Yazan: George T. Tziahanas, AGC ve Uyumluluktan Sorumlu Başkan Yardımcısı, Arşiv360
Dağıtılmış bir dijital dünyada veri konumunun giderek daha önemli hale gelmesi mantığa aykırı görünebilir. Ancak mevcut eğilimlere bakıldığında, ulusal sınırlar gerçekten de siberuzayda varlık göstermektedir.
Hükümetler uzun süredir ulusal güvenlikle ilgili bilgileri (gizli veriler gibi) kontrol etmeye çalıştılar, ancak İnternet Çağının başlangıcından bu yana, gizli olmayan veri paylaşımıyla çok fazla ilgilenmediler – ya da ilgilendilerse de hedefler genellikle oldukça dardır. Başlangıçta yatılı kullanıcılar için fazla endişe duymadan dağıtılan ve kullanılan bulut çözümlerinin benimsenmesi, asıl noktayı belirledi.
Ancak tüm bunlar değişiyor: Son birkaç yılda ülkeler müdahaleci yaklaşımlarını yeniden değerlendirdiler ve artık erişimlerini ulusal çıkarlarıyla daha uyumlu alanlara doğru genişletiyorlar. Bunlar arasında vatandaşların mahremiyeti, kritik ulaşım veya enerji altyapısı, finansal piyasalar ve gizli olmayan hükümet bilgileri ile ilgili endişeler yer alıyor. Açıkça siber ve diğer riskleri azaltmak ve ekonomileri ve nüfusları üzerinde daha geniş bir etkiye karşı korunmak istiyorlar.
Bu tür veri egemenliği yasaları birçok bölgede ya kabul edilmiş ya da teklif edilmiştir. Çin, Almanya, Fransa (önerilen), Suudi Arabistan Krallığı ve Dubai iyi örneklerdir; egemenliğe tabi bilgi türlerini, erişim kontrollerini ve bulut hizmetlerinin kullanıldığı koşulları tanımlamak için sınıflandırma şemaları gibi ortak özellikleri paylaşırlar.
Amerika Birleşik Devletleri (halihazırda yürürlükte olan ihracat kısıtlamaları dışında) belirli bir veri egemenliği kanunu kabul etmedi, ancak hükümet Gizli Sınıflandırılmamış Bilgilere (CUI) ilişkin bir düzenleme getirdi. Amaç, “yasalar, yönetmelikler veya hükümet çapındaki politikalar kapsamında koruma gerektiren ancak gizli olarak nitelendirilmeyen bilgileri yürütme organının işleme biçimini standartlaştırmaktır.”
Amaçta belirtildiği gibi amaç, federal kurumların CUI’yi nasıl ele aldığını standartlaştırmaktı ancak bu aynı zamanda hükümetle sözleşme yapan veya hükümetle çalışan kişileri de kapsıyor. Üçüncü taraflara yönelik CUI yükümlülükleri, artık CUI’yi (veya ilgili sistemleri) kullanan veya yöneten herkes için gerekli olan sözleşme hükümlerine dayalı olarak uygulanmaktadır. Bu aynı zamanda federal hükümetle iş yapan veya veri paylaşımı ilişkilerine dahil olan eyalet veya yerel kurumları da içerebilir.
Yukarıda açıklanan veri egemenliği yasaları gibi CUI düzenlemesi de geniş bir kategorize edilmiş bilgi kümesine dayanmaktadır. Kritik altyapı, finans, göç, istihbarat, ihracat kontrolü ve ulaşım gibi alanları tanımlar. Bu daha geniş kategorilerin her biri, kontrollere tabi olan bilgi türlerini daha ayrıntılı olarak tanımlayan alt kategorilere ayrılmıştır.
Tüm CUI, bilgilerin “temel” veya “belirlenmiş” kısıtlamalara/kontrollere tabi olup olmadığının ana hatlarını çizen bir işaretleme gerekliliğine tabidir. Tüm CUI’lerin (“temel” dahil) FIPS 199, FIPS 200 ve NIST SP-800-53 gibi standartlar ve politikalarla tutarlı bir şekilde korunması gerekir. Bunlar hem devlet kurumlarında hem de birçok özel sektör kuruluşunda oldukça tanıdıktır. Vatandaş olmayanlarla, yüklenicilerle veya belirli kontrollü ortamların dışında paylaşımın yasaklanması gibi diğer kısıtlamaların yanı sıra ek kontrol gereklilikleri (“belirtilen CUI”) belirtilebilir. Tüm bu standartların ardındaki amaç, sonuçta bu bilgileri yetkisiz erişime veya ifşa edilmeye karşı korumaktır.
Bazı federal kurumlar ve müteahhitler hâlihazırda CUI’yi müzakere ederken, pek çok kuruluş muhtemelen bunu yalnızca bir sözleşmede güncelleme istendiğinde veya ana yükleniciden gelen akışlar bunu daha küçük organizasyonlara ittiğinde öğrenecektir. Bu arada, küresel şirketler yakında uluslararası dijital sınırlarla uğraşmak zorunda kalacak.
Ancak bunlar nasıl dijital sorunlarsa, dijital çözümler de var. Veri kategorizasyonunun yanı sıra gerekli erişim kontrolü ve güvenlik gereksinimlerinin yönetilmesine yardımcı olacak teknolojiler halihazırda mevcuttur. Bu bilgilerin çoğu birçok teknoloji sözleşmesinden daha uzun süre dayanacağından, devlet tarafından kontrol edilen bulut ortamlarının dikkate alınması faydalı olabilir.
Özetle CUI geliyor ve önemli olacak. Şu anda piyasada bulunan teknolojilere yetişmeye çalışmak yerine bir adım önde olmak büyük bir avantaj sunacaktır.
Tam listenin tamamı, Bkz. https://www.archives.gov/cui/registry/category-list
yazar hakkında
George T. Tziahanas, Uyumluluktan Sorumlu Başkan Yardımcısı, Arşiv360
George, karmaşık uyumluluk ve bilgi riski zorlukları konusunda geniş deneyime sahiptir. Petabayt ölçeğinde uyumlu defter ve kayıt sistemleri, denetim ve gözetim ve e-Keşif çözümleri tasarlamak ve dağıtmak için çok sayıda finansal hizmet şirketiyle çalıştı. George ayrıca uyumluluk ve veri yönetimi gerekliliklerini ele alan stratejiler ve yol haritaları geliştirme konusunda da derin bir uzmanlığa sahiptir. Gerçek dünyadaki sorunları çözmek için yeni ortaya çıkan ve ilerleyen teknolojilerle çalışma konusunda uzmanlaştı. Yasal ve düzenleyici kullanım senaryolarında yapay zeka/makine öğrenimi odaklı analizler yürüttü ve şirketlerin yeni çözümler benimsemesine yardımcı oldu.
George’a çevrimiçi olarak ([email protected], Twitter @Georgetz2) adresinden ve www.archive360.com şirket web sitesinden ulaşılabilir.