A diferença entre o Active Directory e o LDAP

O International Traffic in Arms Regulations (ITAR) é o regulamento dos Estados Unidos que controla a fabricação, venda e distribuição de itens e serviços relacionados à defesa e ao espaço, conforme definido na United States Munitions List (USML).

Além de lançadores de foguetes, torpedos e outros equipamentos militares, a lista também descreve planos, diagramas, imagens e outras documentações usadas para produzir equipamentos militares controlados pelo ITAR. Esse material é referido pelo ITAR como “dados técnicos”.

O ITAR exige que o acesso a materiais físicos ou dados técnicos relacionados a tecnologias militares e de defesa seja restrito apenas a cidadãos dos EUA. Como uma empresa pode garantir que apenas cidadãos dos EUA acessem dados pela rede em conformidade com o ITAR? Limitar o acesso a materiais físicos é simples, mas, para dados digitais, as coisas ficam um pouco mais complicadas.

Quem deve cumprir a conformidade com o ITAR?

Todas as empresas que gerenciam, fabricam, projetam, vendem ou distribuem itens listados na USML devem estar em conformidade com o ITAR. A Direção de Controles Comerciais de Defesa (DDTC) do Departamento de Estado dos Estados Unidos gerencia a lista de empresas que podem comercializar bens e serviços da USML, enquanto a criação de políticas voltadas para o cumprimento dos regulamentos do ITAR é de responsabilidade de cada empresa.

• Atacadistas
• Distribuidores
• Fornecedores de softwares/hardwares de computador
• Fornecedores terceirizados
• Prestadores de serviços

Todas as empresas da cadeia de fornecimento precisam estar em conformidade com o ITAR. Se a empresa A vende uma peça para a empresa B e, em seguida, a empresa B vende a mesma peça a uma potência estrangeira, a empresa A também viola o ITAR.

Regulamentos do ITAR

Os regulamentos do ITAR são simples: somente cidadãos dos EUA podem ter acesso aos itens da lista USML.

As regras do ITAR representam um desafio para muitas empresas dos EUA. Uma empresa sediada nos EUA com operações no exterior está proibida de compartilhar dados técnicos do ITAR com funcionários locais, a menos que o Departamento de Estado autorize. O mesmo princípio se aplica quando empresas americanas trabalham com subcontratados de outros países.

O Departamento de Estado pode emitir isenções a essa regra, e já existem algumas isenções estabelecidas para fins específicos. Um exemplo são alguns países que atualmente têm contratos com os EUA que cumprem o ITAR, como a Austrália, o Canadá e o Reino Unido.

O governo dos EUA exige ter em vigor e implementar um programa de conformidade com o ITAR documentado, que deve incluir rastreamento, monitoramento e auditoria de dados técnicos. Com dados técnicos, também recomenda-se marcar cada página com um aviso ou marcador do ITAR para que os funcionários não compartilhem acidentalmente informações controladas com usuários não autorizados.

O ITAR existe para rastrear material confidencial militar e de defesa e manter esse material fora das mãos dos inimigos dos EUA. A não conformidade pode resultar em multas pesadas, além de danos significativos à marca e à reputação, sem mencionar a possível perda de negócios para um concorrente em conformidade.

Penalidades por violações de conformidade com o ITAR

As penalidades para infrações do ITAR são extremamente severas:

• Sanções civis de até US$ 500 mil por violação
• Multas penais de até US$ 1 milhão e/ou 10 anos de prisão por violação

Em abril de 2018, o Departamento de Estado multou a FLIR Systems, Inc em US$ 30 milhões em sanções civis pela transferência de dados da USML para funcionários de dupla nacionalidade. Parte da penalidade exige que a FLIR implemente melhores medidas de conformidade e contrate um funcionário externo para supervisionar seu acordo com o Departamento de Estado.

Em 2007, a ITT recebeu uma multa de US$ 100 milhões por exportar ilegalmente tecnologia de visão noturna. A ITT achou que poderia contornar as restrições, mas o governo não concordou com essa interpretação das regras.

Tipos de artigos de defesa

Existem 21 categorias de artigos de defesa na USML. Um artigo de defesa pode ser qualquer item dessa lista longa e extremamente específica.

1. 1. Armas de fogo, fuzis de assalto e rifles de combate
   2. Pistolas e armas
   3. Munições/artilharias
   4. Veículos de lançamento, mísseis guiados, mísseis balísticos, foguetes, torpedos, bombas e minas
   5. Materiais explosivos e energéticos, propulsores, agentes incendiários e seus componentes
   6. Navios de guerra de superfície e equipamentos navais especiais
   7. Veículos terrestres
   8. Aeronaves e artigos relacionados
   9. Equipamentos de treinamento militar
   10. Equipamentos de proteção individual
   11. Aparelhos eletrônicos militares
   12. Equipamentos de controle de incêndio, laser, imagem e orientação
   13. Materiais e artigos diversos
   14. Agentes toxicológicos, incluindo agentes químicos, agentes biológicos e equipamentos associados
   15. Veículos espaciais e artigos relacionados
   16. Armas nucleares e artigos relacionados
   17. Artigos confidenciais, dados técnicos e serviços de defesa não indicados de outra forma
   18. Armas de energia dirigida
   19. Motores de turbina a gás e equipamentos associados
   20. Submarinos e artigos relacionados
   21. Artigos, dados técnicos e serviços de defesa não indicados de outra forma

Como proteger os dados sujeitos ao ITAR

Dadas as penalidades associadas ao ITAR, recomendamos proteger os dados digitais com o maior número possível de camadas de segurança. Como o ITAR é um regulamento federal dos EUA, sua própria orientação para segurança de dados é uma ótima referência para começar. O NIST SP 800-53 define os padrões e diretrizes que as agências federais devem seguir, e qualquer empresa que gerencie materiais regulamentados pelo ITAR deve usar o NIST SP 800-53 como referência para seus próprios padrões de segurança. Siga estes princípios básicos para proteger seus dados sujeitos ao ITAR:

• Descubra e classifique dados confidenciais
  Identifique e proteja todos os dados confidenciais
  Classifique os dados de acordo com as políticas da empresa
• Mapeie dados e permissões
  Identifique permissões de usuários, grupos, pastas e arquivos
  Determine quem pode acessar quais dados
• Gerencie o controle de acesso
  Identifique e desative usuários obsoletos
  Gerencie associações de usuários e grupos
  Remova grupos de acesso global
  Implemente um modelo de privilégio mínimo
• Monitore dados, atividade de arquivos e comportamento do usuário
  Controle e faça relatórios de atividades de arquivos e eventos
  Monitore ameaças internas, malware, configurações incorretas e violações de segurança
  Detecte e corrija vulnerabilidades de segurança

Perguntas frequentes sobre conformidade com ITAR

1. Como a Varonis pode me ajudar a encontrar todos os meus dados sujeitos ao ITAR?
   O Data Classification Engine identifica e classifica os dados regulamentados em seus principais repositórios de dados, tanto on-premises quanto na nuvem. Você pode configurar regras para identificar dados ITAR e até mesmo aplicar etiquetas personalizadas, sinalizadores e notas aos dados regulamentados.
2. Quem pode acessar esses dados sujeitos ao ITAR?
   O Varonis DatAdvantage escaneia seus sistemas de arquivos para analisar as permissões de todos os seus dados, incluindo os dados sujeitos ao ITAR. Entender quem pode acessar esses dados é o primeiro passo para protegê-los contra acesso ilegal. Com o DatAdvantage, essas informações ficam graficamente visíveis em uma interface de usuário transparente e fácil de usar ou como um relatório exportável.
3. Como saber se alguém acessou meus dados sujeitos ao ITAR?
   O Varonis DatAlert monitora e aciona alertas quando os dados ou uma pasta de dados sujeitos ao ITAR são acessados. Você pode detectar, sinalizar e investigar qualquer comportamento suspeito ou atividade incomum em seus dados sujeitos ao ITAR e manter uma trilha de auditoria completa para ajudar a cumprir os regulamentos do ITAR.
4. Como gerenciar o acesso aos dados sujeitos ao ITAR?
   O Automation Engine repara e mantém automaticamente as permissões do sistema de arquivos, mantendo os dados sujeitos ao ITAR bloqueados e ajudando a obter um modelo de privilégio mínimo. O Varonis DataPrivilege ajuda a simplificar a governança de acesso, aplicar automaticamente políticas de segurança e demonstrar conformidade com auditores governamentais.

Quer saber mais sobre como gerenciar seus dados sujeitos ao ITAR para atender aos requisitos de conformidade? Obtenha uma demonstração individual com uma pessoa da equipe de engenharia de segurança para ver como a Varonis pode ajudar.