Skydda immateriell egendom när den behöver delas

Skydda immateriell egendom när den behöver delas

Tidsstämpel: 31 juli 2023 4:49
Källnod: 2796495

Att skydda immateriella rättigheter (IP) när det finns på företagsnätverket eller i molnet är svårt nog när ett företag har kontroll över nätverkets försvar, men när IP måste delas med en affärspartner ökar hoten exponentiellt. Även om avtalsförpliktelser och försäkringar kan ersätta ett företag med viss ekonomisk lättnad, är det omöjligt att lägga tillbaka den ökända anden i flaskan när företagshemligheter blir offentliga eller faller i händerna på konkurrenter.

Ur en ren teknisk synvinkel kan CISO:er använda tekniker som begränsar användaråtkomst, som att byta till en noll förtroende nätverksarkitektur (ZTNA) verktyg snarare än den traditionella virtuella privata nätverket (VPN) fjärråtkomst, eller kanske använda en rollbaserad åtkomstkontroll (RBAC) baserad på dataklassificering, tokenisering eller annan säkerhetskontroll. Dessutom är det vanligt att begränsa åtkomsten med IAM (identity access management).

Inte all IP är densamma, inte heller kräver all IP samma säkerhetskontroller, konstaterar Aaron Tantleff, en partner i praxisgrupperna Technology Transactions, Cybersecurity and Privacy på advokatfirman Foley & Lardner LLP.

Att fastställa vilka kontroller som krävs och till vilken nivå beror på värdet av IP, både monetärt och företagets verksamhet. Det är svårt att generalisera om IP-skydd eftersom varje organisation har olika typer av IP som de skyddar olika, konstaterar Tantleff. Organisationer skulle inte implementera samma säkerhetskontroller nödvändigtvis genom leverantörståget eftersom kontrollerna beror på kritisk IP kontra mindre värde IP, tillägger han.

Dela säkert

Traditionella tekniker – och till och med några nya ZT-baserade tillvägagångssätt – hjälper visserligen att begränsa möjligheten att äventyra IP, men ger lite säkerhet när IP:n måste delas med partners. Traditionellt delade företag bara små delar av sin IP och lät olika affärspartners göra sitt arbete utan att ha tillgång till hela IP:n för en produkt. Till exempel kan en affärspartner bygga en enskild del för ett större projekt men inte ha tillräckligt med kunskap för att duplicera allt. I vissa fall ingår falska "steg" i hur något fungerar, vilket saltar databasen som företaget delade, säger Tantleff.

Ett annat sätt som företag kan ändra sin IP för att göra den mindre användbar om den erhålls av någon som inte hade för avsikt att se den är att fördunkla vissa detaljer, till exempel projektkodnamn. Man kan byta namn på viss funktionalitet, som att byta namn kodning, vilket är kärnfunktionen för att ändra en video från ett format till ett annat.

Även om det är en strategi att kontrollera typen och mängden data som delas, kan ett företag begränsa sårbarheter genom att behålla all IP på sitt eget system och låta sina direkta partners komma åt det de behöver lokalt, tillägger Jennifer Urban, medordförande för Cybersecurity & Data Sekretess inom Foley & Lardners sektor för innovativ teknik.

En stor sårbarhet för företags IP är riskhantering för tredje part (TPRM), där affärspartners delar din IP med sina egna tredje parter. "Det är svårt med tredjeparts- eller fjärdeparts- eller femtepartsrisk att verkligen innehålla det eftersom det inte finns i din miljö", säger hon. En rekommendation "är uppenbarligen att inte skicka någon IP i den utsträckning som du kan, och definitivt prioritera leverantörer efter vilken typ av IP som de får."

Helst kommer ett företag att behålla IP på sitt skyddade nätverk och bara dela de delar som en partner behöver via en säker anslutning till företagets nätverk. Att begränsa åtkomsten efter behov och av specifika data förbättrar företagets försvar.

Falska förväntningar

Peter Wakiyama, expert på immateriella rättigheter och partner på advokatfirman Troutman Pepper, säger att det finns två viktiga IP-frågor som många CISO:er och företagsledare tar fel på.

"CISOs kanske tror att om det inte finns någon skada, [som] ett dataintrång eller förlust, så är det inget fel. Det är inte sant. Att bara underlåta att införa adekvata skydd kan få juridiska konsekvenser eftersom en ägare av företagshemligheter konsekvent måste använda rimliga ansträngningar för att hålla affärshemligheter och annan konfidentiell information säker”, säger han. "När nya hot dyker upp måste nya skydd kontinuerligt implementeras för att säkerställa att affärshemlighetens juridiska rättigheter inte äventyras."

När det gäller det andra, noterar Wakiyama, "Många CISO:er och andra IT-proffs tror att om du betalar för att den ska skapas så äger du den. Inte sant. Beroende på fakta och omständigheter kan säljaren/utvecklaren behålla betydande immateriella rättigheter till uppfinningar (patent) och upphovsrätter.

"Till exempel," fortsätter han, "om en leverantör anlitas för att designa, bygga och implementera ett anpassat säkerhetsprogram, såvida inte leverantören skriftligen samtycker till att överlåta alla sina IP-rättigheter, kommer den att behålla uppfinningsrättigheter och upphovsrätter och kan vara fri att använda och dela dessa rättigheter med andra."

Andi Mann, grundare av ledningsrådgivningsföretaget Sageable, sa att skydd av IP måste ses som en mänsklig fråga lika mycket som en teknisk. Medan organisationer kan göra granskningar för att spåra användningen av IP, med hjälp av en rad verktyg för övervakning och nätverkssynlighet, handlar det vanligtvis om en personfråga.

"Du måste ha kontroller på plats", säger han. Teknikkomponenten är viktig, men avtal om att begränsa vad en tredje part kan veta och göra med den kunskapen är fortfarande en hörnsten.

"Du måste ge incitament. Du måste förstå varför människor kommer åt den här typen av innehåll i denna data, som om en av mina ingenjörer går och letar upp vår patentdatabas eller innovationsplan. Varför? Prata med mig om varför du behöver det. Och du kan begränsa åtkomsten till en del av denna data och en del av denna information, säger Mann.

Tidsstämpel:

Mer från Mörk läsning