Tot 24 oktober hebben Amerikaanse IaaS providers de tijd te reageren op de verplichting meer buitenlandse klantdata te registreren. De maatregel is onderdeel deel van de strijd tegen ransomware aanvallen en andere vormen van grensoverschrijdende cybercriminaliteit.
EO 13984
Met Executive Order 13984 wordt buiten het congres en de senaat om elke Amerikaanse IaaS provider verplicht meer klantgegevens op te slaan. Welke gegevens precies en voor hoelang staat al in de EO aangegeven. Op dit moment is men bezig met de finale invulling en daarbij hoort ook het raadplegen van de sector bij.
Stakeholders vragen
Dat betekent dat de overheid aan alle stakeholders vraagt te reageren op onder andere het volgende.
- Op welke manieren zijn deze eisen te implementeren;
- Verschillen de nieuwe eisen van de gegevens die reeds door IaaS-aanbieders worden opgeslagen;
- Hebben providers de capaciteit of mogelijkheid hebben om de technische identiteitscontrole (bv. 2FA) uit te breiden met bijkomende, niet-technische screening (persoon/entiteit van een derde partij die instaat voor de betrouwbaarheid);
- Maakt men nu al gebruik van analyses om overtredingen van de servicevoorwaarden op te sporen en zo welke zijn dat;
- Hoe is de potentiële last voor IaaS-aanbieders bij de uitvoering van het bevel te beperken;
- Spelen de AVG, de California Consumer Privacy Act (CCPA) of andere voorschriften inzake gegevensbescherming en beveiliging een rol om te voldoen aan de nieuwe vereisten inzake het bijhouden van gegevens;
- Zijn er al best practices voor naleving en handhaving;
- Hoe om te gaan met problematische accounts of jurisdicties;
- Met welke bestaande fraudepreventieregelingen is het mogelijk maken valse namen en identificatiegegevens die worden gebruikt om te frauderen, op consistente wijze te ontdekken.
AVG
De vragen geven aan dat Washington in de gaten heeft dat er een probleem kan ontstaan bij het laten registeren van veel data over klanten. De AVG stelt namelijk eisen, maar is nadrukkelijk niet de enige valkuil. Andere landen hebben inmiddels vergelijkbare regels. Daarnaast zal iedere IaaS provider begrijpen dat deze maatregel ook goedwillende klanten afschrikt. Het is waarschijnlijk dat een strikte naleving tot omzetverlies gaat leiden.
2FA
De vraag is echter ook of al die PII nodig is om het online gedrag van (staats) criminelen tijdig te signaleren. Stromannen of gehackte accounts zijn methodes om de echte ID van de aanvallers te verhullen. Daarom is er ook wat voor te zeggen maar aandacht te schenken aan het voorkomen van ID fraude. Het verplicht stellen van 2FA wordt al genoemd en dat is een goede zaak. Desalniettemin is het goed in de gaten te houden wat de status van EO 13984 is en per wanneer de hyperscalers zich hieraan moeten houden.
