Wie Mikrosegmentierung Ihnen hilft, die CCPA-Sicherheitsverpflichtungen zu erfüllen

The California Consumer Privacy Act (CCPA) took effect on January 1, 2020, and auditing and enforcement started on July 1. This new privacy regulation will have a significant impact on privacy initiatives not only in California, but also on organizations that have significant business operations in the state and are, therefore, collecting or have access to CA residents’ data.

Die meisten anfänglichen Diskussionen über den CCPA konzentrierten sich auf die Verpflichtung von Unternehmen, den Anträgen der Einwohner Kaliforniens auf Zugang, Löschung und Ablehnung der Datenerfassung nachzukommen. Wenn Sie in Kalifornien ansässig sind, sind Sie mit den unaufhörlichen Datenschutzhinweisen vertraut, die jedes Mal erscheinen, wenn Sie eine Website besuchen. Das andere Gesprächsthema rund um den CCPA drehte sich um die Verpflichtung, den Verkauf von Verbraucherdaten auf Anfrage einer Person einzustellen.

There is a small section in the CCPA document that focuses on data breaches and security. In my opinion, the violations outlined in these clauses have significantly greater impact on a business’s brand and future top-line growth. Private litigants did not waste any time filing lawsuits under the new law. For example, Marriott International announced a breach, which impacted 5.2 million customers, on March 31, 2020. A couple of days later (April 3), a CA consumer filed a class action lawsuit against the company under the CCPA data breach clause. If you’d like to learn more about this case and similar legal actions, privacy law firm Kelley Drye publishes a quarterly CCPA Litigation Round-up.

With all this talk of regulations, you may be wondering what role micro-segmentation plays in CCPA and how you can use micro-segmentation to address your CCPA data breach exposure.

Lassen Sie uns vor diesem Hintergrund tiefer in die Bedeutung von CCPA eintauchen und uns auf die Anforderungen an die Sicherheit und den Schutz vor Datenschutzverletzungen konzentrieren. (Haftungsausschluss: Obwohl ich mich mit den Sicherheits- und Rechtsteams von Illumio über den Inhalt dieses Blogs beraten habe, sollten die Informationen nicht als Rechtsberatung angesehen werden.

Was ist CCPA?

Der California Consumer Privacy Act (CCPA), der offiziell als AB-375 bezeichnet wird, ist ein staatliches Gesetz, das die Datenschutzrechte und den Verbraucherschutz für Einwohner von Kalifornien, USA, verbessern soll. Der Gesetzentwurf wurde von der kalifornischen Legislative verabschiedet und am 28. Juni 2018 unterzeichnet und trat am 1. Januar 2020in Kraft.

Wer ist verpflichtet, den CCPA einzuhalten?

Ihr Unternehmen ist gesetzlich verpflichtet, den CCPA einzuhalten, wenn es die folgenden Kriterien erfüllt: (1) gewinnorientiert arbeitet und (2) personenbezogene Daten von Verbrauchern über in Kalifornien ansässige Personen sammelt und (3) in Kalifornien geschäftlich tätig ist – UND mindestens einen der aufgeführten Schwellenwerte überschreitet: (1) der jährliche Bruttoumsatz übersteigt 25 Millionen US-Dollar oder (2) jährlich personenbezogene Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten kauft, empfängt, teilt oder verkauft, oder (3) mehr als 50 % seines Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern erzielt.

Außerdem gilt ein Unternehmen als "Unternehmen" und fällt unter den CCPA, wenn es ein Unternehmen kontrolliert oder von einem Unternehmen kontrolliert wird, das die oben genannten Kriterien erfüllt und ein gemeinsames Branding mit diesem Unternehmen teilt.

Die Juristensprache in diesem Abschnitt ist etwas verwirrend, daher sollten Sie sich zur Erinnerung an Ihren Rechtsberater wenden, um festzustellen, ob Ihr Unternehmen unter den CCPA fällt.

Welche Verpflichtungen haben die betroffenen Organisationen im Rahmen des CCPA?

Viele Tier-1- und Tier-2-Anwaltskanzleien haben Artikel zu diesem Thema veröffentlicht, daher werde ich nicht viel Zeit darauf verwenden. Google ist Ihr Freund. Zusammenfassend lässt sich sagen, dass die Verpflichtungen unter anderem Folgendes umfassen:

1. Provide consumers with a clear way to opt-out of the business’ sale of the consumer’s personal information. (Note that personal information is not equal to PII. See next question for more details.)
2. Informieren Sie den Verbraucher über seine Datenerfassungs-, Verkaufs- und Offenlegungspraktiken.
3. Geben Sie dem Verbraucher die Möglichkeit, auf die gesammelten personenbezogenen Daten zuzugreifen.
4. Geben Sie dem Verbraucher die Möglichkeit, die vom Unternehmen gesammelten personenbezogenen Daten zu löschen/deren Löschung zu verlangen.
5. Implementieren Sie angemessene Sicherheitsverfahren, um Verbraucherdaten vor Datenschutzverletzungen zu schützen.

Was gilt im Rahmen des CCPA als personenbezogene Daten?

Beachten Sie, dass sich die CCPA-Sprache auf personenbezogene Daten und nicht nur auf PII (Personally Identifiable Information) bezieht. Die Definition von personenbezogenen Daten im Rahmen des CCPA ist ebenfalls recht weit gefasst und umfasst, ist aber nicht beschränkt auf die folgenden Kategorien:

• Direkte Identifikatoren – echter Name, Alias, Postanschrift, Sozialversicherungsnummern, Führerschein, Passinformationen und Unterschrift. Diese gelten als personenbezogene Daten.
• Indirekte Identifikatoren – Cookies, Beacons, Pixel-Tags, Telefonnummern, IP-Adressen, Kontonamen.
• Biometrische Daten – Gesicht, Netzhaut, Fingerabdrücke, DNA, Sprachaufzeichnungen, Gesundheitsdaten. Diese gelten als personenbezogene Daten.
• Geolokalisierung – Standortverlauf über Geräte.
• Internetaktivität – Browserverlauf, Suchverlauf, Daten über die Interaktion mit einer Webseite, Anwendung oder Werbung.
• Sensible Informationen – persönliche Merkmale, Verhaltensweisen, religiöse oder politische Überzeugungen, sexuelle Vorlieben, Beschäftigungs- und Bildungsdaten, finanzielle und medizinische Informationen.

Sie sollten sich bei Ihrem Rechtsberater und Ihren Sicherheitsteams erkundigen, welche Kategorien von den CCPA-Datenschutz- und Datenschutzklauseln abgedeckt werden. Diese Analyse hilft Ihnen dabei, den Umfang Ihrer CCPA-bezogenen Sicherheitsverpflichtungen zu bestimmen.

Da Sie CCPA wahrscheinlich aus der Perspektive der Gefährdung von Datenschutzverletzungen betrachten, möchte ich auf dieses Problem doppelklicken.

Welche Sicherheitsverpflichtungen gibt es im Rahmen des CCPA?

The official CCPA document is surprisingly short, and if you have the chance to read it, you will realize that there is no prescriptive language on data security. It does include the data breach clause, which creates a private right of action for data breaches arising from failure to maintain “reasonable security” under California Civil Code 1798.81.5 (d)(1)(A). (Another reminder to please check with your lawyer).

Es enthält auch eine Formulierung über die Rechte eines Verbrauchers auf Datenschutzverletzung, die betroffene Unternehmen für Verstöße bestraft, die sich aus einer "Verletzung der Pflicht zur Implementierung und Aufrechterhaltung angemessener Sicherheitsverfahren und -praktiken" ergeben.

Was ist die Empfehlung für die Implementierung von "angemessenen Sicherheitsmaßnahmen"?

CCPA does not provide prescriptive guidance on “reasonable security.” Kamala Harris, who was the CA State AG during time the law was drafted, opined in the CA Data Breach Report 2012-2015 that the state considers the Center for Internet Security (CIS) Top 20 Security Controls as the baseline for reasonable security procedures and practices. There has been no update to this opinion from the current CA State AG, Xavier Becerra, so we can assume that the 2016 recommendations still stand.

Was sind die 20 wichtigsten Sicherheitskontrollen der GUS?

The CIS Top 20 Security Controls Framework has been around for more than 10 years and is updated frequently. The framework is derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. It reflects the combined knowledge of commercial and government forensic and incident response experts. It is no surprise that the CA State AG would recommend this framework as the baseline, because many organizations already take this approach, and then augment the controls to address their environment’s specific requirements.

Um es klar zu sagen: Sie können sich nicht auf ein einzelnes Produkt verlassen, um diese Kontrollen zu implementieren. Im Idealfall wünschen Sie sich eine Lösung, die die Aktivierung dieser Kontrollen unterstützt und über robuste APIs verfügt, die gut mit Ihren anderen Sicherheitsinvestitionen wie SIEM, Schwachstellenscannern, CMDB, SCMs, Container-Orchestrierung usw. zusammenarbeiten.

Illumio directly meets and supports 16 of the CIS Top 20 Security Controls. Here is a high-level mapping for easy viewing. I recently authored a separate blog on Mapping Illumio to the CIS Top 20 Controls if you want to double-click on each of these controls. (Note: “supports” in the Illumio capability column means that customers use Illumio data or feature to enable a portion of the control.

Wie können Unternehmen Illumio und das CIS Top 20 Security Controls Framework nutzen, um die Anforderungen des CCPA an "angemessene Sicherheitsmaßnahmen" zu erfüllen?

Wenn Sie die CIS Top 20 Controls übernommen haben, um Ihre CCPA-Sicherheitsverpflichtungen zu erfüllen, können Sie Illumio verwenden, um:

1. Gain better visibility and effectively assess the scope of security obligations. CCPA requires organizations to create and maintain an inventory of all resources and applications that collect and store consumer data. To address this, Illumio provides real-time visibility. You can use the application dependency map to start creating your inventory and to validate the accuracy of the information typically found in static, point-in-time tools like asset management and CMDB systems. With little effort, you can see which applications, data stores, machines, workloads, and endpoints are in-scope for CCPA, and which connections and flows are authorized.
2. Reduzieren Sie Ihre Angriffsfläche und es böswilligen Akteuren zu erschweren, an Ihre CCPA-Daten zu gelangen. Illumio unterstützt Sie beim Entwerfen und Anwenden von Richtlinien zur Abgrenzung von Anwendungen und Datenverkehr zwischen Workloads, zwischen Workloads und Benutzern sowie zwischen Benutzerendpunkten, indem es die zustandsbehafteten Layer-3/Layer-4-Firewalls programmiert, die sich auf jedem Host befinden.
3. Pflegen und überwachen Sie Ihre Mikrosegmentierung Sicherheitslage. Illumio’s agents, better known as VENs, act like sensors and continuously monitor your environment for new workload and end-user connections, and also for changes in connectivity to any data and applications that are in scope for CCPA. It can also block unauthorized connections or attempts to connect.
4. Verlängern Sie die Zeit bis zur Einhaltung von Sicherheitsvorschriften. Die CCPA-Frist war der 1. Januar 2020. Die Durchsetzung, Prüfung und Berichterstattung begann am 1. Juli 2020. Illumio wird dazu beitragen, die CIS 20-Kontrollen schnell zu erfüllen, indem es die Planung und das Design mit Echtzeit-Transparenz und labelbasierter Richtlinienmodellierung beschleunigt. Eine Mikrosegmentierungslösung auf Multi-OS-Ebene auf Host-Ebene bedeutet, dass Sie Ihr Netzwerk/SDN nicht neu gestalten müssen.

If you’d like to learn more about Illumio’s capabilities, check out Illumio Core.