- Varför har länder ECR (Export Control Regulations)?
Kanske är den mest kända av dessa regler ITAR (International Traffic in Arms Regulations), som kommer från USA. ITAR är utformat för att skydda USAs ledande position ifråga om försvarsförmåga och överträdelser är förenade med kännbara straffsatser. Men dessa är inte de enda amerikanska bestämmelserna och USA är inte den enda källan till sådana regler. ITAR gäller hur som helst allt som kommer från USA och som har bäring på militära tillämpningar. Detta kan även inkludera material som skapats utanför USA.
Det är viktigt att vara medveten om att vissa föremål, som vid första anblicken kan tyckas vara avsedda för civil användning, kan vara föremål för exportkontroll (under Export Control Regulations, ECR) eftersom de används vid konstruktion eller tillverkning av försvarsprodukter. Således kan exempelvis designdatauppsättningen för ett civilt flygplan innehålla sådana föremål.
ECR omfattar i allmänhet hantering av fysiska föremål. Här fokuserar vi på data kring sådana objekt, kallade ECR-data. Reglerna kan gälla när ECR-uppgifter bara visas på en skärm till fel person eller på fel ställe. Detta visar att överensstämmelse med bestämmelserna är beroende av människors beteenden och vad som kan göras med IT-system. Fysisk åtkomst måste också kontrolleras med avseende på IT-system som innehåller ECR-data.
- Vad betyder detta för datadelning
Om data omfattas av ECR (exportkontrollförordningar), finns det vanligtvis en licens som definierar vem som kan och får se dessa data. Således måste ytterligare kontroller införas för dessa data. Bara de som har rätt att se uppgifterna får ha tillgång till dem. Begränsningar tillämpas också i detta för att säkerställa att uppgifterna endast kan extraheras eller kopieras i överensstämmelse med den relevanta licensen. Det är också typiskt att man måste kunna spåra vem som har tillgång till ECR-uppgifterna.
Lyckligtvis är de kärnfunktioner som behövs för att uppfylla dessa krav i huvudsak likartade med de som används för att skydda IP (intellectual Property) och därmed är inte alla uppgifter är föremål för exportkontroll. Det är emellertid typiskt att stora system innehåller ett antal ECR-kontrollerade delar. De tillkommande begränsningarna måste då appliceras på dessa objekt som ett specifikt, extra skyddskikt. Åtkomstkontroll (och spårning) behövs på såväl individer som organisationer. När detta är på plats är dataåtkomst och delningsprocesser desamma.
- ShareAspace och ECR-kontrollerad data
Svenska Eurostep har i detta sammanhang utvecklat en mjukvara, ShareAspace, som har utformats för att möjliggöra och underlätta kontrollerad delning av data. Lösningen har redan från start många av de kontroller som behövs för hantering av ECR-data. Dessa kan användas i enlighet med ECR-regler genom att anpassa ShareAspaces användarroller och organisationer till ECR-licenser. Detta tillvägagångssätt ger en ECR-kontrolllösning som är lämplig för användning inom organisationer vilka matchar övergripande processer för ECR-uppgifter. En mjukvaruprodukt, som ShareAspace, kan vara en del i en förutsättning som tar sikte på att uppnå ECR-överensstämmelse men måste åtföljas av lämpliga processer och utbildning för personal, inklusive partnerorganisationer.
Eurostep kommer ytterligare att förbättra ShareAspace som ett verktyg för hantering av ECR-data under 2018. ShareAspace är, menar Håkan Kårdén, den perfekta mjukvaran när det finns ett behov av att dela en blandning av ECR-data och icke-ECR-data och kan potentiellt involvera många ECR-licenser.
