Скритата цена на фрагментирането на инструмента за...

Какво виждат одиторите, когато питат за контролите на PII

По време на одит на GDPR от надзорен орган или оценка по ISO 27001, един от стандартните въпроси е: „Какви технически средства за контрол имате за анонимизиране на PII?“

Одиторът търси ясен, защитим отговор: специфичен контрол, последователно прилаган, с документация за това как работи и доказателства за неговата ефективност.

Отговорът, който създава риск за съответствие: „Използваме различни инструменти в зависимост от контекста. За сърфиране в мрежата използваме разширението за Chrome, за документи Word използваме макрос, за групови файлове нашият екип за данни разполага със скрипт на Python, който са написали, а за спешни заявки използваме уеб приложението.“

Този отговор предизвиква последващо действие: „Какви са разликите в покритието между тези инструменти? Как гарантирате последователни резултати между инструментите? Къде е одитната пътека, която демонстрира последователно приложение?“

Това са въпроси, на които фрагментираните инструменти не могат да отговорят ясно.

Проблемът с последователността на покритието

Различните инструменти за откриване на PII използват различни основни подходи за откриване:

Инструменти само за Regex: Търсене на конкретни модели (SSN формат, имейл формат, формат на кредитна карта). Miss NER-базирани обекти (имена на лица, организации, които не отговарят на известен списък), контекстуални идентификатори и формати извън САЩ.

Инструменти само за NER: Откриване на типове обекти с помощта на обучени модели. Субекти, базирани на пропуснати шаблони (IBAN, номера на сметки със специфични формати), персонализирани организационни идентификатори и субекти, които не са в данните за обучение.

Инструмент A срещу Инструмент B срещу Инструмент C: Всеки има различен тип покритие на обекта, различни прагове на достоверност, различно боравене с крайни случаи. Един и същ документ, обработен чрез инструмент A и инструмент C, може да доведе до различни резултати от откриване.

Проблемът със съответствието: ако инструмент A (използван за PDF файлове) открива дати на раждане, но инструмент B (използван за Excel) не, тогава рождената дата на същия субект на данни в PDF е анонимна, докато датата му на раждане в електронна таблица Excel не е. Систематичният контрол на съответствието има пропуск, който зависи от формата на документа.

За разследванията на DPA тази празнина е забележима. Ако възникне нарушение на данните и разследването разкрие, че Excel версията на електронната таблица на записите на субект на данни не е анонимизирана, докато PDF версията е била анонимна, несъответствието между инструментите е фактор, допринасящ за излагането.

Проблемът с одитната пътека

Документацията за съответствие изисква доказателство, че контролите се прилагат последователно. За анонимизирането на PII доказателството е одитната пътека: какво е обработено, кога, от кого, с какъв инструмент и какъв е резултатът.

Четири различни инструмента създават четири различни формата на одитна пътека — или никаква одитна пътека. Макрос Word не създава журнал за проверка. Скрипт на Python може да пише в локален файл, който не е интегриран със системата за управление на съответствието. Разширението за Chrome може да създаде регистрационни файлове от страна на браузъра, недостъпни за документация за съответствие. Само уеб приложението може да генерира централизирана одитна пътека.

За разследване на DPA, което изисква доказателства за одитна пътека, отговорът „обработихме този документ в макрос Word, тези регистрационни файлове са на локалната машина на разработчика“ не е задоволителен. Отговорът „тук е централизираният одитен журнал, обхващащ цялата обработка на анонимизиране във всички платформи за заявения период“ е задоволителен.

Обработката на една платформа позволява покритие на единична одитна пътека. Фрагментираните инструменти правят централизираната одитна пътека невъзможна.

Проблемът с отклонението на конфигурацията

С течение на времето различни инструменти, използвани от различни членове на екипа, развиват различни конфигурации:

• Разширението за Chrome е конфигурирано с персонализираните типове обекти на организацията
• Скриптът на Python не беше актуализиран, когато бяха добавени персонализираните типове обекти
• Макросът Word е конфигуриран от член на екипа, който след това е напуснал, и никой не знае текущите настройки
• Предварителната настройка на уеб приложението беше актуализирана миналия месец, за да изключи имената на изпълнителите, но тази актуализация не беше разпространена в другите инструменти

Дрейфът на конфигурацията създава проблема с несъответствието в обратна посока: дори ако всички инструменти първоначално са дали подобни резултати, дейността по поддръжка на един инструмент без актуализиране на други създава разминаване с течение на времето.

За контролите по ISO 27001 изискването за документация за конфигурация прави това особено проблематично. ISO одитор, който пита „покажете ми конфигурацията за вашите контроли за анонимизиране на PII“, не може да получи задоволителен отговор с „имаме четири инструмента с четири различни конфигурации и не сме сигурни, че всички са актуални“.

Констатацията на ISO 27001

Екипът от 15 души на консултантска фирма за съответствие използва четири различни инструмента: инструмент за уеб скрепер за онлайн данни, самостоятелен настолен инструмент на Windows за групови файлове, макро Word за правни документи и разширение за Chrome за AI инструменти.

Одит по ISO 27001 доведе до констатация: „Непоследователни процедури за анонимизиране на данни в различни платформи. Различните инструменти, използвани за различни контексти, дават различни резултати от откриване и нямат централизирана одитна пътека. Това създава празнина в контрола ISO/IEC 27001:2022 Анекс A 8.11 (Маскиране на данни) — контролът не може да бъде демонстриран като последователно прилаган.“

Констатацията от одита изискваше план за коригиращи действия. Приложеното коригиращо действие: консолидиране в една платформа за анонимизиране за всички случаи на употреба.

Резултати след консолидация:

• Един и същ механизъм за откриване във всички платформи (уеб приложение, настолно приложение, добавка за Office, разширение за Chrome)
• Същите предварителни настройки, приложени в контекста
• Централизирана одитна пътека за цялата обработка
• Констатацията по ISO 27001 е приключена при следващия надзорен одит

6-седмичният проект за консолидация елиминира констатацията на одита, която изискваше отговор на коригиращо действие от 12 страници.

Наративният тест за съответствие

Полезен тест за оценка на фрагментацията на инструмента за PII: можете ли ясно да отговорите на следните въпроси?

1. Какви типове обекти се откриват във всички платформи, които вашият екип използва за анонимизиране на PII?
2. Какъв е прагът на откриване (ниво на достоверност) за всеки тип обект, последователно във всички платформи?
3. Къде е централизираната одитна пътека за цялата анонимна обработка през последните 12 месеца?
4. Как гарантирате, че промените в конфигурацията се прилагат последователно във всички платформи?

Ако някой от тези въпроси доведе до колеблив отговор, фрагментацията създава риск за съответствие. Чистият отговор и на четирите въпроса е постижим — но само с унифициран двигател за всички платформи.

Източници:

• [ISO/IEC 27001:2022 Приложение A 8.11: Маскиране на данни] (https://www.iso.org/standard/27001)
• GDPR Член 32: Сигурност на обработката
• [GDPR член 5, параграф 2: Принцип на отчетност] (https://gdpr-info.eu/art-5-gdpr/)