互联网上敏感数据泄漏的乘法需要对企业进行新的警惕。 OSINT的繁荣(开源智能)包括使用在线访问信息,提供了战略性监控和网络安全机会。但这也暴露于通常被低估的主要法律风险。
太多的玩家仍然混淆了技术可访问性和使用合法性,或者收集或处理清晰网络上可用的某些信息的简单事实,深层网络或黑暗网络可以使公司的民事,犯罪和监管责任涉及公司的责任。
可访问数据的操作并非没有条件
按照欧洲的法律秩序,事实的免费可及性并不能使其无权获得权利。个人数据,受版权保护的文件,受SUI一般法律约束的数据库都是法律保护措施,这些保护构成了在线信息的收集,使用和保护。
在网络安全方面,访问受保护不佳的服务器,错误地咨询开放目录或从泄漏中提取文件可以作为欺诈性访问,非法维护或刑法含义内的不公平提取。即使公司不在泄漏的起源,对黑客的数据的简单拘留也暴露于起诉中。
责任链扩展到客户
法律风险不仅关注手表或网络安全提供者。可以为同伙提供使用不道德的服务提供商,该公司可以通过泄漏或航班运行数据库。在法国法律中,代表团并不能像欧洲法律那样保护代表团,并且对赞助商本身必须采取警惕义务。
对服务提供商的 – 深度审核必须是必须进行的,数据的来源是什么,收集方法,尊重GDPR以及遵守与自动信息系统(Stad)有关的犯罪文本的遵守情况。任何违规行为都暴露了金融制裁,但在公开启示的情况下也面临着主要的声誉风险。
任务,透明和可追溯性:法律观察的支柱
在安全设置中使用OSINT是基于三个基本要求。首先,明确授权提供者,准确定义对象,性质和研究局限性。然后,确保收集尊重GDPR和刑法施加的合法,相称性和忠诚度规则。最后,需要对所采取的动作的完全可追溯性,即所使用的方法,咨询的来源,收集和保存的数据。
合规性不构成一种选择,NIS2关于网络安全的指令要求欧洲参与者加强对数字风险的治理,尤其是在积极的监视方面。在这种硬化的规范环境中,野生骨骼属于过去。只有受监督,有记录和法律安全的方法才能为企业提供保护和战略决策的真正杠杆。
