Защита интеллектуальной собственности, когда ею необходимо поделиться

Защита интеллектуальной собственности (IP), когда она находится в корпоративной сети или в облаке, достаточно сложна, когда компания контролирует сетевую защиту, но когда IP должен быть передан деловому партнеру, угрозы возрастают в геометрической прогрессии. В то время как договорные обязательства и страховка могут возместить компании некоторые денежные потери, загнать пресловутого джина обратно в бутылку, когда корпоративные тайны станут достоянием общественности или попадут в руки конкурентов, невозможно.

С чисто технологической точки зрения, директора по информационной безопасности могут использовать технологии, ограничивающие доступ пользователей, такие как переключение на сетевая архитектура с нулевым доверием (ZTNA), а не удаленный доступ к традиционной виртуальной частной сети (VPN), или, возможно, использовать управление доступом на основе ролей (RBAC) на основе классификации данных, токенизации или других средств контроля безопасности. Кроме того, ограничение доступа с помощью управления доступом к удостоверениям (IAM) является распространенным явлением.

Не все ИС одинаковы, и не все ИС требуют одинаковых мер безопасности, отмечает Аарон Тантлефф, партнер практических групп по технологическим транзакциям, кибербезопасности и конфиденциальности в юридической фирме Foley & Lardner LLP.

Определение того, какие средства контроля необходимы и на каком уровне, зависит от стоимости ИС как в денежном выражении, так и в отношении операций компании. Тантлефф отмечает, что трудно делать какие-либо обобщения в отношении защиты ИС, потому что у каждой организации есть разные типы ИС, которые они защищают по-разному. Он добавляет, что организации не будут обязательно внедрять одни и те же средства контроля безопасности через цепочку поставщиков, потому что средства управления зависят от критически важных IP-адресов, а не от IP-адресов с меньшей ценностью.

Безопасный обмен

Традиционные технологии — и даже некоторые новые подходы на основе ZT — помогают ограничить возможность компрометации IP, но мало что делают для обеспечения безопасности, когда IP должен быть передан партнерам. Традиционно компании делились лишь небольшими частями своей ИС, заставляя различных деловых партнеров выполнять свою работу, не имея доступа ко всей ИС продукта. Например, деловой партнер может построить одну деталь для более крупного проекта, но у него недостаточно знаний, чтобы дублировать все. По словам Тантлеффа, в некоторых случаях в то, как что-то работает, включаются ложные «шаги», которые засоряют базу данных, которой поделилась компания.

Другой способ, которым компании могут изменить свою интеллектуальную собственность, чтобы сделать ее менее полезной, если она будет получена кем-то, кто не должен ее видеть, — это скрыть некоторые детали, такие как кодовые названия проектов. Можно переименовать определенные функции, такие как переименование кодирование, что является основной функцией преобразования видео из одного формата в другой.

Хотя контроль над типом и объемом передаваемых данных является одной из стратегий, компания может ограничить уязвимости, удерживая всю интеллектуальную собственность в своей собственной системе и предоставляя своим непосредственным партнерам доступ к тому, что им нужно локально, добавляет Дженнифер Урбан, сопредседатель отдела кибербезопасности и данных. Конфиденциальность в секторе инновационных технологий Foley & Lardner.

Основной уязвимостью корпоративной ИС является стороннее управление рисками (TPRM), когда деловые партнеры передают вашу ИС своим третьим сторонам. «С рисками третьих, четвертых или пятых сторон трудно действительно сдержать их, потому что они не в вашей среде», — говорит она. Одна из рекомендаций «очевидно, что не следует отправлять какие-либо IP-адреса в той мере, в какой это возможно, и, безусловно, расставлять приоритеты у поставщиков по типу IP-адресов, которые они получают».

В идеале компания будет хранить IP в своей защищенной сети и делиться только теми частями, которые нужны партнеру, через безопасное соединение с корпоративной сетью. Ограничение доступа по необходимости и по конкретным данным улучшает корпоративную защиту.

Ложные ожидания

Питер Вакияма, эксперт по интеллектуальной собственности и партнер юридической фирмы Troutman Pepper, говорит, что есть два важных вопроса ИС, в которых многие директора по информационной безопасности и корпоративные руководители понимают неправильно.

«CISO могут подумать, что если нет вреда, [например,] утечки или потери данных, нет и нарушения правил. Это неправда. Простое отсутствие адекватной защиты может иметь юридические последствия, поскольку владелец коммерческой тайны должен последовательно прилагать разумные усилия для обеспечения безопасности коммерческой тайны и другой конфиденциальной информации», — говорит он. «По мере появления новых угроз необходимо постоянно внедрять новые меры защиты, чтобы гарантировать, что законные права на коммерческую тайну не будут скомпрометированы».

Что касается второго, Вакияма отмечает: «Многие директора по информационной безопасности и другие ИТ-специалисты считают, что если вы платите за его создание, вы владеете им. Не правда. В зависимости от фактов и обстоятельств поставщик/разработчик может сохранить существенные права собственности на изобретения (патенты) и авторские права.

«Например, — продолжает он, — если поставщик нанят для разработки, создания и внедрения специальной программы безопасности, если только поставщик не даст письменного согласия на передачу всех своих прав на интеллектуальную собственность, он сохранит права на изобретения и авторские права и может быть свободно использовать и делиться этими правами с другими».

Энди Манн, основатель консалтинговой компании Sageable, считает, что защита ИС должна рассматриваться как человеческая проблема столько же, сколько технологический. В то время как организации могут проводить аудит для отслеживания использования IP, используя множество инструментов мониторинга и мониторинга сети, обычно все сводится к проблеме людей.

«У вас должен быть контроль», — говорит он. Технологическая составляющая важна, но договорные соглашения, ограничивающие то, что третья сторона может знать и делать с этими знаниями, по-прежнему являются краеугольным камнем.

«Вы должны обеспечить стимулы. Вы должны понимать, почему люди обращаются к такому контенту в этих данных, например, если один из моих инженеров пойдет и просматривает нашу базу данных патентов или план инноваций. Почему? Поговори со мной, зачем тебе это нужно. И вы можете ограничить доступ к некоторым из этих данных и части этой информации», — говорит Манн.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/edge-articles/protecting-intellectual-property-when-it-needs-to-be-shared