Er din virksomhed underlagt ITAR- eller EAR-reglerne? Hvis du er usikker, er det vigtigt, at du finder ud af det – hurtigt. Ellers kan du risikere alvorlige konsekvenser, hvis du ikke overholder reglerne. For at finde ud af, hvilke regler din virksomhed er underlagt, skal du undersøge, hvad ITAR og EAR dækker, og hvordan en fildelingsløsning kan gøre det lettere at overholde reglerne.
The International Traffic in Arms Regulations (ITAR)
ITAR regulerer eksport af forsvarsartikler og -tjenester med det formål at holde materialer ude af udenlandske statsborgeres hænder. Disse bestemmelser gælder både for offentlige kontrahenter og underleverandører, og de artikler og tjenester, der er omfattet af disse bestemmelser, er beskrevet i United States Munitions List (USML).
Selv om din virksomhed ikke fremstiller missiler eller kampvogne, kan du stadig være forpligtet til at tilpasse dig ITAR. USML en bred vifte af produkter, tjenester og tekniske data, som f.eks. køretøjer, ammunition, fly og meget mere. Men den dækker også artikler, som du måske ikke forventer, f.eks. militært undervisningsmateriale, klassificerede artikler og andre data.
ITAR regulerer specifikt import, eksport og midlertidig import og eksport af produkter, data og tjenester, der er omfattet af USML, samt midlertidig import og eksport. At sende et ITAR-dækket dokument via e-mail betragtes som eksport af data, så virksomheder skal være særligt opmærksomme på, hvordan deres data deles.
Selv om det kan lyde ligetil at holde USML-belagte artikler begrænset til godkendte amerikanske statsborgere, kan det være mere kompliceret, end det ser ud til at være. Det kan betyde, at adgangen for en udenlandsk statsborger, selv en, der er ansat i din egen virksomhed, skal begrænses for at beskytte følsom hardware og data.
The Export Administration Regulations (EAR)
EAR dækker den kommercielle komponent af import og eksport af produkter og data. Den gælder for produkter med dobbelt anvendelse, som både kan sælges kommercielt og anvendes af staten, f.eks. GPS-systemer eller højtydende computere.
Artikler, der er omfattet af EAR, er opregnet på den kommercielle kontrolliste (CCL) i nogle få kategorier af produkter eller tjenesteydelser:
-
Nukleare og diverse
-
Materialer, kemikalier, mikroorganismer, og toksiner
-
Materialeforarbejdning
-
Elektronik
-
Computere
-
Telekommunikation
-
Informationssikkerhed
-
Informationssikkerhed
-
Sensorer og lasere
-
Navigation og flyelektronik
-
Marine
-
Luft- og rumfart og fremdrift
Da hver af kategorierne er brede, vil din virksomhed sandsynligvis være nødt til at foretage en lille undersøgelse eller kontakte en U.US Department of Commerce, Bureau of Industry and Security (BIS) embedsmand for at afgøre, om dine produkter falder ind under en af disse kategorier. BIS er det statslige organ, der har ansvaret for at regulere og håndhæve EAR-overholdelse.
ITAR vs. EAR: Hvordan de adskiller sig fra hinanden
Det er let at sige, at ITAR dækker eksport af alle forsvarsrelaterede materialer og genstande, og EAR dækker alt andet. Men det kan tage noget tid at udrede disse ensartede, men forskellige bestemmelser. Nu hvor du har en bedre idé om, hvad ITAR dækker, og hvad EAR dækker, skal du se på de tre hovedområder, hvor disse forordninger adskiller sig fra hinanden:
-
Regulerende organ: ITAR reguleres af det amerikanske udenrigsministerium, Directorate of Defense Trade Controls (DDTC), mens EAR reguleres af det amerikanske handelsministerium, Bureau of Industry and Security (BIS).
-
Regulerede varer: ITAR dækker alle forsvarsartikler og -tjenester, mens EAR dækker kommercielle produkter og teknologier med dobbelt anvendelse.
-
Hvor regulerede produkter er opført: Du kan finde ITAR-dækkede produkter på United States Munitions List (USML), mens EAR-produkter er opført på Commercial Control List (CCL).
Denne sammenfatning af forskellene viser, at ITAR og EAR på mange måder er parallelle bestemmelser, selv om de er forskellige, men at de er parallelle. Og i sidste ende har de begge det samme mål – at beskytte følsomme materialer eller genstande mod at falde i de forkerte hænder.
Hvor fildeling og overholdelse af reglerne mødes
Du kender sikkert allerede til de alvorlige konsekvenser, der kan følge af manglende overholdelse af de offentlige bestemmelser. Med ITAR og EAR kan det koste din virksomhed et betydeligt beløb i bøder og tabt forretning, hvis du undlader at overholde en af disse bestemmelser. Du kan endda blive udsat for mere alvorlige konsekvenser som f.eks. straffesager. Så det er bydende nødvendigt, at du har kontrolforanstaltningerne på plads for at opretholde overholdelse.
Et af de første skridt, du bør tage for at sikre dig mod manglende overholdelse, er at indføre en sikker fildelingsløsning. Da begge forordninger ikke kun omhandler hardware, men også data, har du brug for en måde at dele disse data både internt og eksternt på uden at kompromittere følsomme oplysninger.
Selv om du måske ikke “eksporterer” i traditionel forstand, deler og sender du måske oplysninger til andre parter. Eksport af data er en daglig foreteelse i de fleste virksomheder i dag. Hvis du sender ITAR- eller EAR-relaterede oplysninger både internt og til dine kunder, skal du fastsætte standarder for at holde dine data sikre, uanset hvem der deler dem, og hvem de deler dem med.
Når du bruger en sikker fildelingsløsning, har du de nødvendige værktøjer til at holde dine data sikre. Især ITAR beskriver en række måder, du skal beskytte dine data på, opdelt i fire kategorier:
-
Access Controls
-
Access Controls
-
Access Controls
-
Konto-adgang kan kun gives via godkendelsesmetoder. Det betyder, at konti skal være beskyttet med brugernavne, adgangskoder, SSH-nøgler osv.
-
ITAR-regulerede data skal være fysisk beskyttet. Vælg en FTP-udbyder, der opererer fra et sikkert sted.
-
Systemadministration
-
Forebyggende software til forebyggelse af malware skal opdateres regelmæssigt. De bedste FTP-værter forvalter og opdaterer alle softwares sikkerhedsforanstaltninger.
-
Hardware, der giver adgang til kontrollerede data, bør være opdateret med sikkerhedspatches og opdateringer. Din fildelingsvært vil vedligeholde den sikre løsning for dig.
-
Elektroniske medier bør tørres i overensstemmelse med NIST 800-88. De bedste fildelingsløsninger overholder dette mandat, og det samme bør din virksomhed gøre.
-
Data skal være krypteret, når de opbevares. Dette er en af de primære funktioner i en sikker fildelingsløsning. I en top fildelingsløsning krypteres data automatisk.
-
Transmission af data
-
Det er ikke tilladt at transmittere ukrypterede data. Ved hjælp af en sikker fildelingsløsning kan administratorer gennemtvinge datakryptering som et krav om fildeling.
-
Trådløse netværk bør krypteres. Dette hører under virksomhedens ansvar, ikke FTP-værtens.
-
Overvågning af indgående og udgående trafik. Brancheførende fildelingsløsninger leverer aktivitetslogfiler, der viser, hvem der har adgang til data. Du kan også kontrollere adgangen baseret på land og IP-adresse.
-
Detekter databrud, når de opstår. Ved hjælp af en fildelingsløsning som FTP Today er du beskyttet af foranstaltninger til registrering og forebyggelse af indtrængen for at forhindre uautoriseret adgang.
-
Underleverandører skal tilpasse sig til reglerne. Som underleverandør garanterer de bedste værter af fildelingsløsninger, at dine data ikke vil blive håndteret forkert hos dem.
-
Udførbar software på delte systemer
-
Kataloger, der indeholder software, vil have strenge adgangstilladelser. Hvis du vælger en FTP-løsning som FTP Today, sikrer værten, at al software er indeholdt i isolerede mapper.
-
Auditlogfiler er aktiveret og sikkerhedskopieret. Din FTP-vært leverer logfiler, der bevares, så længe du har brug for dem.
-
Systemerne bør kun administreres af amerikanske statsborgere. FTP Today beskæftiger f.eks. kun amerikanske statsborgere for at sikre overholdelse af denne forordning.
-
At kun amerikanske statsborgere bør have fysisk adgang til systemerne. De bedste FTP-værter sikrer sikkerheden på de steder, hvor deres fysiske infrastrukturer befinder sig.
Access Controls Don’t access data via public computers. Sikre fildelingsløsninger giver dig mulighed for at begrænse adgangen efter IP-adresse, så der kun er adgang til konti og data fra godkendte, sikre computere.
I sidste ende er den bedste måde at dække dine baser, når det kommer til alle disse bestemmelser, at vælge en fildelingsløsning, der kan holde dig i overensstemmelse med reglerne og sikre dine data. En fildelingsvært kan fokusere på kompleksiteten i forbindelse med overholdelse, som det vedrører fildeling, og du kan vende din opmærksomhed tilbage til din virksomhed.
Vil du vide mere om, hvordan du overholder ITAR-reglerne? Udforsk denne vejledning om overholdelse af ITAR-reglerne og deres indvirkning på datadeling.