Cybersikkerhed og privatliv: NIST's rammeværk får et ansigtsløft
Indholdsfortegnelse:
NIST annoncerede for nylig planer om at opdatere sit privatlivsrammeværk og gøre det mere organisk og mindre statisk. Gavner dette praktikere? Dan Raywood ser på årsagerne til ændringen.
Sidste år blev den anden version af NIST introduceret Cybersikkerhedsramme, en opdatering af 2014-versionen for at udvide anvendelsen af rammen, forbedre vejledningen om implementering og understrege vigtigheden af forvaltning.
Cybersikkerhed og privatliv går naturligvis hånd i hånd, og 12 måneder efter den reviderede cybersikkerhedsramme annoncerede NIST i april 2025 en tomåneders gennemgangsperiode for privatlivsrammen for at overveje nye tilføjelser og revisioner.
Håndtér privatlivsrisici
Sidste år så første annoncering af revisionerne til version 1.1, med koncept papir udgivet i juni 2024 forud for Indledende offentligt udkast som blev offentliggjort i april.
NIST siger, at ændringer af privatlivsrammen er nødvendige på grund af forholdet til dens cybersikkerhedsramme: de to rammer har den samme overordnede struktur for at gøre dem nemme at bruge sammen.
Julie Chua, direktør for NIST's afdeling for anvendt cybersikkerhed, kaldte opdateringen "beskeden, men betydelig". Hun sagde: "Privacy Framework kan bruges alene til at håndtere privatlivsrisici, men vi har også opretholdt dets kompatibilitet med Cybersecurity Framework 2.0, så organisationer kan bruge dem sammen til at håndtere hele spektret af privatlivs- og cybersikkerhedsrisici."
Mindre opdatering
Meghan Anderson, en privatlivsrisikostrateg ved Privacy Engineering Program på NIST, forklarer, at dette snarere er "en meget let, mindre opdatering" end en større revision.
I et interview med ISMS.online siger Anderson, at privatlivsrammen "er et levende værktøj, der er beregnet til at udvikle sig for at imødekomme vores interessenters behov." I de fem år, siden den første privatlivsramme blev offentliggjort, har disse interessenter været i stand til at identificere områder, hvor disse målrettede forbedringer kunne foretages, og overveje ændringer i teknologien.
Hun nedtonede vigtigheden af revisionerne af version 1.1 og kaldte dem "blot mindre revisioner eller omstrukturering af kategorierne i underkategorier".
Hun erkendte dog, at efter fem år med den originale version var det tid til en forandring. "Det var ligesom 'dette er en milepæl, lad os opdatere den'," siger hun.
Anderson siger specifikt, at da privatlivsrammen blev modelleret efter cybersikkerhedsrammen, skal der opretholdes en forbindelse mellem de to rammer. "Jeg synes, at én ting, der er virkelig god ved privatlivsrammen, er, at den er meget fleksibel, så mange organisationer eller interessenter, der bruger rammen, har mulighed for at tilpasse den til, hvad de har brug for til deres organisationer, privatlivsresultater og mål."
Nye elementer
En af de væsentlige ændringer i denne revision er at oprette en online version af rammen. Det betyder mere end blot at lægge den på hjemmesiden, at NIST kan offentliggøre rettidige og relevante opdateringer som svar på brugernes behov. Anderson siger, at afsnit tre er blevet flyttet, hvor der findes vejledning i, hvordan man bruger privatlivsrammen.
"Vores håb er, at det på den måde bliver lidt mere interaktivt, og at vi kan opdatere det lidt oftere i stedet for at have det i et PDF-dokument, der står stille," siger hun. "På den måde kan vi levere det mere øjeblikkeligt på hjemmesiden i stedet for i PDF-filen, som tager tid at opdatere, revidere og genudgive."
Hun siger også, at feedback på nye tendenser – såsom AI – var almindelig, så yderligere retningslinjer for forholdet mellem AI og risikostyring for privatlivets fred blev tilføjet, og det er nu et nyt afsnit i det oprindelige offentlige udkast til privatlivsrammen.
Det oprindelige offentlige udkast hævder, at det reviderede rammeværk "kan hjælpe organisationer med at identificere og håndtere privatlivsrisici, der kan opstå som følge af databehandling i AI-systemer i hele AI'ens livscyklus." Dette omfatter privatlivsrisici, der opstår, når AI-systemer trænes på data indsamlet uden enkeltpersoners samtykke, eller har manglende eller utilstrækkelige privatlivsbeskyttelsesforanstaltninger."
I nogle tilfælde kan AI-teknologi "være den vigtigste årsag til privatlivsrisiko" og kan skabe privatlivsproblemer for enkeltpersoner og grupper. AI kan påvirke "enkeltpersoners og gruppers privatliv, hvilket fører til betydelige organisatoriske konsekvenser, lige fra indtægtstab til omdømmeskader."
Derfor kan organisationer bruge den nye ramme til "effektivt at håndtere AI-privatlivsrisici og sikre, at organisatoriske privatlivsværdier afspejles i udviklingen og brugen af AI-systemer."
Essentiel evolution
Det er ikke en komplet løsning, men det er bestemt et skridt fremad. Hvad med fra praktikerens perspektiv? Er det nok til at imødegå moderne udfordringer?
I et interview med ISMS.online siger Tarun Samtani, medlem af det rådgivende udvalg hos IAPP, at den foreslåede revision "repræsenterer en væsentlig udvikling" og roser dens overensstemmelse med sidste års cybersikkerhedsramme.
Han sagde, at revisionen "bygger bro mellem kritiske operationelle huller og privatliv – et smertepunkt, jeg har været vidne til gentagne gange."
Samtani hævder især, at den nuværende ramme tilbyder solid teori, men kæmper med den praktiske anvendelse. Når han ser på udkastet til v1.1, roser han introduktionen af at adressere nye AI-risici, men siger: "Den mangler praktiske implementeringsveje for ressourcebegrænsede organisationer."
Utilstrækkelig Ikke forældet
Fra et praktikerperspektiv, mener han, at denne revision er nødvendig, og var vejledningen fra 2020-versionen særligt forældet? Han siger, at den ikke er forældet, men at den i stigende grad er utilstrækkelig. "Siden udgivelsen af version 1.0 i 2020 har vi set en eksplosiv vækst i brugen af AI-systemer og automatiseret beslutningstagning, hvilket skaber nye privatlivsrisici," siger han.
"Det foreslåede PFW 1.1 inkorporerer klogt nye AI-overvejelser, samtidig med at det afspejler erfaringer fra modne reguleringsordninger. Denne rettidige opdatering anerkender, at håndtering af privatlivsrisiko nu rækker ud over traditionel databehandling til algoritmisk gennemsigtighed."
På den anden side var Samtani ikke fuld af ros til de efterfølgende revisioner og hævdede, at udkastet har brug for klarere målinger ud over modenhedsniveauer og mere præskriptive tilgange til mindre virksomheder, der navigerer i dagens udfordrende data- og AI-landskab.
Han siger: "De strukturelle forbedringer af PFW 1.1 kan muligvis afhjælpe nogle brugervenlighedsproblemer, men uden struktureret implementeringsvejledning kan overholdelse af reglerne forblive vanskelig at nå, især for organisationer, der mangler modne privatlivsprogrammer."
Han hævder, at den foreslåede strukturelle tilpasning mellem PFW 1.1 og CSF 2.0 adresserer operationelle friktioner, som han har været vidne til, mens han har rådgivet multinationale organisationer. Han anbefalede tre praktiske tilføjelser for at forbedre brugervenligheden for praktikere:
- Først integrerede implementeringshåndbøger, der demonstrerer samtidig operationalisering.
- For det andet, standardiserede tværfaglige metrikker for ensartet rapportering.
- For det tredje, teknologispecifikke profiler til almindelige scenarier som AI-implementeringer.
"Disse forbedringer ville omdanne rammer fra referencedokumenter til operationelle værktøjer, der kan føre til målbare forbedringer af privatlivsstyring," konkluderer han. Som svar,
Anderson siger, at alle kommentarer til revisionen af version 1.1 er velkomne.
At revidere noget som dette kommer med udfordringer, og de teknologiske ændringer i de sidste fem år betyder, at denne revision skal foretages. Fra et compliance- og overholdelsesperspektiv burde den nye version ikke være for besværlig, da ændringerne ikke er for betydelige og burde gøre det muligt for virksomheder at bygge bro mellem cybersikkerheds- og privatlivsrammerne.
For mange vil disse ændringer være velkomne, men mindre eller mindre ressourcebetonede organisationer kan have problemer uden klarere implementeringsveje. Det er her, at skiftet til en mere dynamisk onlineversion af rammen kan vise sig mest værdifuldt, da det giver NIST mulighed for at reagere hurtigere på nye problemer og tilbyde mere praktisk og udviklende vejledning. Selvom rammen ikke vil opfylde alles behov perfekt første gang, markerer denne overgang til en levende og responsiv ressource et meningsfuldt skridt fremad.
