odpowiednich zabezpieczeń może mieć konsekwencje prawne, ponieważ właściciel tajemnicy handlowej musi konsekwentnie dokładać uzasadnionych starań, aby chronić tajemnice handlowe i inne poufne informacje” – mówi. „W miarę pojawiania się nowych zagrożeń należy stale wdrażać nowe zabezpieczenia, aby zapewnić, że prawa dotyczące tajemnicy handlowej nie zostaną naruszone”.

Jeśli chodzi o drugą kwestię, Wakiyama zauważa: „Wielu CISO i innych specjalistów IT uważa, że ​​jeśli płacisz za jej utworzenie, jesteś jej właścicielem. Nie prawda. W zależności od faktów i okoliczności sprzedawca/programista może zachować znaczące prawa własności intelektualnej do wynalazków (patenty) i prawa autorskie.

„Na przykład”, kontynuuje, „jeśli sprzedawca zostanie zatrudniony do zaprojektowania, zbudowania i wdrożenia niestandardowego programu bezpieczeństwa, o ile sprzedawca nie wyrazi pisemnej zgody na przeniesienie wszystkich swoich praw własności intelektualnej, zachowa on prawa do wynalazków i prawa autorskie i może zostać swobodnie korzystać i dzielić się tymi prawami z innymi”.

Andi Mann, założyciel firmy doradczej Sageable, powiedział, że ochronę własności intelektualnej należy postrzegać jako kwestia ludzka tyle, co technologiczne. Chociaż organizacje mogą przeprowadzać audyty w celu śledzenia wykorzystania własności intelektualnej, stosując szereg narzędzi do monitorowania i wglądu w sieć, zwykle sprowadza się to do problemu ludzi.

„Musisz mieć kontrole na miejscu” – mówi. Komponent technologiczny jest ważny, ale ustalenia umowne ograniczające to, co strona trzecia może wiedzieć i robić z tą wiedzą, nadal stanowią kamień węgielny.

„Musisz zapewnić zachęty. Musisz zrozumieć, dlaczego ludzie uzyskują dostęp do tego rodzaju treści w tych danych, na przykład gdy jeden z moich inżynierów sprawdza naszą bazę danych patentów lub plan innowacji. Dlaczego? Porozmawiaj ze mną o tym, dlaczego tego potrzebujesz. Możesz ograniczyć dostęp do niektórych z tych danych i niektórych informacji” – mówi Mann.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared