Kuberveiligheid en Privaatheid: NIST se Raamwerk Gegesigverfyn

Kuberveiligheid en privaatheid: NIST se raamwerk kry 'n opknapping

Deur Dan Raywood • 29 Mei 2025

NIST het onlangs planne aangekondig om sy privaatheidsraamwerk te verfris en dit meer van 'n organiese aanbod en minder staties te maak. Bevoordeel dit praktisyns? Dan Raywood kyk na die redes vir die verandering.

Verlede jaar is die tweede weergawe van die NIST bekendgestel Kuberveiligheidsraamwerk, 'n opdatering van die 2014-weergawe om die gebruik van die raamwerk te verbreed, leiding oor implementering te verbeter en die belangrikheid van bestuur te beklemtoon.

Natuurlik gaan kuberveiligheid en privaatheid hand aan hand, en 12 maande na die hersiene Kuberveiligheidraamwerk het NIST in April 2025 'n twee maande lange hersieningstydperk vir die Privaatheidsraamwerk aangekondig om nuwe toevoegings en hersienings te oorweeg.

Bestuur privaatheidsrisiko's

Verlede jaar het die eerste aankondiging van die hersienings van weergawe 1.1, met die konsepvraestel vrygestel in Junie 2024 voor die Aanvanklike Openbare Konsep wat in April gepubliseer is.

NIST sê dat veranderinge aan die Privaatheidsraamwerk nodig is as gevolg van die verhouding tot sy Kubersekuriteitsraamwerk: die twee raamwerke het dieselfde hoëvlakstruktuur om hulle maklik saam te gebruik.

Julie Chua, direkteur van NIST se Toegepaste Kubersekuriteitsafdeling, het die opdatering “beskeie maar beduidend” genoem. Sy het gesê: “Die Privaatheidsraamwerk kan op sy eie gebruik word om privaatheidsrisiko's te bestuur, maar ons het ook die versoenbaarheid daarvan met Kubersekuriteitsraamwerk 2.0 behou sodat organisasies hulle saam kan gebruik om die volle spektrum van privaatheids- en kubersekuriteitsrisiko's te bestuur.”

Geringe opdatering

Meghan Anderson, 'n privaatheidsrisiko-strateeg met die Privaatheidsingenieursprogram by NIST, verduidelik dat dit eerder as 'n groot opknapping is, maar "'n baie ligte, klein opdatering".

In 'n onderhoud met ISMS.online sê Anderson dat die privaatheidsraamwerk "'n lewende instrument is wat bedoel is om te ontwikkel om aan die behoeftes van ons belanghebbendes te voldoen." In die vyf jaar sedert die eerste privaatheidsraamwerk gepubliseer is, kon daardie belanghebbendes areas identifiseer waar daardie geteikende verbeterings aangebring kon word, en veranderinge in tegnologie oorweeg.

Sy het die belangrikheid van die hersienings aan weergawe 1.1 afgeskaal en hulle "net klein hersienings of herstrukturering van die kategorieë in subkategorieë" genoem.

Sy het egter erken dat dit ná vyf jaar van die oorspronklike weergawe tyd was vir 'n verandering. “Dit was soos 'hierdie is 'n mylpaal, kom ons werk dit op',” sê sy.

Anderson sê spesifiek dat aangesien die privaatheidsraamwerk na die kuberveiligheidsraamwerk gemodelleer is, daar 'n verband tussen die twee raamwerke gehandhaaf moet word. “Ek dink die een ding wat regtig wonderlik is omtrent die privaatheidsraamwerk, is dat dit baie buigsaam is, so baie organisasies of belanghebbendes wat die raamwerk gebruik, het die vermoë om dit te vorm volgens wat hulle vir hul organisasies, privaatheidsuitkomste en doelwitte benodig.”

Nuwe elemente

Een van die belangrikste veranderinge in hierdie hersiening is om 'n aanlyn weergawe van die raamwerk. Meer as om dit net op die webwerf te plaas, beteken dit dat NIST tydige en relevante opdaterings kan publiseer in reaksie op gebruikersbehoeftes. Anderson sê dat afdeling drie verskuif is, waar leiding aangebied word oor hoe om die privaatheidsraamwerk te gebruik.

“Ons hoop is dat dit op dié manier ’n bietjie meer interaktief is, en dat ons dit ’n bietjie meer gereeld kan opdateer in plaas daarvan om dit in ’n PDF-dokument te hê wat stilstaan,” sê sy. “Op hierdie manier kan ons dit meer onmiddellik op die webwerf verskaf in plaas van in die PDF, wat tyd neem om op te dateer, te hersien en weer gepubliseer te word.”

Sy sê ook dat terugvoer oor nuwe tendense – soos KI – algemeen was, daarom is bykomende riglyne oor die verhouding tussen KI en privaatheidsrisikobestuur bygevoeg, en dit is nou 'n nuwe afdeling in die privaatheidsraamwerk se aanvanklike openbare konsep.

Die aanvanklike openbare konsep beweer dat die hersiene raamwerk “organisasies kan help om privaatheidsrisiko's te identifiseer en te bestuur wat kan ontstaan uit dataverwerking binne KI-stelsels dwarsdeur die KI-lewensiklus.” Dit sluit privaatheidsrisiko's in wat ontstaan wanneer KI-stelsels opgelei word op data wat sonder individue se toestemming ingesamel word of ontbrekende of onvoldoende privaatheidswaarborge het.

In sommige gevalle kan KI-tegnologie “die sleutelfaktor vir privaatheidsrisiko wees” en privaatheidsprobleme vir individue en groepe skep. KI kan “die privaatheid van individue en groepe beïnvloed, wat lei tot beduidende organisatoriese impakte, wat wissel van inkomsteverliese tot reputasieskade.”

Daarom kan organisasies die nuwe raamwerk gebruik om “KI-privaatheidsrisiko's effektief te bestuur en te verseker dat organisatoriese privaatheidswaardes weerspieël word in die ontwikkeling en gebruik van KI-stelsels.”

Essensiële Evolusie

Dit is nie 'n volledige oplossing nie, maar dit is beslis 'n stap vorentoe. Wat van die praktisyn se perspektief? Is dit genoeg om moderne uitdagings die hoof te bied?

In 'n onderhoud met ISMS.online sê Tarun Samtani, adviesraadslid by die IAPP, dat die voorgestelde hersiening "noodsaaklike evolusie verteenwoordig" en prys die belyning daarvan met verlede jaar se Kubersekuriteitsraamwerk.

Hy het gesê dat die hersiening “kritieke operasionele gapings tussen sekuriteit en privaatheid oorbrug – ’n pynpunt wat ek herhaaldelik gesien het.”

Samtani beweer veral dat die huidige raamwerk soliede teorie bied, maar sukkel met praktiese toepassing. As hy na die konsep vir v1.1 kyk, prys hy die bekendstelling van die aanspreek van opkomende KI-risiko's, maar sê: "Dit kort praktiese implementeringspaaie vir hulpbronbeperkte organisasies."

Onvoldoende Nie Verouderd

Vanuit 'n praktisyn se perspektief, voel hy dat hierdie hersiening nodig is, en was die 2020-weergawe se riglyne veral verouderd? Hy sê dit is nie verouderd nie, maar dit word toenemend onvoldoende. “Sedert 1.0 se 2020-vrystelling het ons plofbare groei gesien in die gebruik van KI-stelsels en outomatiese besluitneming – wat nuwe privaatheidsrisiko's skep,” sê hy.

“Die voorgestelde PFW 1.1 inkorporeer wyslik opkomende KI-oorwegings terwyl dit lesse uit volwasse regulatoriese stelsels weerspieël. Hierdie tydige opdatering erken dat privaatheidsrisikobestuur nou verder strek as tradisionele dataverwerking na algoritmiese deursigtigheid.”

Aan die ander kant was Samtani nie heeltemal vol lof vir die daaropvolgende hersienings nie en beweer dat die konsep duideliker metrieke verder as volwassenheidsvlakke en meer voorskriftelike benaderings vir kleiner ondernemings benodig wat deur vandag se uitdagende data- en KI-landskap navigeer.

Hy sê: “PFW 1.1 se strukturele verbeterings kan sommige bruikbaarheidskwessies aanspreek, maar sonder gestruktureerde implementeringsleiding kan voldoening ontwykend bly, veral vir organisasies wat nie volwasse privaatheidsprogramme het nie.”

Hy beweer dat die voorgestelde strukturele belyning tussen PFW 1.1 en CSF 2.0 operasionele wrywing aanspreek, wat hy gesien het terwyl hy multinasionale organisasies adviseer. Hy het drie praktiese toevoegings aanbeveel om praktisynbruikbaarheid te verbeter:

Eerstens, geïntegreerde implementeringshandleidings wat gelyktydige operasionalisering demonstreer.
Tweedens, gestandaardiseerde kruisraamwerk-metrieke vir konsekwente verslagdoening.
Derdens, tegnologiespesifieke profiele vir algemene scenario's soos KI-ontplooiings.

“Hierdie verbeterings sal raamwerke van verwysingsdokumente omskep in operasionele instrumente wat meetbare verbeterings in privaatheidsbestuur aandryf,” sluit hy af. In reaksie hierop,

Anderson sê dat alle kommentaar oor die hersiening van weergawe 1.1 welkom is.

Die hersiening van so iets kom met uitdagings, en die tegnologiese veranderinge in die afgelope vyf jaar beteken dat hierdie hersiening gedoen moet word. Vanuit 'n voldoenings- en nakomingsperspektief behoort die nuwe weergawe nie te lastig te wees nie, aangesien die veranderinge nie te beduidend is nie en besighede in staat behoort te stel om die gaping tussen die kuberveiligheids- en privaatheidsraamwerke te oorbrug.

Vir baie sal hierdie veranderinge welkom wees, maar kleiner of minder-hulpbron organisasies kan sukkel sonder duideliker implementeringspaaie. Dit is waar die verskuiwing na 'n meer dinamiese, aanlyn weergawe van die raamwerk die waardevolste kan wees, wat NIST in staat stel om vinniger op opkomende kwessies te reageer en meer praktiese, ontwikkelende leiding te bied. Alhoewel die raamwerk nie die eerste keer perfek aan almal se behoeftes sal voldoen nie, is hierdie skuif na 'n lewende, responsiewe hulpbron 'n betekenisvolle stap vorentoe.

Dan Raywood

Dan Raywood het sedert 2008 oor IT-sekuriteit geskryf en is 'n voormalige ontleder in die inligtingsekuriteitspraktyk by 451 Research. Hy het gepraat by skoue insluitend 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, sowel as skryf vir 'n aantal verskaffer blogs en aanbiedings op webuitsendings.

Lees meer van Dan Raywood

cyber Security 30 September 2025

Sal die grok-oortreding Genai-sekuriteitsbekommernisse skep?

Sal die Grok-oortreding GenAI-sekuriteitskwessies skep?

'n Onlangse voorval het kommer laat ontstaan oor hoe data deur GenAI-gereedskap hanteer word. Is dit tyd om te verseker dat jou data nie in hul L... beland nie.

Dan Raywood

cyber Security 21 Januarie 2025

nul dag kwesbaarhede hoe kan jy voorberei vir die onverwagte banier

Zero-Day Kwesbaarhede: Hoe kan jy voorberei op die onverwagte?

Waarskuwings van wêreldwye kuberveiligheidsagentskappe het getoon hoe kwesbaarhede dikwels as nul-dae-krisisse uitgebuit word. In die lig van so 'n onvoorspelbare...

Dan Raywood

Gegevensbescherming 8 Augustus 2024

is onderhandeling jou beste strategie wanneer dit kom by ransomware-banier

Is onderhandeling jou beste strategie as dit by ransomware kom?

Eerder as om net 'n fooi te betaal om uit 'n ransomware-probleem te kom, kan jy jou pad daaruit onderhandel met die regte stappe en vaardighede? Dan Raywoo...

Dan Raywood