Wie Mikrosegmentierung Ihnen hilft, die CCPA-Sicherheitsverpflichtungen zu erfüllen

Das kalifornische Verbraucherschutzgesetz (CCPA) trat am 1. Januar 2020 in Kraft, und die Prüfung und Durchsetzung begannen am 1. Juli. Diese neue Datenschutzverordnung wird erhebliche Auswirkungen auf Datenschutzinitiativen nicht nur in Kalifornien haben, sondern auch auf Organisationen, die in dem Bundesstaat umfangreiche Geschäftstätigkeiten haben und daher Daten von Einwohnern Kaliforniens erheben oder Zugriff darauf haben.

Der Großteil der ersten Diskussionen über CCPA konzentrierte sich auf die Verpflichtung von Unternehmen, den Anträgen der Einwohner Kaliforniens auf Zugriff, Löschung und Ablehnung der Datenerfassung nachzukommen. Wenn Sie in Kalifornien ansässig sind, kennen Sie die unaufhörlichen Datenschutzhinweise, die bei jedem Besuch einer Website erscheinen, sehr gut. Das andere Gesprächsthema rund um CCPA konzentrierte sich auf die Verpflichtung, den Verkauf von Verbraucherdaten auf Anfrage einer Einzelperson einzustellen.

Das CCPA-Dokument enthält einen kleinen Abschnitt, der sich auf Datenschutzverletzungen und Sicherheit konzentriert. Meiner Meinung nach haben die in diesen Klauseln genannten Verstöße deutlich größere Auswirkungen auf die Marke eines Unternehmens und das zukünftige Umsatzwachstum. Private Prozessparteien haben keine Zeit damit verschwendet, Klagen nach dem neuen Gesetz einzureichen. Zum Beispiel Marriott International hat einen Verstoß angekündigt, wovon 5,2 Millionen Kunden betroffen waren, am 31. März 2020. Ein paar Tage später (3. April), ein CA Verbraucher reichte eine Sammelklage ein gegen das Unternehmen im Rahmen der CCPA-Datenschutzklausel. Wenn Sie mehr über diesen Fall und ähnliche rechtliche Schritte erfahren möchten, veröffentlicht die Datenschutzkanzlei Kelley Drye vierteljährlich eine Zusammenfassung der CCPA-Rechtsstreitigkeiten.

Bei all dem Gerede über Vorschriften fragen Sie sich vielleicht, welche Rolle Mikrosegmentierung spielt bei CCPA eine Rolle und wie Sie Mikrosegmentierung nutzen können, um Ihrem CCPA-Risiko von Datenschutzverletzungen zu begegnen.

Lassen Sie uns vor diesem Hintergrund genauer untersuchen, was CCPA ist, und uns auf die Anforderungen an Sicherheit und Schutz vor Datenschutzverletzungen konzentrieren. (Haftungsausschluss: Obwohl ich die Sicherheits- und Rechtsteams von Illumio zu den Inhalten dieses Blogs konsultiert habe, sollten die Informationen nicht als Rechtsberatung betrachtet werden.

Was ist CCPA?

Der California Consumer Privacy Act (CCPA) heißt offiziell AB-375 und ist ein staatliches Gesetz, das die Datenschutzrechte und den Verbraucherschutz für Einwohner Kaliforniens, Vereinigte Staaten, verbessern soll. Das Gesetz wurde von der kalifornischen Legislative verabschiedet und am 28. Juni 2018 unterzeichnet. Es trat am 1. Januar 2020 in Kraft.

Wer muss den CCPA einhalten?

Ihre Organisation ist gesetzlich verpflichtet, den CCPA einzuhalten, wenn sie die folgenden Kriterien erfüllt: (1) arbeitet gewinnorientiert, und (2) sammelt personenbezogene Verbraucherinformationen über Einwohner Kaliforniens, und (3) sind in Kalifornien geschäftlich tätig — UND überschreitet außerdem mindestens einen der aufgeführten Schwellenwerte: (1) der jährliche Bruttoumsatz übersteigt 25 Millionen $, oder (2) kauft, empfängt, teilt oder verkauft jährlich personenbezogene Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten oder (3) erzielt mehr als 50% seines Jahresumsatzes mit dem Verkauf personenbezogener Daten von Verbrauchern.

Außerdem gilt ein Unternehmen als „Unternehmen“ und fällt unter den CCPA, wenn es ein Unternehmen kontrolliert oder von diesem kontrolliert wird, das die oben genannten Kriterien erfüllt und ein gemeinsames Branding mit diesem Unternehmen teilt.

Die Juristensprache in diesem Abschnitt ist etwas verwirrend. Zur Erinnerung: Bitte erkundigen Sie sich bei Ihrem Rechtsberater, ob Ihr Unternehmen unter den CCPA fällt.

Was sind die Verpflichtungen der betroffenen Organisationen im Rahmen des CCPA?

Viele Tier-1- und Tier-2-Anwaltskanzleien haben Artikel zu diesem Thema veröffentlicht, daher werde ich nicht viel Zeit damit verbringen. Google ist dein Freund. Zusammenfassend umfassen die Verpflichtungen, sind aber nicht beschränkt auf:

1. Verbrauchern eine klare Möglichkeit bieten, den Verkauf von Verbraucherprodukten durch das Unternehmen abzulehnen persönliche Informationen. (Beachten Sie, dass persönliche Daten nicht gleichbedeutend sind mit PII. Weitere Informationen finden Sie in der nächsten Frage.)
2. Informieren Sie den Verbraucher über seine Praktiken zur Erfassung, zum Verkauf und zur Offenlegung von Daten.
3. Bieten Sie dem Verbraucher die Möglichkeit, auf die gesammelten persönlichen Daten zuzugreifen.
4. Bieten Sie dem Verbraucher die Möglichkeit, die vom Unternehmen gesammelten personenbezogenen Daten zu löschen/deren Löschung zu beantragen.
5. Implementieren Sie angemessene Sicherheitsverfahren, um Verbraucherdaten vor Datenschutzverletzungen zu schützen.

Was wird gemäß CCPA als personenbezogene Daten betrachtet?

Beachten Sie, dass sich die CCPA-Sprache auf personenbezogene Daten bezieht und nicht nur auf PII (persönlich identifizierbare Informationen). Die Definition von personenbezogenen Daten im Rahmen des CCPA ist ebenfalls sehr weit gefasst und umfasst unter anderem die folgenden Kategorien:

• Direkte Identifikatoren - richtiger Name, Aliasname, Postanschrift, Sozialversicherungsnummern, Führendschein- und Reisepassdaten sowie Unterschrift. Diese werden als PII betrachtet.
• Indirekte Identifikatoren — Cookies, Beacons, Pixel-Tags, Telefonnummern, IP-Adressen, Kontonamen.
• Biometrische Daten — Gesicht, Netzhaut, Fingerabdrücke, DNA, Sprachaufnahmen, Gesundheitsdaten. Diese werden als PII betrachtet.
• Geolokalisierung — Standortverlauf über Geräte.
• Internetaktivität — Browserverlauf, Suchverlauf, Daten zur Interaktion mit einer Webseite, Anwendung oder Werbung.
• Sensible Informationen — persönliche Merkmale, Verhalten, religiöse oder politische Überzeugungen, sexuelle Vorlieben, Beschäftigungs- und Bildungsdaten, finanzielle und medizinische Informationen.

Sie sollten sich bei Ihrem Rechtsberater und Ihren Sicherheitsteams erkundigen, welche Kategorien von den CCPA-Datenschutz- und Sicherheitsklauseln abgedeckt werden. Diese Analyse hilft Ihnen dabei, den Umfang Ihrer CCPA-bezogenen Sicherheitsverpflichtungen zu ermitteln.

Da Sie CCPA wahrscheinlich aus der Perspektive des Risikos von Datenschutzverletzungen betrachten, möchte ich auf dieses Thema doppelklicken.

Was sind die Sicherheitsverpflichtungen gemäß CCPA?

Das offizielles CCPA-Dokument ist überraschend kurz, und wenn Sie die Gelegenheit haben, es zu lesen, werden Sie feststellen, dass es keine vorgeschriebene Sprache zur Datensicherheit gibt. Es enthält die Klausel über Datenschutzverletzungen, die ein privates Klagerecht für Datenschutzverletzungen einräumt, die sich aus der Nichteinhaltung einer „angemessenen Sicherheit“ gemäß dem kalifornischen Zivilgesetzbuch 1798.81.5 (d) (1) (A) ergeben. (Eine weitere Erinnerung, bitte erkundigen Sie sich bei Ihrem Anwalt).

Es enthält auch Formulierungen zu den Rechten von Verbrauchern bei Datenschutzverletzungen, wodurch betroffene Unternehmen für Verstöße bestraft werden, die auf eine „Verletzung der Pflicht zur Einführung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken“ zurückzuführen sind.

Was ist die Empfehlung für die Umsetzung „angemessener Sicherheitsmaßnahmen“?

Der CCPA gibt keine verbindlichen Leitlinien für „angemessene Sicherheit“. Kamala Harris, die zum Zeitpunkt der Ausarbeitung des Gesetzes der CA State AG angehörte, äußerte sich in der CA-Bericht über Datenschutzverletzungen 2012-2015 dass der Staat die 20 wichtigsten Sicherheitskontrollen des Center for Internet Security (CIS) als Grundlage für angemessene Sicherheitsverfahren und -praktiken betrachtet. Diese Stellungnahme wurde vom derzeitigen CA State AG, Xavier Becerra, nicht aktualisiert, sodass wir davon ausgehen können, dass die Empfehlungen von 2016 weiterhin gültig sind.

Was sind die 20 wichtigsten Sicherheitskontrollen der GUS?

Das CIS Top 20 Security Controls Framework gibt es seit mehr als 10 Jahren und es wird regelmäßig aktualisiert. Das Framework leitet sich von den gängigsten ab Angriffsmuster in den wichtigsten Bedrohungsberichten hervorgehoben und in einer sehr breiten Gemeinschaft von Vertretern aus Regierung und Industrie überprüft. Es spiegelt das kombinierte Wissen von Experten für Forensik und Reaktion auf Zwischenfälle aus Wirtschaft und Regierung wider. Es ist keine Überraschung, dass die CA State AG dieses Framework als Grundlage empfiehlt, da viele Unternehmen diesen Ansatz bereits verfolgen und dann die Kontrollen erweitern, um den spezifischen Anforderungen ihrer Umgebung gerecht zu werden.

Nur um das klarzustellen: Sie können sich nicht auf ein einziges Produkt verlassen, um diese Kontrollen zu implementieren. Idealerweise benötigen Sie eine Lösung, die die Aktivierung dieser Kontrollen unterstützt und über robuste APIs verfügt, die sich gut mit Ihren anderen Sicherheitsinvestitionen wie SIEM, Schwachstellenscannern, CMDB, SCMs, Container-Orchestrierung usw. kombinieren lassen.

Illumio erfüllt und unterstützt direkt 16 der 20 wichtigsten Sicherheitskontrollen der GUS. Hier finden Sie eine übersichtliche Abbildung zur einfachen Anzeige. Ich habe kürzlich einen separaten Blog verfasst über Zuordnung von Illumio zu den 20 wichtigsten Steuerungen der GUS wenn Sie auf jedes dieser Steuerelemente doppelklicken möchten. (Hinweis: „Unterstützungen“ in der Spalte mit den Funktionen von Illumio bedeutet, dass Kunden die Daten oder Funktionen von Illumio verwenden, um einen Teil der Steuerung zu aktivieren.

Wie können Unternehmen Illumio und das CIS Top 20 Security Controls Framework nutzen, um die Anforderungen des CCPA an „angemessene Sicherheitsmaßnahmen“ zu erfüllen?

Wenn Sie die CIS Top 20 Controls eingeführt haben, um Ihren CCPA-Sicherheitsverpflichtungen nachzukommen, können Sie Illumio verwenden, um:

1. Verschaffen Sie sich einen besseren Überblick und bewerten Sie den Umfang der Sicherheitsverpflichtungen effektiv. CCPA verlangt von Unternehmen, ein Inventar aller Ressourcen und Anwendungen zu erstellen und zu verwalten, die Verbraucherdaten sammeln und speichern. Um diesem Problem zu begegnen, bietet Illumio Transparenz in Echtzeit. Sie können das verwenden Abbildung der Anwendungsabhängigkeiten um mit der Erstellung Ihres Inventars zu beginnen und die Richtigkeit der Informationen zu überprüfen, die normalerweise in statischen Point-in-Time-Tools wie Asset Management- und CMDB-Systemen zu finden sind. Mit wenig Aufwand können Sie sehen, welche Anwendungen, Datenspeicher, Maschinen, Workloads und Endpunkte in den Geltungsbereich von CCPA fallen und welche Verbindungen und Datenflüsse autorisiert sind.
2. Reduziere deine Angriffsfläche und erschweren Sie es schlechten Akteuren, an Ihre CCPA-Daten zu gelangen. Illumio hilft Ihnen bei der Entwicklung und Anwendung von Richtlinien zur Abschottung von Anwendungen und des Datenverkehrs zwischen Workloads, zwischen Workloads und Benutzern sowie zwischen Benutzerendpunkten, indem die Stateful-Firewalls der Ebenen 3/Layer 4 programmiert werden, die sich auf jedem Host befinden.
3. Pflegen und überwachen Sie Ihre Mikrosegmentierung Sicherheitslage. Die Agenten von Illumio, besser bekannt als VENs, agieren wie Sensoren und überwachen Ihre Umgebung kontinuierlich auf neue Workloads und Endbenutzerverbindungen sowie auf Änderungen der Konnektivität zu allen Daten und Anwendungen, die für CCPA in Frage kommen. Es kann auch unbefugte Verbindungen oder Verbindungsversuche blockieren.
4. Erhöhen Sie die Zeit bis zur Einhaltung der Sicherheitsbestimmungen. Die CCPA-Frist war der 1. Januar 2020. Die Durchsetzung, Prüfung und Berichterstattung begannen am 1. Juli 2020. Illumio wird dazu beitragen, die CIS-20-Kontrollen schnell einzuhalten, indem Planung und Design durch Sichtbarkeit in Echtzeit und auf Kennzeichnungen basierende Richtlinienmodellierung beschleunigt werden. Eine Mikrosegmentierungslösung auf Host-Ebene mit mehreren Betriebssystemen bedeutet, dass Sie Ihr Netzwerk/SDN nicht neu aufbauen müssen.

Wenn Sie mehr über die Funktionen von Illumio erfahren möchten, schauen Sie sich an Illumio-Kern.