Захист інтелектуальної власності, коли нею потрібно поділитися

Захистити інтелектуальну власність (IP), коли вона знаходиться в корпоративній мережі або в хмарі, досить складно, коли компанія контролює мережевий захист, але коли IP потрібно надати спільно з діловим партнером, загрози зростають експоненціально. У той час як договірні зобов’язання та страхування можуть відшкодувати компанії певну грошову допомогу, повернути прославленого джина в пляшку, коли корпоративні секрети стають публічними або потрапляють до рук конкурентів, неможливо.

З чисто технологічної точки зору CISO можуть використовувати технології, які обмежують доступ користувачів, наприклад перехід на a архітектура мережі з нульовою довірою (ZTNA), а не традиційної віртуальної приватної мережі (VPN) віддаленого доступу, або, можливо, використовувати контроль доступу на основі ролей (RBAC) на основі класифікації даних, токенізації чи іншого контролю безпеки. Крім того, поширеним є обмеження доступу за допомогою керування доступом до ідентифікаційної інформації (IAM).

Не всі IP однакові, і не всі IP вимагають однакових заходів безпеки, зауважує Аарон Тантлефф, партнер у групах практики технологічних транзакцій, кібербезпеки та конфіденційності юридичної фірми Foley & Lardner LLP.

Визначення того, який контроль потрібний і до якого рівня, залежить від вартості інтелектуальної власності, як грошової, так і операційної діяльності компанії. Важко зробити узагальнення щодо захисту ІВ, оскільки кожна організація має різні типи ІВ, які вони захищають по-різному, зазначає Тантлефф. Організації не будуть впроваджувати ті самі засоби контролю безпеки обов’язково через систему постачальників, оскільки засоби контролю залежать від критичної IP-адреси та менш цінної IP-адреси, додає він.

Безпечний обмін

Традиційні технології — і навіть деякі нові підходи на основі ZT — дійсно допомагають обмежити можливість компрометації IP, але мало забезпечують безпеку, коли IP потрібно надати партнерам. Традиційно компанії ділилися лише невеликими частинами своєї інтелектуальної власності, залучаючи різних ділових партнерів до роботи, не маючи доступу до всієї інтелектуальної власності для продукту. Наприклад, діловий партнер може створити одну деталь для більшого проекту, але не матиме достатньо знань, щоб дублювати все. У деяких випадках у те, як щось працює, включаються хибні «кроки», що завдає шкоди базі даних, якою компанія ділиться, каже Тантлефф.

Ще один спосіб, у який компанії можуть змінити свою IP-адресу, щоб зробити її менш корисною, якщо вона отримана кимось, хто не має на меті її бачити, полягає в тому, щоб приховати деякі деталі, наприклад кодові назви проекту. Можна перейменувати певні функції, наприклад перейменування кодування, що є основною функціональністю зміни відео з одного формату на інший.

Хоча контроль за типом і обсягом даних, що передаються, є однією зі стратегій, компанія може обмежити вразливі місця, зберігаючи всі IP-адреси у власній системі та дозволяючи своїм безпосереднім партнерам отримувати доступ до того, що їм потрібно локально, додає Дженніфер Урбан, співголова Cybersecurity & Data. Конфіденційність у секторі інноваційних технологій Foley & Lardner.

Основною вразливістю корпоративної інтелектуальної власності є управління ризиками третьої сторони (TPRM), коли ділові партнери діляться вашою інтелектуальною адресою зі своїми третіми сторонами. «З ризиком третьої, четвертої чи п’ятої сторони важко справді стримувати його, оскільки це не у вашому середовищі», — каже вона. Одна з рекомендацій «очевидно, не надсилати будь-яку IP-адресу, наскільки це можливо, і, безперечно, розставляти пріоритети постачальникам за типом IP-адреси, який вони отримують».

В ідеалі компанія зберігатиме IP у своїй захищеній мережі та надаватиме лише ті частини, які потрібні партнеру, через безпечне з’єднання з корпоративною мережею. Обмеження доступу за потребою та конкретними даними покращує корпоративний захист.

Неправдиві очікування

Пітер Вакіяма, експерт з інтелектуальної власності та партнер юридичної фірми Troutman Pepper, каже, що існує два важливих питання ІВ, які багато CISO та керівники компаній помиляються.

«КІСО можуть вважати, що якщо немає шкоди, [наприклад] витоку чи втрати даних, фолу немає. Це не правда. Проста неспроможність забезпечити адекватний захист може мати юридичні наслідки, оскільки власник комерційної таємниці повинен постійно докладати розумних зусиль для збереження комерційної таємниці та іншої конфіденційної інформації», – говорить він. «З появою нових загроз необхідно постійно впроваджувати нові засоби захисту, щоб гарантувати, що законні права на комерційну таємницю не будуть порушені».

Що стосується другого, то Вакіяма зазначає: «Багато CISO та інші ІТ-фахівці вважають, що якщо ви платите за його створення, ви володієте ним. Неправда. Залежно від фактів і обставин, постачальник/розробник може зберігати значні права власності на винаходи (патенти) і авторські права.

«Наприклад, — продовжує він, — якщо постачальника наймають для розробки, створення та впровадження спеціальної програми безпеки, якщо постачальник не погодиться в письмовій формі передати всі свої права інтелектуальної власності, він збереже права на винаходи та авторські права та може бути вільно використовувати та ділитися цими правами з іншими».

Енді Манн, засновник консалтингової компанії Sageable, сказав, що захист ІВ слід розглядати як людське питання настільки, наскільки технологічний. Хоча організації можуть проводити аудити для відстеження використання IP, використовуючи низку інструментів моніторингу та видимості мережі, зазвичай це зводиться до проблеми з людьми.

«Ви повинні мати засоби контролю», — каже він. Технологічний компонент є важливим, але договірні угоди щодо обмеження того, що третя сторона може знати та робити з цими знаннями, все ще є наріжним каменем.

«Ви повинні забезпечити стимули. Ви повинні розуміти, чому люди отримують доступ до такого вмісту в цих даних, наприклад, якщо один із моїх інженерів шукає нашу патентну базу даних або інноваційний план. чому Поговори зі мною про те, навіщо тобі це потрібно. І ви можете обмежити доступ до деяких із цих даних і до частини цієї інформації», — говорить Манн.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared