Kyberturvallisuus ja yksityisyys: NIST:n viitekehys sai kasvojenkohotuksen

Dan Raywoodin kirjoittama • 29 toukokuuta 2025

NIST ilmoitti hiljattain suunnitelmistaan päivittää yksityisyydensuojakehyksensä ja tehdä siitä orgaanisemman ja vähemmän staattisen tarjonnan. Onko tästä hyötyä ammattilaisille? Dan Raywood tarkastelee muutoksen syitä.

Viime vuonna julkaistiin NIST:n toinen versio. Kyberturvallisuuskehys, päivitys vuoden 2014 versiostaan kehyksen käytön laajentamiseksi, täytäntöönpanon ohjeistuksen parantamiseksi ja hallinnon merkityksen korostamiseksi.

Luonnollisesti kyberturvallisuus ja yksityisyys kulkevat käsi kädessä, ja 12 kuukautta tarkistetun kyberturvallisuuskehyksen jälkeen NIST ilmoitti huhtikuussa 2025 kahden kuukauden tarkastelujaksosta, jonka aikana yksityisyyskehystä tarkastellaan uusien lisäysten ja tarkistusten huomioon ottamiseksi.

Hallitse tietosuojariskejä

Viime vuonna nähtiin ensimmäinen ilmoitus version 1.1 tarkistuksista, joissa käsite paperi julkaistiin kesäkuussa 2024 ennen Alustava julkinen luonnos joka julkaistiin huhtikuussa.

NISTin mukaan yksityisyyden suojan viitekehykseen tarvitaan muutoksia sen kyberturvallisuusviitekehykseen liittyvän suhteen vuoksi: näillä kahdella viitekehyksellä on sama korkean tason rakenne, jotta niitä on helppo käyttää yhdessä.

NIST:n sovelletun kyberturvallisuusosaston johtaja Julie Chua kutsui päivitystä ”vaatimattomaksi mutta merkittäväksi”. Hän sanoi: ”Privacy Frameworkia voidaan käyttää yksinään yksityisyysriskien hallintaan, mutta olemme myös säilyttäneet sen yhteensopivuuden Cybersecurity Framework 2.0:n kanssa, jotta organisaatiot voivat käyttää niitä yhdessä hallitakseen kaikkia yksityisyys- ja kyberturvallisuusriskejä.”

Pieni päivitys

Meghan Anderson, NIST:n yksityisyyden suojan suunnitteluohjelman yksityisyyden riskistrategi, selittää, että kyseessä ei ole suuri uudistus, vaan "hyvin kevyt ja pieni päivitys".

ISMS.online-sivustolle puhunut Anderson sanoo, että yksityisyydensuojakehys ”on elävä työkalu, jonka on tarkoitus kehittyä vastaamaan sidosryhmiemme tarpeita.” Viiden vuoden aikana ensimmäisen yksityisyydensuojakehyksen julkaisemisesta kyseiset sidosryhmät ovat pystyneet tunnistamaan alueita, joilla näitä kohdennettuja parannuksia voitaisiin tehdä, ja harkitsemaan teknologisia muutoksia.

Hän vähätteli version 1.1 tarkistusten merkitystä kutsuen niitä "vain pieniksi tarkistuksiksi tai alakategorioiden luokkien uudelleenjärjestelyiksi".

Hän kuitenkin myönsi, että viiden vuoden jälkeen alkuperäisestä versiosta oli aika muutokselle. ”Se oli kuin ’tämä on virstanpylväs, päivitetään se’”, hän sanoo.

Andersonin mukaan yksityisyydensuojakehys on mallinnettu kyberturvallisuuskehyksen mukaan, joten näiden kahden kehyksen välillä on oltava yhteys. ”Mielestäni yksityisyydensuojakehyksen yksi hieno puoli on sen joustavuus, joten monet kehystä käyttävät organisaatiot tai sidosryhmät voivat muokata sitä organisaatioidensa, yksityisyydensuojatulosten ja -tavoitteiden mukaiseksi.”

Uudet elementit

Yksi tämän tarkistuksen merkittävistä muutoksista on luoda verkkoversio viitekehyksestä. Tämä ei tarkoita vain sen lisäämistä verkkosivustolle, vaan myös sitä, että NIST voi julkaista ajankohtaisia ja relevantteja päivityksiä käyttäjien tarpeiden mukaan. Andersonin mukaan osio kolme on siirretty, ja siellä on ohjeet yksityisyydensuojakehyksen käyttöön.

”Toivomme, että se on tällä tavoin hieman vuorovaikutteisempi ja voimme päivittää sitä hieman useammin sen sijaan, että se olisi PDF-dokumentissa, joka pysyy paikallaan”, hän sanoo. ”Tällä tavoin voimme tarjota sen verkkosivustolla välittömämmin kuin PDF-tiedostossa, jonka päivittäminen, tarkistaminen ja uudelleenjulkaiseminen vie aikaa.”

Hän kertoo myös, että palautetta uusista trendeistä – kuten tekoälystä – tuli usein, joten tekoälyn ja yksityisyyden suojan riskienhallinnan välisestä suhteesta lisättiin lisäohjeita, ja se on nyt uusi osio yksityisyyden suojan viitekehyksen alkuperäisessä julkisessa luonnoksessa.

Alkuperäisessä julkisessa luonnoksessa väitetään, että tarkistettu viitekehys ”voi auttaa organisaatioita tunnistamaan ja hallitsemaan yksityisyyteen liittyviä riskejä, joita voi syntyä tekoälyjärjestelmissä tapahtuvasta tietojenkäsittelystä tekoälyn elinkaaren aikana”. Tämä sisältää yksityisyyteen liittyviä riskejä, jotka syntyvät, kun tekoälyjärjestelmiä koulutetaan ilman yksilöiden suostumusta kerätyllä tiedolla tai kun niiltä puuttuu tai ne ovat riittämättömiä yksityisyyden suojatoimia.”

Joissakin tapauksissa tekoälyteknologia ”voi olla yksityisyyden suojaa koskevien riskien keskeinen mahdollistaja” ja voi aiheuttaa yksityisyyden suojaan liittyviä ongelmia yksilöille ja ryhmille. Tekoäly voi vaikuttaa ”yksilöjen ja ryhmien yksityisyyteen, mikä johtaa merkittäviin organisaatiovaikutuksiin tulonmenetyksistä mainehaittiin”.

Siksi organisaatiot voivat käyttää uutta viitekehystä "tekoälyn yksityisyysriskien tehokkaaseen hallintaan ja sen varmistamiseen, että organisaation yksityisyyden suojan arvot heijastuvat tekoälyjärjestelmien kehittämisessä ja käytössä".

Olennainen evoluutio

Se ei ole täydellinen ratkaisu, mutta se on ehdottomasti askel eteenpäin. Entä ammattilaisen näkökulmasta? Riittääkö tämä vastaamaan nykyaikaisiin haasteisiin?

IAPP:n neuvoa-antavan toimikunnan jäsen Tarun Samtani sanoo ISMS.online-sivustolle, että ehdotettu tarkistus "edustaa olennaista kehitystä" ja kehuu sen yhdenmukaisuutta viime vuoden kyberturvallisuuskehyksen kanssa.

Hän sanoi, että tarkistus ”täydentää kriittisiä toiminnallisia aukkoja turvallisuuden ja yksityisyyden välillä – kipukohta, jonka olen nähnyt toistuvasti.”

Samtani väittää erityisesti, että nykyinen viitekehys tarjoaa vankan teorian, mutta sen käytännön soveltaminen on vaikeaa. Tarkasteltaessa version 1.1 luonnosta hän ylistää nousevien tekoälyriskien käsittelyä, mutta sanoo: "Siitä puuttuvat käytännön toteutuspolut resurssirajoitteisille organisaatioille."

Riittämätön Ei vanhentunut

Onko hän käytännön näkökulmasta tätä tarkistusta tarpeellinen, ja oliko vuoden 2020 version ohjeistus erityisen vanhentunut? Hän sanoo, että se ei ole vanhentunut, mutta se on yhä riittämättömämpi. ”Vuoden 1.0 2020-version julkaisun jälkeen olemme nähneet räjähdysmäisen kasvun tekoälyjärjestelmien ja automatisoidun päätöksenteon käytössä, mikä luo uusia yksityisyysriskejä”, hän sanoo.

”Ehdotettu PFW 1.1 ottaa viisaasti huomioon uudet tekoälyyn liittyvät näkökohdat ja ottaa samalla huomioon kypsyvistä sääntelyjärjestelmistä saadut kokemukset. Tämä ajankohtainen päivitys tunnustaa, että yksityisyyden suojaa koskevien riskien hallinta ulottuu nyt perinteisen tiedonkäsittelyn ulkopuolelle algoritmisen läpinäkyvyyden kautta.”

Toisaalta Samtani ei ollut täysin ylistävä myöhempiä tarkistuksia, vaan väitti, että luonnos tarvitsee selkeämpiä mittareita kypsyystasojen lisäksi ja määräilevämpiä lähestymistapoja pienemmille yrityksille, jotka navigoivat nykypäivän haastavassa data- ja tekoälymaisemassa.

Hän sanoo: ”PFW 1.1:n rakenteelliset parannukset saattavat ratkaista joitakin käytettävyysongelmia, mutta ilman jäsenneltyä toteutusohjeistusta vaatimustenmukaisuus voi jäädä saavuttamatta, erityisesti organisaatioilla, joilla ei ole kypsiä tietosuojaohjelmia.”

Hän väittää, että ehdotettu PFW 1.1:n ja CSF 2.0:n rakenteellinen yhdenmukaistaminen ratkaisee operatiivisia ongelmia, joita hän on havainnut neuvoessaan monikansallisia organisaatioita. Hän suositteli kolmea käytännön lisäystä ammattilaisten käytettävyyden parantamiseksi:

Ensinnäkin integroidut käyttöönottokäsikirjat, jotka osoittavat samanaikaisen operationalisoinnin.
Toiseksi, standardoidut viitekehysten väliset mittarit johdonmukaista raportointia varten.
Kolmanneksi, teknologiakohtaiset profiilit yleisiin skenaarioihin, kuten tekoälyn käyttöönottoihin.

”Nämä parannukset muuttaisivat viiteasiakirjoista viitekehyksiä operatiivisiksi työkaluiksi, jotka edistäisivät mitattavia yksityisyyden hallinnan parannuksia”, hän päättelee. Vastauksena,

Anderson sanoo, että kaikki kommentit version 1.1 tarkistuksesta ovat tervetulleita.

Tällaisen asian tarkistaminen tuo mukanaan haasteita, ja viimeisten viiden vuoden aikana tapahtuneet teknologiset muutokset tarkoittavat, että tämä tarkistus on tehtävä. Vaatimustenmukaisuuden ja noudattamisen näkökulmasta uuden version ei pitäisi olla liian hankala, koska muutokset eivät ole liian merkittäviä ja niiden pitäisi auttaa yrityksiä kuromaan umpeen kuilua kyberturvallisuuden ja yksityisyyden suojan viitekehysten välillä.

Monille nämä muutokset ovat tervetulleita, mutta pienemmät tai vähemmän resurssoituneet organisaatiot saattavat kamppailla ilman selkeämpiä toteutuspolkuja. Siksi siirtyminen dynaamisempaan, verkkoversioon viitekehyksestä voisi osoittautua arvokkaimmaksi, sillä se mahdollistaisi NIST:lle nopeamman reagoinnin uusiin ongelmiin ja käytännöllisemmän, kehittyvämmän ohjeistuksen tarjoamisen. Vaikka viitekehys ei vastaa kaikkien tarpeisiin täydellisesti ensimmäisellä kerralla, tämä siirtyminen kohti elävää ja responsiivista resurssia on merkittävä askel eteenpäin.

Dan Raywood

Dan Raywood on kirjoittanut tietoturvasta vuodesta 2008 lähtien ja on entinen 451 Researchin tietoturvakäytännön analyytikko. Hän on puhunut näytöksissä, mukaan lukien 44CON, SecuriTay, SteelCon, Irisscon ja Infosecurity Europe, sekä kirjoittanut useille toimittajablogeille ja esittänyt webcast-lähetyksissä.

Lue lisää Dan Raywoodilta

tietoverkkoturvallisuus 30 syyskuu 2025

Aiheuttaako Grokin tietomurto GenAI:n tietoturvaongelmia?

Äskettäinen tapaus on herättänyt huolta siitä, miten GenAI-työkalut käsittelevät tietoja. Onko aika varmistaa, että tietosi eivät päädy heidän tietoihinsa...

Dan Raywood

tietoverkkoturvallisuus 21 tammikuu 2025

nollapäivän haavoittuvuudet, miten voit valmistautua odottamattomaan banneriin

Nollapäivän haavoittuvuudet: miten voit valmistautua odottamattomiin?

Maailmanlaajuisten kyberturvallisuusvirastojen varoitukset osoittivat, kuinka haavoittuvuuksia usein hyödynnetään nollapäivähaasteena. Tällaisen arvaamattoman tilanteen edessä...

Dan Raywood

Tietosuoja 8 elokuu 2024

on neuvottelu paras strategiasi, kun kyse on ransomware-bannerista

Onko neuvottelu paras strategiasi kiristysohjelmien suhteen?

Sen sijaan, että vain maksaisit päästäksesi pois kiristysohjelma-tilanteesta, voisitko neuvotella tiesi ulos oikeilla toimenpiteillä ja taidoilla? Dan Raywoo...

Dan Raywood