Blog La Sicurezza dei dati

What is ITAR Compliance? Definition and Regulations

ITAR regola la produzione, la vendita e la distribuzione di hardware, dati e documentazione militare, di difesa e spaziale. Ecco un elenco dei requisiti di conformità ITAR e delle sanzioni che devi conoscere.
Michael Buckbee
4 minuto di lettura
Ultimo aggiornamento 19 settembre 2023

Contents

    L'International Traffic in Arms Regulations (ITAR) è il regolamento statunitense che controlla la produzione, la vendita e la distribuzione di articoli e servizi spaziali e di difesa, secondo le definizioni riportate nella United States Munitions List (USML).

    Oltre a lanciarazzi, siluri e altra attrezzatura militare, l'elenco USLM delinea piani, diagrammi, immagini e altra documentazione utilizzata per creare l'equipaggiamento militare controllato dall'ITAR, materiale che viene definito come "dati tecnici".

    Leggi la guida essenziale gratuita alla conformità e alle normative sulla protezione dei dati negli Stati Uniti.

    L'ITAR richiede che l'accesso a materiali fisici o dati tecnici relativi alle tecnologie militari e di difesa sia limitato solo ai cittadini statunitensi. Come può un'azienda garantire che solo i cittadini statunitensi possano accedere ai dati in rete in conformità con le disposizioni ITAR? Limitare l'accesso ai materiali fisici è semplice, ma per i dati digitali le cose si complicano.

    Chi deve rispettare la conformità ITAR?

    chi deve rispettare la conformità ITAR?

    Tutte le aziende che gestiscono, producono, progettano, vendono o distribuiscono articoli contenuti nell'USML devono essere conformi a ITAR. Il Directorate of Defense Trade Controls (DDTC) del Dipartimento di Stato degli Stati Uniti d'America gestisce l'elenco delle aziende che possono trattare beni e servizi USML, mentre la creazione di politiche che rispettino le normative ITAR è a carico di ciascuna azienda.

    • Grossisti
    • Distributori
    • Fornitori di software e hardware
    • Fornitori di terze parti
    • Appaltatori

    Tutte le aziende della filiera devono essere conformi all'ITAR. Se l'azienda A vende una parte all'azienda B e poi l'azienda B vende la stessa parte a una potenza straniera, anche l'azienda A viola l'ITAR.

    Normative ITAR

    Le normative ITAR sono semplici: solo i cittadini statunitensi possono accedere agli articoli dell'elenco USML.

    Le normative ITAR rappresentano un problema per diverse aziende statunitensi. Un'azienda con sede negli Stati Uniti ma operante all'estero ha il divieto di condividere i dati tecnici ITAR con i dipendenti locali, salvo ove diversamente autorizzato dal Dipartimento di Stato. Lo stesso principio si applica quando le aziende statunitensi lavorano con subappaltatori di altri paesi.

    Il Dipartimento di Stato può emettere alcune esenzioni a questa regola, e ce ne sono di già previste, stabilite per scopi specifici. Un esempio possono essere alcuni paesi che, attualmente, hanno contratti con gli Stati Uniti che riguardano anche l'ITAR, come Australia, Canada e Regno Unito.

    Il governo degli Stati Uniti richiede di implementare un programma documentato sulla conformità ITAR, che deve includere il tracciamento, il monitoraggio e il controllo dei dati tecnici. Oltre ai dati tecnici, è opportuno anche etichettare ciascuna pagina con un avviso o un indicatore ITAR, in modo che i dipendenti non comunichino accidentalmente informazioni controllate a utenti non autorizzati.

    L'ITAR serve a monitorare materiali sensibili di forze armate e difesa e per far sì che il materiale non entri in possesso di nemici degli Stati Uniti. La non conformità può comportare pesanti sanzioni e danni significativi al marchio e alla reputazione, per non parlare della potenziale perdita di affari in favore di un'azienda concorrente conforme.

    Sanzioni per le violazioni di conformità ITAR

    Sanzioni per le violazioni di conformità ITAR
    Le sanzioni per le violazioni ITAR sono estremamente severe:

    • Sanzioni civili fino a 500.000 $ per violazione
    • Sanzioni penali fino a 1 milione di dollari e/o 10 anni di reclusione per violazione

    Nell'aprile del 2018, il Dipartimento di Stato ha comminato a FLIR Systems, Inc 30 milioni di dollari di sanzioni civili per aver trasferito dati USML a due dipendenti nazionali. Parte della sanzione richiede che FLIR adotti misure di conformità migliori e ingaggi un funzionario esterno per supervisionare il proprio accordo con il Dipartimento di Stato.

    Nel 2007, ITT ha ricevuto una multa da 100 milioni di dollari per aver esportato illegalmente visori notturni. ITT pensava di riuscire ad aggirare le restrizioni ma, il Governo degli Stati Uniti la pensava diversamente.

    Tipologia di articoli per la difesa

    L'USML prevede 21 categorie di articoli per la difesa. Un articolo per la difesa può essere qualsiasi voce presente in questo elenco lungo ed estremamente specifico.

      1. Armi da fuoco, armi d'assalto e fucili da combattimento
      2. Pistole e armi
      3. Munizioni/ordigni
      4. Veicoli da lancio, missili guidati, missili balistici, razzi, siluri, bombe e mine
      5. Materiali esplosivi e energetici, propellenti, agenti incendiari e loro componenti
      6. Navi da guerra di superficie e apparecchiature navali speciali
      7. Veicoli a terra
      8. Aerei e articoli correlati
      9. Attrezzatura per addestramento militare
      10. Equipaggiamento protettivo individuale
      11. Apparecchiature elettroniche militari
      12. Attrezzatura per controllo del fuoco, laser, imaging e guida alla mira
      13. Materiali e articoli vari
      14. Agenti tossicologici compresi agenti chimici e biologici e relative apparecchiature
      15. Veicoli spaziali e articoli correlati
      16. Armi nucleari e articoli correlati
      17. Articoli classificati, dati tecnici e servizi di difesa non altrimenti indicati
      18. Armi ad energia diretta
      19. Motori per turbine a gas e attrezzature correlate
      20. Navi sommergibili e articoli correlati
      21. Articoli, dati tecnici e servizi di difesa non altrimenti indicati

    Come proteggere i dati ITAR

    Alla luce delle sanzioni ITAR, è opportuno proteggere i dati digitali con il maggior numero possibile di livelli di sicurezza. Poiché l'ITAR è un regolamento federale degli Stati Uniti, le sue linee guida per la sicurezza dei dati sono un ottimo punto di partenza. NIST SP 800-53 definisce gli standard e le linee guida che le agenzie federali devono seguire, e qualsiasi azienda che gestisce materiali regolamentati ITAR deve utilizzare NIST SP 800-53 come base per i propri standard di sicurezza. Segui questi principi di base per proteggere i tuoi dati ITAR:

    • Scopri e classifica i dati sensibili
      Individua e proteggi tutti i dati sensibili
      Classifica i dati in base alle politiche aziendali
    • Mappa i dati e le autorizzazioni
      Identifica utenti, gruppi, cartelle e autorizzazioni dei file
      Determina chi può avere accesso a quali dati
    • Gestisci il controllo degli accessi
      Identifica e disattiva gli utenti obsoleti
      Gestisci le appartenenze di utenti e gruppi
      Rimuovi i gruppi di accesso globali
      Implementa un modello con privilegi minimi
    • Monitora i dati, le attività dei file e i comportamenti degli utenti
      Esegui controlli e report sui file e sulle attività degli eventi
      Controlla minacce interne, malware, configurazioni errate e violazioni di sicurezza
      Rileva le vulnerabilità di sicurezza e correggile

    FAQ sulla conformità ITAR

    1. In che modo Varonis può aiutarmi a trovare tutti i miei dati ITAR?
      Data Classification Engine identifica e classifica i dati regolamentati sui tuoi data store di base, sia on-prem che sul cloud. Puoi configurare le regole per identificare i dati ITAR e applicare tag personalizzati, contrassegni e note ai dati regolamentati.
    2. Chi può accedere a questi dati ITAR?
      DatAdvantage di Varonis esegue la scansione dei tuoi file system per analizzare le autorizzazioni di tutti i tuoi dati, compresi i dati ITAR. Comprendere chi può accedere a questi dati è il primo passo per proteggerli dagli accessi illegali. Con DatAdvantage, queste informazioni sono visibili in modo grafico su una user interface trasparente e intuitiva, oppure come report esportabile.
    3. Come faccio a sapere se qualcuno ha avuto accesso ai miei dati ITAR?
      DatAlert di Varonis monitora e attiva gli avvisi quando viene eseguito l'accesso ai dati o a una cartella di dati ITAR. Puoi individuare, contrassegnare e indagare qualsiasi comportamento o attività insolita sui tuoi dati ITAR e mantenere un audit trail completo per aiutarti a soddisfare le normative ITAR.
    4. Come faccio a gestire l'accesso ai dati ITAR?
      L'Automation Engine ripara e mantiene automaticamente le autorizzazioni del file system, mantenendo bloccati i dati ITAR e contribuendo a raggiungere un modello con privilegio minimo. Varonis DataPrivilege aiuta a semplificare la governance degli accessi, applicare automaticamente le policy di sicurezza e dimostrare la conformità agli audit governativi.

    Vuoi saperne di più su come gestire i tuoi dati ITAR per soddisfare i requisiti di conformità? Richiedi una demo 1:1 con un ingegnere della sicurezza e scopri in che modo Varonis può aiutarti.

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Michael Buckbee
    Michael Buckbee Michael ha lavorato come sysadmin e sviluppatore di software per startup della Silicon Valley, per la Marina degli Stati Uniti e per tutto il resto.

    Prova Varonis gratis.

    Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.
    Iniziare Visualizza campione

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    in-che-modo-l'approccio-di-varonis-all'sspm-può-aiutare-la-tua-azienda
    In che modo l'approccio di Varonis all'SSPM può aiutare la tua azienda
    in-che-modo-l'approccio-di-varonis-all'sspm-può-aiutare-la-tua-azienda
    Rob Sobers
    15 settembre 2023
    Adotta un approccio basato sui dati con l'SSPM di Varonis per proteggere le applicazioni SaaS e ridurre i rischi. Scopri come ottenere una migliore visibilità, automazione e protezione.
    in-che-modo-varonis-è-utile-per-la-sicurezza-della-posta-elettronica
    In che modo Varonis è utile per la sicurezza della posta elettronica
    in-che-modo-varonis-è-utile-per-la-sicurezza-della-posta-elettronica
    Yumna Moazzam
    1 dicembre 2023
    Scopri come ridurre in modo proattivo la superficie di attacco delle e-mail, bloccare la data exfiltration e contenere il rischio dell'AI generativa con una sicurezza e-mail accurata e automatizzata.
    i-vantaggi-dei-report-sulle-minacce-e-sui-data-breach
    I vantaggi dei report sulle minacce e sui data breach
    i-vantaggi-dei-report-sulle-minacce-e-sui-data-breach
    Scott Shafer
    18 ottobre 2023
    I report sulle minacce e i data breach possono aiutare le organizzazioni a gestire i rischi per la sicurezza e sviluppare strategie di mitigazione. Scopri i nostri tre pilastri di una protezione efficace dei dati e i vantaggi di questi report.
    l'ai-al-lavoro:-tre-passaggi-per-preparare-e-proteggere-la-tua-azienda
    L'AI al lavoro: tre passaggi per preparare e proteggere la tua azienda
    l'ai-al-lavoro:-tre-passaggi-per-preparare-e-proteggere-la-tua-azienda
    Yaki Faitelson
    1 gennaio 1970
    Scopri come la tua azienda può preparare e proteggere i tuoi dati sensibili dai rischi che presenta l'AI generativa.