Dezenformasyon hassas verilerden besleniyor ve ABD, düşmanlarının yaygın dezenformasyon kampanyaları yürüttüğü bu yılki başkanlık seçimlerine hazırlık sürecinde bazı zor dersler aldı. Peki bu konuda ne yapıyor? ABD, vatandaşlarının hassas verilerini istismar eden dış tehditleri hedef alan yeni bir kural getiriyor.
ABD Adalet Bakanlığı Pazartesi günü, Önerilen Kural Oluşturma Bildirimi’nde (NPRM), Amerikalıların hassas verilerini yabancı düşmanlardan korumak için önemli bir girişim önerdi. Başkan Biden’ın 14117 sayılı Başkanlık Kararnamesi’nden türetilen kural, ABD verilerinin tehdit olarak tanımlanan ülkeler tarafından sömürülmesini engellemeyi amaçlıyor.
Yeni teklif, kapsamlı değişiklikleri hemen zorunlu kılmıyor; bunun yerine, yürürlüğe girmeden önce kuralın iyileştirilmesi için kamuoyunun geri bildirimini istiyor.
Hassas Verileri İstismar Eden Yabancı Tehditlere Yanıt
Çin, Rusya ve diğerleri gibi ülkeler, siber yeteneklerini güçlendirmek için hassas ABD verilerini giderek daha fazla kullanıyor. Genellikle ticari işlemler yoluyla elde edilen bu veriler şantaj, casusluk ve siber saldırı amacıyla kullanılabilir.
NPRM, yabancı rakiplerin biyometrik, genomik ve coğrafi konum bilgileri gibi toplu hassas verilere erişmesini sağlama riski taşıyan veri işlemlerini hedefleyen katı önlemlerin ana hatlarını çiziyor.
Bu düzenlemeler, Bakanlığın Mart ayı Önerilen Kural Oluşturma Ön Bildirisi’nde (ANPRM) önizlenen çerçeveye dayanmaktadır ve belirli kısıtlı işlem sınıflarını tanıtmaktadır.
Temel Hükümler ve Kapsanan Veriler
Önerilen kural, belirlenmiş “ilgili ülkeler” ve “kapsam dahilindeki kişiler” ile yapılan veri işlemlerine yasaklar ve kısıtlamalar getiriyor.
Biyometrik tanımlayıcılar ve finansal veriler de dahil olmak üzere, kimliği belirlenebilir ABD’li bireylerle bağlantılı olması durumunda ulusal güvenlik tehditleri için kullanılabilecek altı hassas kişisel veri kategorisini tanımlamaktadır. Örneğin, 1.000’den fazla kişinin biyometrik verilerini veya 10.000’den fazla kişinin finansal verilerini içeren işlemler, düzenleyici incelemeyi tetikleyecektir.
Ayrıca Okuyun: FTC, Milyonlarca Hasta Verisini Paylaştığı İçin Cerebral’e 7 Milyon Dolarlık Ceza Verdi
Kapsam açısından kural, Çin, Küba, İran, Kuzey Kore, Rusya ve Venezüella’yı, ABD ulusal güvenliğine yönelik belgelenmiş tehditleri nedeniyle endişe duyulan ülkeler olarak tanımlıyor. Kural ayrıca, istihbarat operasyonlarında kötüye kullanılma potansiyeli göz önüne alındığında, ABD hükümeti personeliyle ilişkili verileri de düzenliyor.
Kısıtlamalar ve Güvenlik Gereksinimleri
NPRM, kısıtlı işlemlerin üç ana kategorisini ayrıntılarıyla anlatır: satıcı sözleşmeleri, iş sözleşmeleri ve belirli yatırım sözleşmeleri.
Bunlar, yalnızca İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Ajansı’nın (CISA) belirttiği gibi sıkı güvenlik önlemlerinin alınması durumunda ilerleyebilir. Gereksinimler arasında şifreleme, veri minimizasyonu ve yabancı kuruluşların veri erişimiyle ilişkili riskleri azaltan organizasyonel politikalar yer almaktadır.
Kural, telekomünikasyon hizmetleri, rutin operasyonlarla ilgili mali hizmetler ve belirli şirket içi veri aktarımları gibi birden fazla muafiyet önermektedir. Muafiyetler aynı zamanda ANPRM yorum döneminde dile getirilen sektör endişelerini yansıtan klinik deney verilerini de kapsamaktadır.
Uyum ve Raporlama Yükümlülükleri
Uyumun sağlanması için kural, etkilenen ABD kuruluşlarının operasyonel ölçeklerine ve coğrafi konumlarına göre uyarlanmış risk bazlı uyumluluk programları geliştirmelerini gerektirecektir. Uyumluluk programları denetimleri, veri akışı günlük kaydını ve güvenli veri işleme uygulamalarını içermelidir. NPRM ayrıca, yabancı bağlantılar nedeniyle risk oluşturabilecek veri işlemlerine katılan ABD’li kişiler için raporlama gerekliliklerini de ortaya koymaktadır.
Uyumsuzluk, 1 milyon dolara varan para cezaları ve kasıtlı ihlaller nedeniyle hapis cezası da dahil olmak üzere ciddi cezalar gerektirir. Bu sıkı uygulama, ABD’nin yabancı düşmanların oluşturduğu ulusal güvenlik tehditlerine karşı koymak için ekonomik araçları kullanma yönündeki daha geniş stratejisiyle uyumludur.
Sırada Ne Var ve Paydaş Katılımı
Adalet Bakanlığı, NPRM’nin Federal Kayıt’ta yayınlanmasından sonraki 30 gün içinde kamuoyunun yorumlarını davet etti. Bu destek, Bakanlığın kuralın gelişimini şekillendirmek üzere 100’den fazla paydaşı dahil ettiği ANPRM ile başlatılan sağlam bir istişare sürecinin ardından geldi.
NPRM yeni gözetim yetenekleri sunmasa da hassas verilerin yabancı güçler tarafından kötüye kullanılmasına karşı koruma çıtasını önemli ölçüde yükseltiyor. Düzenleyici çerçeveler geliştikçe, yüksek hacimli hassas verileri işleyen şirketlerin ortaya çıkan bu güvenlik beklentilerine hızlı bir şekilde uyum sağlaması gerekiyor.