Werknemers in de VS hebben tientallen systemen en applicaties nodig om hun taken te kunnen voltooien. Zij hebben in sommige gevallen ook toegang tot persoonlijk identificeerbare
De term ‘ITAR-compliance’ is eigenlijk een misleidende naam. In tegenstelling tot FedRAMP en andere compliancekaders is er geen formele ITAR-compliance of een officieel ITAR-certificeringsproces. Organisaties die onder de ITAR vallen, zullen zich moeten verdiepen in hoe de regelgeving op hen van toepassing is en vervolgens intern beleid opstellen en interne controles uitvoeren om technische ITAR-gegevens te beschermen.
Laten we eens kijken waar het bij ITAR om gaat en hoe de cybersecurity suite van Keeper u bij de compliance kan helpen.
Wat is ITAR-compliance?
De International Traffic in Arms Regulation (ITAR) regelt de Amerikaanse import en export van ruimtevaart- en defensiegerelateerde artikelen en diensten zoals die staan beschreven op de United States Munitions List (USML). Naast ruimtevaartuigen en militair materieel bevat de USML ook wat in de ITAR als ’technische gegevens’ wordt aangeduid: dingen zoals schema’s, diagrammen, foto’s en andere documentatie die worden gebruikt om spaceshuttles, raketten en andere militair en ruimtevaartapparatuur te bouwen.
Vanuit het oogpunt van cybersecurity en IT-compliance moeten bedrijven ervoor zorgen dat alleen ‘Amerikaanse personen’ toegang hebben tot technische gegevens. Het is belangrijk om op te merken dat de uitdrukking ‘Amerikaanse personen’, zoals ITAR die definieert, niet alleen Amerikaanse staatsburgers of legale permanente inwoners van de VS zijn, maar ook iedere organisatie die is opgericht om in de VS zaken te doen en ook alle federale, staats- en lokale overheden.
ITAR-compliance gaat wat betreft technische gegevens vooral over het waarborgen dat alle datacentra zich in de VS bevinden en uitsluitend door Amerikaanse personen worden beheerd. Verder moeten organisaties verzekeren dat alleen Amerikaanse personen bij technische gegevens kunnen.
Welke organisaties moeten zich aan de ITAR houden?
Alle organisaties die producten of diensten verkopen aan het Amerikaanse ministerie van Defensie (DoD), of indirect aan anderen die dat doen, moeten zich aan de ITAR-regelgeving houden. Dit betekent dat elke organisatie die deel uitmaakt van de toeleveringsketen van de DoD, van hoofdaannemers tot groothandels, distributeurs en IT-serviceproviders, zich dus allemaal aan de ITAR moeten houden.
De Keeper Security Government Cloud (KSGC) biedt ITAR-compliance
Als een aanbieder van cloudservices in het traject van FedRAMP-certificering (Moderate Impact Level) en de eerste en enige wachtwoordmanager die op de FedRAMP-marktplaats wordt vermeld, heeft Keeper een goede positie om organisaties te helpen bij het realiseren van hun ITAR-compliance.
Gehost op AWS GovCloud
De FedRAMP-omgeving van Keeper (Keeper Security Government Cloud (KSGC)) wordt gehost op de AWS GovCloud, die alleen gebruik maakt van Amerikaanse datacenters die uitsluitend toegankelijk zijn voor Amerikaanse personen. Alle gegevens die zijn opgeslagen in AWS GovCloud worden versleuteld, zowel tijdens de overdracht als tijdens het gebruik.
Een Amerikaans platform ontworpen en beheerd door Amerikaanse personen
Alle software-engineers en DevOps-medewerkers van Keeper die aan KSGC werken, zijn Amerikaanse personen. Alle KSGC-broncode is ontwikkeld in de VS en de toegang tot de KSGC-omgeving is strikt beperkt tot personeel van Keeper dat voldoet aan definitie van Amerikaanse personen.
Bovendien heeft KSGC toegewijde teams voor klantsucces en klantenondersteuning in de VS die zijn getraind in de veilige omgang met technische gegevens die onder de ITAR-regelgeving vallen.
Granulaire machtigingsregelingen
In aanvulling op de volledige controle die IT-beheerders over het wachtwoordgebruik van werknemers krijgen, biedt de bekroonde oplossing voor wachtwoordbeheer van Keeper granulair role-based access control (RBAC) met toegang met minimale privileges. Met Keeper kunnen beheerders ervoor zorgen dat alleen Amerikaanse personen toegang krijgen tot technische gegevens die onder de ITAR vallen en dat ze uitsluitend toegang krijgen tot de gegevens waarvoor ze de bevoegdheid hebben.
Zero-knowledge beveiligingsarchitectuur
Keeper is een zero-knowledge beveiligingsprovider. Zero Knowledge is een systeemarchitectuur die op basis van de volgende principes het hoogst mogelijke niveau aan beveiliging en privacy garandeert:
1. Data wordt versleuteld en ontcijferd op apparaatniveau (niet op de server)
2. De applicatie slaat nooit platte tekst op (voor mensen leesbare tekst)
3. De server ontvangt gegevens nooit als platte tekst
4. Geen enkele werknemer of tussenpersoon kan de onversleutelde gegevens bekijken
5. De sleutels voor de versleuteling en ontcijfering worden afgeleid van het hoofdwachtwoord van de gebruiker
6. Meerlaagse versleuteling biedt toegangscontrole op het niveau van gebruikers, groepen en beheerders
7. Voor het delen van gegevens wordt openbare sleutelcryptografie voor veilige sleuteldistributie gebruikt
Gegevens worden op het apparaat van de gebruiker versleuteld en daarna pas verzonden en opgeslagen in de digitale kluis van Keeper. Wanneer gegevens met een ander apparaat worden gesynchroniseerd, blijven de gegevens versleuteld totdat ze op het andere apparaat worden ontcijferd.
De recordgegevens van de gebruiker blijven vanaf het moment dat ze het apparaat van de eindgebruiker verlaten, tijdens de overdracht via internet en de opslag in de kluis van Keeper de hele tijd versleuteld. Dit betekent dat niemand de gegevens kan ontcijferen die onze gebruikers in hun kluizen bij Keeper opslaan, zelfs de werknemers van Keeper niet. De gegevens kunnen alleen met het hoofdwachtwoord op het apparaat van de eindgebruiker worden ontcijferd.
De versleutelingsmethode van Keeper gebruikt een bekend en vertrouwd algoritme, dat AES (Advanced Encryption Standard) heet, met een sleutellengte van 256 bits. Keeper gebruikt PBKDF2 met HMAC-SHA256 om het hoofdwachtwoord van de gebruiker om te zetten in een 256-bits encryptiesleutel met een minimum van 1000 iteraties. Elke gebruiker heeft een 2048-bits RSA-sleutel voor de veilige uitwisseling van recordgegevens.
Zero-trust toegangsbeleid
Met Keeper kunnen IT-beheerders voor de hele organisatie een uitgebreide wachtwoordbeveiliging afdwingen, waarbij verificatie van gebruikers en apparaten de kern vormt van het zero-trust beveiligingssysteem. Dit omvat het gebruik van sterke, unieke wachtwoorden voor elk account en multifactorauthenticatie (MFA) voor alle accounts die dit ondersteunen.
Robuuste compliance-audit en -rapportage
KSGC produceert een traceerbaar, elektronisch audit logboek van alle binnen de omgeving uitgevoerde acties en ingevoerde gegevens. Door de Geavanceerde rapportage en alarmenmodule (ARAM) van Keeper te gebruiken, kunnen IT- en beveiligingsbeheerders ook live e-mail-, sms- en webhookmeldingen ontvangen over ongewoon en mogelijk risicovol gedrag. Het is daarnaast mogelijk om een live exportfeed van gebeurtenisgegevens in te stellen naar een externe spreadsheet of SIEM-oplossing en om aangepaste periodieke rapporten voor intern gebruik, compliance-audits of beide te maken.
Wilt u meer weten over hoe Keeper Security Government Cloud uw organisatie kan helpen bij uw ITAR-compliance? Ga dan naar de KSCG-productpagina of neem vandaag contact op met ons team.