Персоналом Техопедии, 6 декабря 2017 г.
Вывод: ведущий Эрик Кавана обсуждает грядущее Общее постановление ЕС о защите данных и его влияние на отрасль. К нему присоединяются Уильям Макнайт из McKnight Consulting Group и Ким Брушабер из IDERA.
Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.
Эрик Кавана: Хорошо, дамы и господа, привет и еще раз добро пожаловать. Это среда в 4 часа по восточному времени, что означает, что пришло время снова - один из последних раз в 2017 году - для горячих технологий. Да, действительно, меня зовут Эрик Кавана, я буду вашим модератором сегодняшнего мероприятия. Мы говорим о теме, которая является далеко идущей, если не сказать больше. Прямо сейчас это не так - концепция GDPR, Глобальные правила защиты данных. Давайте пойдем дальше и погрузимся прямо в это, это не по-настоящему ваше, достаточно обо мне. Этот год жаркий, он был действительно жарким во многих отношениях, но надвигающиеся нормативы от GDPR и других организаций, прямо скажем, заставляют нас переосмыслить то, что происходит в мире бизнеса, особенно по его результатам, или как это относится к данным. Мы собираемся услышать от Ким Брушабер из IDERA, а также от Уильяма Макнайта из McKnight Consulting Group.
Несколько слов о теме, ребята. GDPR в основном говорит, что организации должны иметь политику конфиденциальности и конфиденциальности в отношении данных, и на самом деле речь идет о некоторых вещах, которые вы, возможно, слышали - например, полное право быть забытым является частичным и частичным для весь этот момент, и это очень интересный материал. Это, безусловно, справедливо с точки зрения его принципов и этики. Однако с точки зрения фактической реализации это довольно серьезная задача. Право быть забытым говорит о том, что если вы хотите, чтобы в некоторых организациях не было ваших данных, ваших конфиденциальных данных, они должны избавиться от них. Ну, вы можете просто представить, когда некоторые из этих действительно разнородных сред данных, насколько это будет сложно. Чтобы иметь возможность добраться до любого места, где ваши данные постоянны и вытащить их, это просто не произойдет, это практический результат. Тем не менее, организации должны иметь политику, чтобы иметь возможность решать эти проблемы, и это то, что регуляторы, я уверен, будут искать.
Это большая сделка. Организация не только должна удалить ваши данные, если вы так говорите, но и если они обучили алгоритмы этим данным, технически они должны также переподготовить алгоритмы. Это сложный приказ, я должен сказать вам, но он идет, он идет вниз, это станет реальностью в мае следующего года, и есть и другие правила. В Канаде принят закон о защите от спама, который влияет на то, как мы работаем с личной информацией. Чистый нейтралитет приходит на пике сейчас, конечно, по сути, он был искоренен, и это изменит некоторые вещи. Существует множество этих очень серьезных правил, которые влияют на бизнес по всему миру и по всему миру, о которых крупным организациям действительно нужно задуматься и подготовиться.
Для этого у нас есть Уильям Макнайт онлайн из McKnight Consulting Groups, чтобы сообщить нам, что он думает и почему GDPR, на самом деле, всего лишь верхушка айсберга. С этим, Уильям, я передам это вам. Унеси это.
Уильям Макнайт: Спасибо, Эрик, и, как вы говорите, как показывает слайд, этот GDPR, возможно, верхушка айсберга - это, безусловно, то, что мы думаем. Важно, чтобы мы углубились в GDPR, потому что я думаю, что это представляет волну регулирования, которая идет по трубе, с которой нам приходится иметь дело. К счастью, Эрик, есть несколько разумных стандартов в отношении этого права быть забытым, к которому я доберусь. Но, тем не менее, в этом году, говоря о ВВП, я думаю, что есть много фирм, особенно американских, которые еще не готовы к этому. Это определенно жарко и то, о чем мы определенно не думали год назад, когда они просто пробовали надувать какие-то вещи, но теперь это постановление, и мы должны справиться с этим, как вы сказали, Эрик, Мэй может прийти прямо здесь, так что совсем не так далеко.
Немного обо мне, я собираюсь прийти к этому с точки зрения данных. Для того, чтобы вы знали, я работаю с данными на протяжении всей жизни и в течение 19 лет консультирую в области данных, а GDPR много о данных. Я собираюсь изложить здесь часть решения, поскольку я приступлю к своей презентации, посвященной управлению данными. Я, очевидно, занимаюсь многими программами управления данными, и я думаю, что если вы согласны с этой концепцией, вы делаете какое-то управление данными, то многие компании будут довольно далеко идти по этому пути. на самом деле, к соблюдению GDPR, но будет много, и, откровенно говоря, отстающих в управлении и, следовательно, отстающих в подготовке к GDPR. Давайте установим уровень здесь и поймем, что такое GDPR, и по мере того, как мы углубимся в разговор, мы перейдем к более значительным последствиям GDPR для деловой жизни по мере продвижения в новый год и далее.
GDPR - для конфиденциальности данных граждан Европейского Союза. Это постановление - значит, у него есть зубы, значит, оно подлежит исполнению. Это не то, что выдвигается в качестве предложения - это уже произошло, и теперь оно превратилось в постановление со штрафами. Мне нравится начинать со штрафов, потому что это действительно привлекает внимание людей. Это жесткие штрафы. Существует два штрафных санкции, 2 процента годового дохода в мире или 10 миллионов евро, если предприятие не выполняет обязательства по обеспечению безопасности, но все остальное, в нарушение других положений - и я в них попаду - это 4 процента. Вы слышите, что это ошарашено примерно на 4 процента. И, кстати, это 4 процента или 10 миллионов евро, в зависимости от того, что больше. Это очень жестко. Люди очень серьезно относятся к этому. Применять с 25 мая 2018 года - это ключевая дата, когда могут начаться проверки, когда вы сможете получить штраф. Определенно вы хотите быть готовым к этому. В каждой компании, с которой я имею дело, я имею дело со многими компаниями из Global 2000, они где-то готовятся к ВВП, некоторые больше, чем другие, а некоторые должны быть больше, чем другие на данный момент. Конечно, встретить эту дату для некоторых будет непросто, и мы увидим.
Это самый тщательный режим соблюдения конфиденциальности данных, который мы когда-либо видели. Когда мы увидим что-то более жесткое или что-то, что повлияет на население США, может быть, оно будет более прямым, кто знает, но оно существует, и его обязательно нужно соблюдать. Требуется, чтобы организации понимали, что такое гражданская личность UE - мы знакомы с правом PII - личная информация, социальное обеспечение, номер телефона, адрес, вещи, которые могут однозначно идентифицировать человека или совершенно однозначно идентифицировать человека. Что у них есть и как они это используют. Это означает инвентарь. Это означает регулирование в ваших собственных компаниях вокруг таких данных. Кстати, в США нет какого-либо общенационального закона о защите данных. США всегда были - я скажу позади, если смотреть в перспективе - отстали от Европы в плане такого рода регулирования, и это продолжается. Это продолжается с GDPR, это довольно очевидно. Некоторые из вас могут знать о защите конфиденциальности, вы можете быть удивлены этим. Есть около трех или четырех положений в GDPR, которые частично совпадают с защитой конфиденциальности, но есть сто положений в GDPR, так что это намного больше, чем это, и, конечно, оно все еще в силе и имеет отношение к обмену данными США и ЕС. только, хотя это важно.
Опять же, мне нравится начинать с цифр. Вы слышали о штрафах, о том, как вы к этому готовитесь. Составление бюджета для GDPR и выполнение некоторого из этого, это зависит от пары факторов. Количество данных PII, которые вы собираете на граждан ЕС. Если вы ничего не получаете, хорошо, вы, вероятно, послушны и вам не придется с этим сталкиваться, но вы, вероятно, на этом звонке, потому что вы где-то собираете. Размер вашей компании и зрелость управления данными, что, как я уже говорил, может приближаться к тому, что вам нужно сделать, чтобы реагировать на GDPR. Вы можете ожидать до нескольких миллионов долларов США или евро, в зависимости от обстоятельств, за соблюдение. Однако мы хотим, а не хотим просто соблюдать GDPR, поставить галочку в этом поле, конечно, мы должны это сделать. Надеюсь, вы находитесь не в той ужасной ситуации, когда просто отчаянно хотите установить этот флажок. Ищите выгоды для бизнеса, потому что многие вещи, которые вы делаете для поддержки GDPR, полезны для вашего бизнеса. Управление данными полезно для вашего бизнеса. Когда дело доходит до объема данных PII, некоторые из них более важны, чем другие, некоторые будут подвергаться более тщательному анализу, чем другие, например, связанные с состоянием данных, будут регулироваться гораздо более строго в соответствии с GDPR, чем другие типы данных, и потребуют соблюдения с дополнительными обязательствами, такими как проведение оценки воздействия защиты данных, что, очевидно, добавляет к вашему бюджету.
Немного о бюджете. Если вы находитесь в Великобритании или США, и вам интересно, как это повлияет на вас - GDPR влияет на Великобританию, которая, кстати, все еще находится в ЕС до 29 марта 2019 года и чье правительство указало, что что-то вроде GDPR будет продолжаться после этой даты, потому что «это хорошая идея». Компании Великобритании должны соблюдать ее. Данные гражданина Великобритании, безусловно, на столе для этого. В случае, если неясно, есть ли американские компании, если вы имеете дело с ЕС, с данными граждан ЕС, это, безусловно, относится к вам. Это влечет за собой последствия для вашей архитектуры данных, потому что вам может понадобиться отгородить свои данные ЕС от всего остального и обращаться с ними по-другому. Как говорил Эрик, это влияет на то, как вы компилируете эту аналитику и так далее. Может быть, сейчас сложнее запустить какую-либо концептуальную, глобальную аналитику. Они могут стать более локализованными в результате ВВПР.
Что в положениях? Есть стандарты защиты данных. Это все, кроме диктовки шифрования данных в покое и в движении. Я поговорю о шифровании дальше. Существуют стандарты уведомления о нарушении данных. Больше не нужно ждать месяцами, ждать четверти, чтобы все узнали. Я думаю, что на днях было большое событие, и мы узнали: «О, это случилось год назад». Ничего из этого с GDPR - у вас 72 часа. Это политика имени и позора. Надеюсь, никто не доберется до этого, ясно, что некоторые люди. Нарушения будут продолжаться, даже после GDPR, конечно. Существуют процессы для контроля местоположения и качества данных. Звучит знакомо? Это действительно сердце управления данными. Надеюсь, у вас есть некоторые из них.
Граждане ЕС имеют право быть забытым, как отметил Эрик. Эрик, есть некоторые стандарты разумности. Вам не обязательно стирать все по необходимости, если вам, возможно, придется повторно связаться с этим клиентом, с этим сотрудником, вам разрешено сохранять определенные аспекты их личных данных. Но, тем не менее, эти граждане имеют право быть забытыми, но не может быть непропорциональных усилий - это язык - для вас или для компании, это для вас, чтобы стереть эти данные. Я не хочу преуменьшать это, но вы также должны выпустить копии личных данных, которые были сохранены, и вы можете получить эти данные только с согласия. Это согласие должно быть дано людьми, достигшими минимального возраста, чтобы получить такое разрешение. Это полный рот, но это дает гражданам много прав на свои данные. Это переносимость прямо здесь, на случай, если это когда-нибудь произойдет. Право быть забытым, ясно, но также - и что-то, что не на моем слайде, что довольно важно - это то, что субъект данных имеет право не подвергаться решению, основанному исключительно на автоматизированной обработке. К чему мы тяжело двигались? Автоматизированная обработка, вокруг принятия кредита, какие предложения мы собираемся дать, все это нужно проработать с точки зрения того, как это будет развиваться и как далеко это пойдет. По сути, это говорит о прозрачности того, почему меня отвергли, почему эта компания так или иначе относится ко мне. Это прямо сейчас, предоставляется гражданину ЕС.
Очевидно, есть некоторые последствия для того, как мы ведем бизнес, и, надеюсь, вы видите, что GDPR - это не проблема ИТ, а не проблема только ИТ. Все эти бизнес-процессы вовлечены. В нем будут участвовать люди со всей компании. Назначение сотрудника по защите данных рекомендуется для тех компаний, в которых работает более 250 человек, и у вас есть «критическая математика с данными PII ЕС». Вы можете сами решить, есть ли у вас эта критическая математика, иногда это очевидно, иногда нет. Но есть новая роль - она не должна быть полностью занятой, у человека могут быть другие обязанности, но я не знаю, - в некоторых средних и крупных корпорациях я думаю, что присоединение к GDPR приведет к быть близким к постоянной роли. Я бы сказал, начните с этого и посмотрите, сможете ли вы справиться с этим. Особенно в следующем году, когда вы начнете действовать в отношении GDPR, как только он уладится, возможно, вы сможете замедлить работу над этим, но некоторым компаниям потребуется довольно много времени. Позвольте людям видеть свои собственные данные и переносимость данных, как я упоминал ранее.
Кстати, это не все новое, но право быть забытым действительно существует, верите или нет. Действующие правила ЕС уже предусматривают право на удаление личных данных или их недоступность. Тем не менее, теперь это часть GDPR, он будет применяться гораздо шире. Шифрование данных - шифруйте ваши данные в покое. Используйте стандартные методы шифрования, не используйте свое собственное доморощенное или нестандартное шифрование. AES - это то, что мы рекомендуем совсем немного. Используйте криптографически безопасные ключи шифрования. Периодически меняйте эти ключи. Также предотвратите потерю этих ключей. Это просто хорошие методы шифрования, но теперь они выходят на передний план с GDPR. В этом и заключается проблема - я попал только на вершину айсберга. Очевидно, что есть еще положения, но это основные из них.
Теперь решение. Управление данными, структура вашего соответствия, по крайней мере, это та точка зрения, которую я здесь выдвигаю. К счастью, существует активная дисциплина, которая, когда достигнет зрелости, может и будет отвечать большинству требований, и это управление данными - очевидно, я говорю это. Программы управления должны иметь глоссарий данных, и здесь я использую глоссарий данных в общем смысле, чтобы обозначить документацию по всем процессам. Это является основополагающим, чтобы удовлетворить потребности в инвентаризации GDPR, которые, как мы видели, довольно огромны. Программа, программа управления, должна облегчать протоколы безопасности данных - и я подчеркиваю, что это не то, чем сейчас занимаются многие программы управления данными, но я думаю, что это логичное место для этого, потому что они сидя на программе, которая определяет, кто владельцы бизнеса? Кому нужно это увидеть? И тогда следующим шагом будет предоставление этих разрешений. Это должно быть централизовано, это должно быть формализовано. Там должны быть внутренние политики, которые используются. Управление должно быть назначено всем элементам, чтобы обеспечить вклад во все вышеперечисленное. Управление данными также может быть фактором, способствующим разработке бизнес-процессов, что будет необходимо.
Прежде чем я оставлю этот слайд, чтобы избежать больших штрафов, компании будут использовать в качестве побочного продукта разумные методы ведения бизнеса. Мне нравится говорить, что это больше, чем побочный продукт, но на самом деле это просто хороший, надежный бизнес, который может привести вас в новые места с точки зрения бизнеса. Конечно, вы получите много эффективности для реализации всех инициатив по всем направлениям, если у вас есть надежное управление данными, это то, что я видел на протяжении многих лет. Добавив некоторые из этих вещей, которые я упоминаю, к управлению данными, они будут только лучше. При разработке бизнес-процессов мы рекомендуем вам задавать эти вопросы по всем направлениям, затрагивая все сферы бизнеса. Какие данные мы собираем о наших клиентах в ЕС? Я не буду читать их все. Некоторые из ключевых здесь. Кому нужны эти данные и следуют ли они? Кто управляет этими данными? Кто мой ведущий в бизнесе? Это большой вопрос: передаем ли мы эти данные третьим лицам? Тот факт, что вы передаете его третьему лицу, не оправдывает вашу ответственность за эти данные - это все еще ваши данные, это все же данные, которые вы собрали. Есть много сторонних контрактов, которые в настоящее время тщательно пересматриваются в результате GDPR. Есть ли у этих систем детерминированные сбои? То есть, когда они терпят неудачу, они терпят неудачу на пути, который мы предопределили, или они просто терпят неудачу, терпят крах, горят, и мы начинаем с нуля копаться в нем? Это будет, очевидно, намного лучше. Это уже хорошая практика, но, очевидно, намного лучше для обратного инжиниринга некоторых из этих вещей, если у вас есть большие детерминированные сбои в вашей системе.
Хранение данных, мы говорим о сохранении данных навсегда. У многих компаний есть политика, но они не все следуют им. Очевидно, что в области здравоохранения и финансов мы хотим хранить данные, мы должны хранить данные в течение определенного количества лет. Некоторые аналитики в этих фирмах, которые хранят данные за семь лет или еще много чего, говорят: «О, после того периода я все еще хочу эти данные». Некоторые юристы в этих компаниях говорят: «Но мы должны избавиться от них». в целях ответственности »и так далее. Это не может просто сидеть, как проблема в ссоре с GDPR. У нас должен быть срок хранения, чтобы он последовательно соблюдался в рамках всей организации.
И, наконец, как вы мобилизуетесь для взлома данных? Эти наихудшие сценарии, которые могут случиться с вами. Очевидно, что мы пытаемся предотвратить их, но что, если это произойдет? Как вы справляетесь с ситуацией и убедитесь, что вы соблюдаете положения GDPR в своем ответе? Я архитектор данных, я думаю об архитектуре данных. Если вы являетесь американской компанией с операциями в ЕС, то есть данными о гражданах ЕС - вы собираете их, вам нужно будет решить, применять ли стандарты защиты данных ко всем данным или только к данным ЕС. Да, у меня есть клиенты, которые сейчас принимают это решение. Что касается здравой деловой практики, они могут захотеть перенести это в США, хотя они могут чувствовать, что у них есть время, но это поднимает пулю номер два. Возможно, вам придется скрывать данные ЕС от систем США, если вы не можете поручиться, что системы США будут обрабатывать данные надлежащим образом. Разделяет ли это данные для целей аналитики? Является ли аналитика даже действительной, если вы пытаетесь сделать это по всей стране? Иногда да, иногда нет, верно? В результате вы можете обнаружить, что ваша аналитика будет отключена.
Как я упоминал ранее, искусственный интеллект играет здесь роль, потому что, очевидно, мы можем использовать ИИ для поиска всех данных, помочь нам найти все данные, но если мы используем ИИ в наших клиентских интерфейсах, нам нужно иметь прозрачность сейчас с нашим клиентом. интерфейсы, и это никогда не было сильной стороной AI. Попытка сказать клиенту: «Вы были отклонены, потому что бла, бла, бла», когда на самом деле это был ИИ. Это сейчас должно быть сделано. Мы должны выяснить, как работает ИИ, каковы факторы? Не могу просто сидеть и быть черным ящиком для тебя больше. Что же нам теперь делать? Создайте свой совет GDPR. Я предлагаю, чтобы у вас был ваш старший сотрудник по вопросам конфиденциальности или если у вас есть сотрудник по защите данных, очевидно, этот человек. Руководители по управлению данными, операционным рискам и / или соответствию, в зависимости от того, как они применяются, - глава ИТ, ИТ-директор, если это человек. Если у вас сменился менеджер, это был бы отличный человек. Просто руководители некоторых из наиболее важных отделов вашего бизнеса, а также глава отдела кадров, потому что обучение конфиденциальности сейчас будет огромным. Все будут проходить обучение по вопросам конфиденциальности или должны пройти обучение по вопросам конфиденциальности, когда они будут работать в компании, даже консультанты.
Если вы не делаете то, что видите здесь, вам придется двигаться быстрее, чем вы хотите сделать в срок. Вам также нужно начать надеяться, что вы не одними из первых будете проходить аудит, потому что, честно говоря, здесь много работы, если вы начинаете с нуля и имеете дело с большим количеством данных о гражданах ЕС. Нанимайте DPO, проводите инвентаризацию ваших данных и процессов. Создайте этот план управления данными, возьмите его оттуда, где он должен быть. В зависимости от обстоятельств, вы можете начать его. Создайте свою политику конфиденциальности и уведомления о политике. Политика конфиденциальности является внутренней. Политические уведомления выходят наружу. Мы видим, что культура начинает создаваться вокруг политических уведомлений. Вокруг этих уведомлений о политике делается много сравнений и много тщательных формулировок. Закажите проверку соответствия GDPR для всех систем, включая новые. Возможно, вам придется упорядочить их и выполнить в некотором порядке важности, но это еще один способ решения проблемы. Посмотрите на системы и то, что они должны делать, и как они обрабатывают эти данные.
Что сигнализирует GDPR? Об этом мы и поговорим немного подробнее. Я с нетерпением жду, что Ким скажет по этому поводу. GDPR - это сдвиг в контроле конфиденциальности данных в сторону регулирования. Это тенденция к прозрачности, прямо говорится в положениях. Мы создаем эту культуру уведомлений о конфиденциальности, как я уже говорил, это вещь сейчас. Мы собираемся увидеть конференции о конфиденциальности и так далее. Сдвиг GDPR направлен на фундаментальные права людей. Открытые вопросы будут решены. Там явно открытые вопросы, я оставил несколько на столе здесь для нас. Ни у кого нет ответа. Они будут разработаны. Тенденция к большему пониманию людьми своих данных и того, как они используются. Я думаю, что это повысило осведомленность населения ЕС о важности их данных и о том, что это является одним из их личных активов, что им нужно больше управлять. Это некоторые из ранних сигналов, которые я видел, и Эрик, я сейчас верну его тебе.
Эрик Кавана: Хорошо, позвольте мне передать ключи Ким, которая может поделиться некоторыми ее взглядами, но я думаю, что это был хороший обзор, Уильям, и вы затронули ключевые моменты - а именно, что это наверняка произойдет. и мы все должны быть очень осторожны, откровенно говоря. После этого позвольте мне передать ключи Ким, и вы сможете поделиться своим экраном и взять его оттуда.
Ким Брушабер: Привет, ты меня слышишь?
Эрик Кавана: Я вас слышу.
Ким Брушабер: Отлично. Уильям осветил некоторые из тех вещей, которые я собираюсь осветить, но я думаю, что они заслуживают повторения, потому что они действительно важны. Я думаю, что когда будут приняты новые правила, очень хорошо, если у них будет мнение и толкование многих разных людей, чтобы что-то пробудило у вас мысли и позволило вам стать еще более совместимым. Я воодушевлен всеми людьми, которые находятся на этом звонке, которые хотят знать больше, потому что я думаю, что 25 мая, может быть много паники для компаний, за которыми преследуют, не соблюдая требования.
Меня зовут Ким Брушабер, я старший менеджер по продукции в IDERA. У меня есть несколько продуктов, которые помогают с соблюдением GDPR, а также с другими правилами. Я собираюсь перейти к некоторой информации. Я собираюсь начать с некоторых фактов и цифр, а затем немного рассказать о GDPR, а затем конкретно о том, как наши инструменты могут вам помочь. Одним из фактов является то, что более 5 миллионов записей данных теряются или украдены каждый день. Мы не слышали об этом в новостях, мы не слышали, как это поступало из других мест, но существует более 5 миллионов записей данных, которые постоянно украдены, прямо из-под нас. Среднее число дней, в течение которых злоумышленники неактивны в вашей сети, составляет 200 дней. Многие системы уже проникли людьми, которые - со злонамеренными намерениями - которые просто ждут возможности извлечь выгоду из вашей информации, в основном в рамках безопасности и сертификатов, но они просто ждут своего момента, чтобы наброситься. Вот почему становится все важнее обеспечивать безопасность ваших данных. По прогнозам, средняя стоимость одного взлома данных в 2020 году превысит 150 миллионов долларов, поскольку все больше бизнес-инфраструктуры подключается к онлайн-ресурсам и все больше и больше ресурсов в облаке. Это хороший бюджетный показатель, если вы действительно беспокоитесь о безопасности данных, чтобы дать вашей руководящей команде сказать им, что это серьезный вопрос и может стоить нам больших денег в будущем.
Я кратко расскажу о нарушении данных в Equifax, потому что я думаю, что это было крупнейшее нарушение данных в 2017 году, чтобы показать, каково это проходить. Нарушение затронуло 145, 5 миллионов клиентов. Сотрудники признали проблему безопасности в своем веб-приложении за два месяца до нарушения. Сотрудники говорили: «Это проблема». И даже немного раньше, когда на самом деле вышел патч. После того, как произошло нарушение, потребовался целый день, чтобы перевести веб-приложение в автономный режим. Поскольку у Equifax не было определенного протокола защиты данных, им потребовалось значительное время, чтобы даже выяснить, что происходит, и затем иметь возможность перевести систему в автономный режим. Через шесть недель после нарушения общественность была предупреждена. С GDPR - как мы указали выше, и я скажу это снова - вы должны сообщить в течение 72 часов, и Equifax связал бы их руки и был бы не в состоянии выполнить это соответствие, потому что они ждали шесть недель, чтобы сообщить об этом. Сообщение для ответа на нарушение включало веб-сайт, который даже не принадлежал Equifax. Сами Equifax ретвитнули этот твит, которого даже не было в их области - они перевернули некоторые слова вокруг. К счастью, это не был вредоносный сайт, который извлекал выгоду из этого, но они явно не были подготовлены. У них не было плана, и об этом стало известно на общественной арене. Equifax не одинок - в 2017 году было проведено более 25 киберпрофильных атак, и мы еще можем найти еще до конца года. Компании действительно должны начать воспринимать это всерьез, потому что люди там, и если вы дадите им повод захотеть прийти к вам, вам лучше быть готовым справиться с этим.
Некоторые другие данные факты и цифры в отношении того, как люди смотрят на безопасность данных. К 2020 году 30 миллиардов устройств будут подключены к Интернету через наши дома, через наши носимые устройства, через наши телефоны, наши планшеты и кто знает, что еще может появиться в ближайшие годы. Существует множество устройств, которые остаются уязвимыми для этих атак. Сорок девять процентов американцев считают, что их личная информация менее безопасна, чем пять лет назад. Семьдесят три процента потребителей в Америке хотят, чтобы компании прозрачно относились к своим личным данным. Семьдесят восемь процентов людей утверждают, что знают о рисках, связанных с нажатием на неизвестные ссылки и электронные письма, но они все равно нажимают на эти ссылки - это более трех четвертей нашего населения, и они все еще нажимают на ссылки, даже если они знаю, что это может быть проблемой. Восемьдесят шесть процентов интернет-пользователей активно пытаются минимизировать, анонимно скрыть и скрыть видимость своих цифровых отпечатков. Мой отчим любит выходить и создавать поддельные имена, когда заполняет формы, потому что он думает, что это делает его анонимным, но мало что он знает, что его IP-адрес также отслеживается. Есть много индивидуального беспокойства, и это то, что порождает много правил GDPR и, возможно, дополнительных правил, которые будут следовать.
Что касается фактов индустрии безопасности данных, 90 процентов записей о взломах в 2016 году были получены от правительства, розничной торговли и технологий. Сорок три процента кибератак атаковали малые предприятия. Если вы думаете: «О, я не большой парень, они не пойдут за мной», все еще есть почти половина из них, которые идут за малым бизнесом. Семьдесят пять процентов отрасли здравоохранения были заражены вредоносными программами в прошлом году. Семьдесят процентов американских нефтегазовых компаний были взломаны в прошлом году. Это значительное влияние на различные отрасли, которые работают и работают, и это число будет только расти.
Если вы посмотрите на это с точки зрения руководства, 90 процентов ИТ-директоров признают, что тратят миллионы долларов на недостаточную кибербезопасность. Девяносто процентов также говорят, что на них напали или они ожидают, что на них нападут парни, скрывающиеся в их шифровании. Восемьдесят семь процентов считают, что их средства контроля безопасности не могут защитить их бизнес. Восемьдесят пять процентов ИТ-директоров ожидают, что злоупотребление их ключами и сертификатами станет еще хуже. Это огромное количество компаний, которые рассматривают эту проблему безопасности данных, и реальность такова, что многие из них не имеют очень хороших решений, чтобы даже иметь возможность справиться с этим, когда это происходит, даже если они считают, что это произойдет.
Когда мы смотрим на его готовность, в 2014 году 70 процентов тысячелетий признали, что они вводили сторонние приложения в свое предприятие в нарушение политики ИТ. Семьдесят процентов признались в этом - возможно, даже больше, чем те, которые действительно это сделали. Пятьдесят два процента организаций, которые пострадали в результате успешных кибератак в 2016 году, не внесли никаких изменений в свою безопасность в 2017 году. Несмотря на то, что их атаковали один раз, они все равно не пошли и не укрепили стены - они так же уязвимы, как и они. были до нападения. В связи с этим возникает вопрос: что нужно начинать делать компаниям, чтобы подготовиться к этим вещам? Тридцать восемь процентов глобальных организаций заявляют, что готовы справиться с изощренной кибератакой. Это хорошо - почти половина там, и я щедро с этим справляюсь, мы на самом деле только на треть, но есть еще хотя бы половина, которая говорит: «Я не готов. Если меня атакуют, я не готов, и хакеры это знают ». Тридцать восемь процентов организаций имеют план реагирования на кибер-инциденты. Большинство компаний находятся в одном ведре с Equifax, где они не знают, что они собираются делать. Если они получат это, им придется реагировать и придумывать эти вещи на лету, и такие нормативы, как GDPR, говорят: «Вы должны иметь это на месте. Вы должны опубликовать их. Вы должны доказать это аудиторам безопасности ». Надеемся, что с такими последствиями, с подобными нормативными актами, мы сможем опередить эту кривую, и вместо того, чтобы быть реакционными, мы можем быть активными в наших действиях.
Давайте поговорим немного о GDPR. Кое-что из этого Уильям уже освещало, но я собираюсь повторить это снова, просто с моей точки зрения, моего голоса, моей перспективы. Многие компании, с которыми я общаюсь, говорят: «Я в США, почему я должен заботиться об этом регламенте ЕС?» Тот факт, что больше людей не гудит, а больше людей не говорит о так, они думают, что это касается только членов ЕС, но я хотел бы спросить вас, если вы посмотрите на этот список, собираете ли вы какие-либо из этих данных от членов ЕС? Если вы вообще собираете какую-либо из этой информации, на вас распространяются границы GDPR, а также штрафы за несоблюдение. Я дам вам секунду, чтобы просто впитать и понять это. Как упоминал ранее Уильям, это санкции и санкции, на которые ссылается статья 83 ВВП. В начале вы можете получить пощечину, немного предупреждающую: «Эй, соберись. Поместите это на место ». Но если у вас действительно серьезное нарушение - и в зависимости от того, насколько оно велико - они вернутся к вам для реституции, и это значительное число. Не 10 миллионов, а 20 миллионов евро или 4 процента вашего оборота / дохода за предыдущий год. Это много денег. Это большой бюджет, чтобы пойти в ваши исполнительные команды и сказать: «Это то, что нам нужно, чтобы начать воспринимать всерьез и принимать меры».
Позвольте мне немного рассказать о принципах GDPR, изложенных в статье 5. Одна из вещей, которые они говорят, заключается в том, что личные данные должны обрабатываться законно, справедливо и прозрачно. Это означает, что публика хочет знать, что вы делаете со своими данными. Будьте прозрачны об этом, и это должно быть опубликовано. Большинство людей не читают термины и условия, но это новая информация, с которой вам нужно иметь возможность общаться, чтобы вы могли сказать им: «Ваши данные обрабатываются надлежащим образом». Личные данные должны собираться для указанного, явные и законные цели. Это означает, что мы надеемся, что мы сможем избавиться от некоторого количества этого спама, когда компании говорят, что собирают информацию для викторины, которая говорит вам, насколько вам интересно, и на самом деле они берут ваши данные и продают их кому-то другому., чтобы иметь возможность использовать для любых своих целей. Компании теперь должны быть намного более ответственными и точно сказать, для чего они используют вашу информацию. Они также говорят, что личные данные должны быть адекватными, актуальными и ограниченными тем, что необходимо. Многим компаниям нравится брать всю свою информацию и помещать ее в большой пул данных, а затем они выясняют, что они хотят делать с этой информацией позже, и они собирают гораздо больше, чем это может быть необходимо. Это говорит о том, что вы не можете собрать его и использовать в другом месте. Вы также не можете просто собрать все и надеяться, что позже вы найдете это полезным. Вы должны четко указывать, почему вы собираете информацию, и она должна соответствовать данным, которые вы собираете.
Персональные данные также должны быть точными и постоянно обновляться. Вы должны предоставить пользователям способы обновления своих данных, как только вы соберете их на них; они должны иметь возможность вернуться и сказать: «Вы знаете, у меня было такое мнение в каком-то опросе, который вы спрашивали у меня о личной информации, и я хочу вернуться, и я хочу изменить это и обновить его сейчас». И у вас есть чтобы дать им возможность быть в состоянии сделать это. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных не дольше, чем это необходимо. Возвращаясь к точке зрения Уильяма, что вы не можете собирать эту информацию вечно - вам нужно придумать то, что вы считаете правильным и необходимым, а затем после этого вы должны стереть данные. Он также должен обрабатываться таким образом, чтобы обеспечить надлежащую безопасность, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.
Как я уже говорил, пришло время серьезно отнестись к этому, прекратив эти утечки данных, потому что не только вы можете получить травму, которая может быть нанесена вашей компании в виде утечки данных, а также потери в доходах и затрат на укрепление ваших процессов., но у вас также может быть куча штрафов, наложенных на вас от GDPR. Настало время действительно начать серьезно относиться к этому, и я думаю, что по мере вступления в силу GDPR компании столкнутся с трудной реальностью, и, к счастью, те из вас, кто сегодня на связи, могут начать думать об этом и знать, как вы собираетесь привести эти вещи в действие.
GDPR также много говорит о правах человека; это действительно присматривает за отдельными пользователями. Первое - это право доступа к вашим личным данным. Пользователи должны знать, какую информацию о них вы собрали, насколько это касается личной информации, и вы должны дать им возможность получить к ней доступ. Есть также право на исправление, которое является причудливым способом сказать: «Мне нужно иметь возможность исправить информацию, которая у вас есть на меня». Право на удаление - которое опять-таки многие формулируют как право на быть забытым - если человек говорит: «Знаете что, я больше не хочу, чтобы вы знали, что я супер веселый парень, коллекционер комиксов, вам нужно от этого избавиться. У меня есть друзья, которые дразнят меня и полностью стирают из вашего списка: «Вы должны быть в состоянии это сделать. Существует также право на ограничение обработки, и это означает, что пользователи могут ограничивать способ обработки своей информации. Они могут сказать: «Я не возражаю против того, чтобы вы брали мою информацию, потому что я покупаю новую машину, но не используйте эту информацию для отправки мне электронных писем и рассылки спама о новых предложениях каждый раз, когда выпускаются новые автомобили». Есть также право на переносимость данных, что означает, что пользователи должны иметь возможность получить копию своих данных и иметь возможность взять ее в другом месте. Многие организации собирают информацию, и эта информация имеет фактор липкости, и теперь отдельные люди могут сказать: «Вы знаете, что я хочу, чтобы вы взяли всю мою информацию, и теперь я хочу, чтобы вы передали ее своему конкуренту, чтобы я мог это переместить». над."
С точки зрения организации есть над чем подумать, как вы сможете это сделать, и какую информацию вы хотите собирать и отправлять. Существует также право на возражение, и пользователи могут также возражать против обработки своих данных. Право не подвергаться решению, основанному исключительно на автоматической обработке или профилировании. Это оказывает существенное влияние на маркетинг B2B - если вы сидите там и пытаетесь провести A / B-тестирование и пытаетесь определить, что Колорадо будет в большей степени подвержено влиянию сообщения, чем Калифорния, хорошо, вы только что выполнили профилирование, посмотрев на один из них. состояние против другого, и вы должны посмотреть на то, как человек должен иметь возможность отказаться от этого.
Принимая во внимание, что у нас есть некоторые страшные вещи, которые доходят до взлома данных и того, как люди смотрят на их данные, и у нас есть это огромное правило, которое ложится нам на плечи, я сейчас здесь, чтобы дать вам решение о том, как IDERA может помочь. Статья 15 рассказывает о том, как контролировать доступ к персональным данным. Вы должны знать, кто обращается к вашим данным. Как они это используют. Сколько данных было обработано, и диспетчер соответствия продуктов SQL, для которого я являюсь менеджером продуктов, позволяет вам узнать, кто и как получает доступ к вашим данным. SQL Compliance Manger для решений SQL Server. Если у вас есть база данных SQL Server, вы можете подключить этот продукт, чтобы иметь возможность проверять и просматривать эту информацию, чтобы вы могли соблюдать GDPR и точно знать, как она используется. Вы также можете увидеть утечки данных до того, как они произойдут, и я расскажу об этом на другом слайде. Также есть статья, в которой говорится: «Мне нужен отчет о процессах обработки. Мне нужно регистрироваться, мне нужно отслеживать операции, и мне нужно знать, кто обрабатывает личные данные и у кого есть доступ к этим системам ». SQL Compliance Manager поддерживает аудит серверов и баз данных, включая безопасность, DDL, DML, а также определяет конфиденциальные данные, SQL Compliance Manager позволяет проверять доступ к безопасности и регистрировать попытки, чтобы вы могли видеть, кто получает доступ к информации, а также кто входит в систему, является ли он привилегированным пользователем, известным ли он пользователем или злонамеренным.
В статье 33 говорится об уведомлении о нарушении персональных данных органу надзора. Вы должны быть в состоянии обнаружить эти нарушения; вам нужно иметь записи, чтобы иметь возможность оценить воздействие; Вы должны знать, как быстро вы собираетесь это исправить. Для этого SQL Compliance Manger позволяет вам настроить оповещения в ваших базах данных, чтобы видеть, кто имеет доступ к вашим конфиденциальным данным, когда они к ним обращались, к чему они обращались. Это также позволяет вам исключить ваших обычных привилегированных пользователей из вашего аудита. Если у вас есть системный администратор или сетевой администратор, который, как вы знаете, собирается получить к нему доступ, и вы не хотите засорять свои отчеты, вы можете исключить их и сказать: «Дайте мне все, что происходит за пределами этой информации». Это позволяет вы можете быстро определить, имеет ли кто-то злонамеренный доступ к вашим данным, и у вас могут быть оповещения, которые позволяют вам знать, когда это происходит, а затем момент, когда к информации обращаются, чтобы иметь возможность ее взломать, чтобы вы могли не нужно ждать целый день, чтобы понять, что происходит, как Эквифакс.
Есть также статья, в которой говорится о защите данных и оценке воздействия. Это оценка ваших рисков и понимание того, что они из себя представляют, а также демонстрация и документирование вашего соответствия GDPR. Диспетчер соответствия SQL позволяет сообщать об отслеживаемых элементах. Проще говоря, проверяя ваши данные с помощью SQL Compliance Manager, SQL Compliance Manager позволяет выявлять неудачные входы в систему - что является потенциальным признаком нарушения - отслеживать административные действия и изменения безопасности, предупреждать вас об изменениях базы данных, проводить аудит столбцы, которые вы определяете как конфиденциальную информацию, идентифицируют привилегированных пользователей и отслеживают их деятельность отдельно от других пользователей вашей системы, сообщают, что информация проверяется в соответствии с несколькими нормативными руководящими принципами. Мы не только покрываем GDPR, но мы охватываем HIPAA, PCI, FERPA, SOX, все нормативные руководящие принципы, когда они приходят к аудиту вашей информации и пониманию того, к чему осуществляется доступ, у нас есть эти нормативные руководящие принципы.
У нас в IDERA есть дополнительные продукты для подготовки GDPR. Помимо аудита, который выполняет SQL Compliance Manager, у нас есть ER / Studio Enterprise Team Edition, который может помочь вам документировать ваши процессы обработки данных и включить стандарты данных в вашу модель данных, вы можете создавать глоссарии данных, о которых Уильям говорил на предыдущем слайде., Как я уже говорил в этой презентации, SQL Compliance Manager может помочь вам проверить вашу информацию, чтобы убедиться, что не те люди не имеют доступа к вашим данным, а также доказать это аудиторам. SQL Safe Backup может помочь вам зашифровать ваши данные и резервные копии. Шифрование является неотъемлемой частью GDPR, о котором я не стал подробно рассказывать, потому что я хотел сосредоточиться на ресурсах Compliance Manager, но SQL Safe Backup выполняет большую часть шифрования для вас, чтобы ваши данные могли оставаться в безопасности. SQL Inventory Manager может гарантировать, что серверы будут обновлены и обновлены, поэтому вы не окажетесь в ситуации, подобной Equifax, где у них было устаревшее исправление, которое давало им большую дыру в безопасности, которую могли сделать люди использовать злонамеренно. SQL Secure может проверять конфиденциальность и стандарты шифрования.
Для получения более подробной информации на веб-сайте сообщества IDERA, в нашем блоге, я разместил статью «Подготовка к ВВПР», а также «Взгляд на 2018 год и понимание того, как будет влиять ВВП», и вы также можете загрузить пробную копию SQL Compliance Manager. на IDERA, а также на любой другой продукт, который я только что упомянул на слайде.
На этом этапе я собираюсь передать презентацию Эрику, чтобы мы могли задать несколько вопросов.
Эрик Кавана: Хорошо, хорошо. Там вы затронули ряд действительно интересных вещей, Ким, одна из которых - я думаю, что это довольно просто, но довольно умно - вы говорили об обнаружении неудачных входов в систему. Мне кажется, это довольно хороший признак того, что у кого-то дела плохи, верно?
Ким Брушабер: Абсолютно. Если вы видите кого-то, кто пытается получить доступ и взломать ваш пароль, это очень быстрый способ сказать, что кто-то не делает то, что должен. Возможно, пару раз вы могли бы ввести свой пароль неправильно, но если вы увидели 30 из них, это плохой признак.
Эрик Кавана: Да. Ключевым моментом здесь является установка оповещений в правильном контексте. Что еще вы можете рассказать нам о том, как управлять процессом настройки оповещений и деактивации тех, которые не выполняют то, что они должны делать, и какую часть этого материала можно автоматизировать?
Ким Брушабер: Compliance Manager имеет множество настраиваемых предупреждений, а также отчетов, которые вы можете просмотреть. Мы просматриваем ваши трассировки SQL, и у нас есть это автоматическое отслеживание, и у нас есть много его, который уже предустановлен и предопределен, но, безусловно, вы также можете выполнить значительное количество настроек.
Эрик Кавана: Уильям, я приведу вас к этому - мне кажется, что это одна из областей, где мы увидим, что машинное обучение вступит в игру в течение следующих двух-десяти лет или около того, рассматривает все разные возможности. Рассматривая различные способы оптимизации эффективности своей системы, ее эффективность в отношении таких проблем, как нарушения и т. Д. Это твой дубль?
Уильям Макнайт: Да, конечно. Я думаю, что мы сейчас строим системы, которые ремонтируют сами. Мониторинг 24 на 7 начинает уходить и уйти в прошлое, хотя мы все еще нуждаемся в такого рода работах. Я думаю, что системы в основном получают это встроенным и выясняют, что это не так. Нужно ли выделять здесь больше места или что у вас? Да, я думаю, что это определенно часть нашего будущего. Все, что можно сопоставить с некоторыми действиями, предпринять что-то в ответ, определенно уязвимо для искусственного интеллекта.
Эрик Кавана: Это хороший момент. Я задам вам еще один вопрос, Уильям, потому что я знаю, что вы много исследуете это пространство. Одна из вещей, которую я ждал сейчас довольно долго, и я не думаю, что мы там еще - я думаю, что мы приближаемся, просто из того, что я читал и думал об этом, - это день, когда появятся технологии для решения нормативных вопросов, фактической формулировки этих вещей и сопоставления их с функциональностью и программным обеспечением. Как я уже сказал, мы все еще далеки от этого - я не могу себе представить, что над этим никто не работает. Сталкивались ли вы с чем-то подобным, или мы все еще находимся в той точке, когда людям необходимо взглянуть на правила, действительно попытаться понять их, по существу кодифицировать их в машинном коде, а затем применить их к различным приложениям?
Уильям Макнайт: Ну, я, конечно, понял, что вы здесь делитесь. Я не знаком с тем, что происходит в процессе развертывания в среде, связанной с этим. Я скажу в целом, хотя, очевидно, мы начинаем говорить машинам не о том, что делать, а о том, какова цель того, что мы хотим сделать, и машины становятся намного умнее в выяснении деталей. Я думаю, что как только мы получим еще немного искусственного интеллекта в наших организациях, вполне возможно, что новые правила могут быть разработаны совместно с ИИ, который развернут внутри организаций, чтобы они могли разворачиваться так, как вы описали в будущем. На данный момент мы не действуем с этим.
Эрик Кавана: Вот вопрос, который я передам вам, Ким, потому что это тоже довольно интересно. Вы говорите о средней задержке или времени, когда кто-то, кто входит в вашу систему, прячется и просто ждет - количество дней, в течение которых злоумышленник оставался в сети бездействующим - обнаружение составляет 200. Мне любопытно узнать, что вы думаете о том, как улучшить что, в первую очередь? Но есть ли способ использовать это правило для изучения вашей собственной системы? Чтобы исследовать ваши собственные данные, чтобы лучше справляться с такими людьми?
Ким Брушабер: Да, я думаю, что раннее обнаружение является ключевым. Вам необходимо выяснить, что эти вредоносные сайты получают доступ к вашей информации и иметь возможность заблокировать ее. Я думаю, что на других слайдах, где мы показываем, что большинство организаций не имеют такой политики. Вот почему они сидят там. Я думаю, что если у вас действительно есть политика, чтобы пройти и заблокировать ваш доступ и убедиться, что у нужных людей есть доступ. Убедитесь, что вы регулярно вращаете свои ключи и обновляете их. Убедитесь, что ваши пароли регулярно обновляются и делают такие вещи, которые кажутся довольно простыми. В настоящее время большинство организаций даже не делают этого, и если вы начнете размещать эти элементы на месте, это поможет вам выйти за рамки этого.
Это, конечно, означает, что хакеры станут более хитрыми в этом, но в данный момент это легко, это как: «Я собираюсь посмотреть на дома на улице, в которые я чувствую, что хочу взломать, будут ли у них тревоги системы? У них есть маленький знак тревоги, а у него есть собаки? Я пойду к тому, у которого нет сигнала тревоги, нет собаки, и это дом, в который я собираюсь взломать ». Ну, они собираются выяснить компании, которые не эти патчи на месте, и они не имеют безопасности на месте, они не обновляют свои пароли, и они собираются пойти и повесить там и использовать вашу кредитную карту на заправке пару раз, чтобы убедиться, Вы не закрыли его, и тогда, когда они могут повлиять на большие перемены, обычно какое-то политическое заявление или иное, когда вы видите, как они поднимают головы. Внедряя эти правила, я думаю, что в этот момент вы можете предпринять несколько минимальных шагов, чтобы опередить эту игру.
Эрик Кавана: Это, вероятно, лучший совет, и я всегда слышу это, когда мы разговариваем с людьми, которые находятся в сфере безопасности или в сфере регулирования, что основы будут покрывать 80 процентов вашей проблемы, и это много, что нужно покрыть - это хорошая точка зрения. Один из участников спросил о том, может ли кто-то расширить бизнес-возможности, которые могут быть извлечены из усилий по соблюдению GDPR, мне напомнили о Сарбейнс-Оксли, и я думаю, Уильям, я передам это вам. Как консультант, вы всегда ищете способы помочь своим клиентам выйти за рамки конкретного проекта - по крайней мере, если вы хороший консультант, вы делаете это. Когда вы говорите с людьми о GDPR, какие дополнительные выгоды вы можете получить, если они будут участвовать в каком-то проекте, сфокусированном на этом?
Уильям Макнайт: Прежде всего, важно отметить, что идея, стоящая за GDPR, вовсе не является полными правами гражданина. Есть другая сторона GDPR, которая заключается в том, чтобы повысить доверие граждан к нашим компаниям и это побудит их вести больше бизнеса в компаниях, которые соответствуют требованиям. Есть те вспомогательные преимущества от фактического выполнения вашего GDPR, теперь внутри страны, программы управления данными, которые мы реализуем, служат для облегчения всевозможных инициатив, которые действительно реализуются в организациях, и сегодня, в большинстве случаев, инициатив, которые запускаются. выкл внутри организаций. Недавно я занимался планированием 2018 года со многими из них, они имеют отношение к данным, очень много, они от 65 до 90 процентов относятся к данным - когда вы говорите о телематике или клиентской программе 360 или приборная панель для мониторинга продавцов, это в основном о данных. Что-нибудь, что лучше управляет этими данными, что делает его более совершенной архитектурой, в которой названы люди, которые относятся к числу тех, кто может ответить на все вопросы об этих данных, которые действительно волнуют, как и программа управления данными. Все, что дает нам глоссарий данных - как Ким говорила со своими инструментами - все, что делает это, очень полезно сделать эти инициативы намного более эффективными, снизить риски, сократить время, сократить бюджет для них и заставить нас в быстрое время, чтобы продвигать на рынок намного более быстрые и хорошие вещи для компании, которая делает инициативы, которая является всеми компаниями.
Эрик Кавана: Мне нравится эта концепция доверия. Я думаю, что доверие - это очень недооцененная реальность в нашем мире, и, честно говоря, большинство компаний работает на доверии - это действительно так, когда вы к этому стремитесь. Я передам это тебе только для некоторых заключительных комментариев, Ким. Я думаю, что одним из ключевых преимуществ здесь является повышение доверия и формирование культуры доверия, потому что это будет иметь не только положительное влияние на саму компанию, на людей внутри компании как таковой, но и на то, что общественность воспринимает, потому что такого рода мне кажется, что все это перетекает, но что ты думаешь?
Ким Брушабер: Да, я думаю, что когда я общаюсь с друзьями, которые работают в Google или работают в Facebook, или в некоторых крупных, действительно громких организациях, они реализуют не так много новых функций, как при внедрении протоколов безопасности и производительности. и проблемы с масштабируемостью, потому что они хотят, чтобы их пользовательский опыт был таким, когда они верят, что могут доверять этой информации. Я думаю, что компании несут такую ответственность, поскольку мы продолжаем продвигать такое доверие. Я помню, когда люди впервые начали размещать кредитные карты в Интернете, и люди говорили: «О, Боже, я не собираюсь предоставлять эту информацию, потому что она небезопасна».
И теперь ваша кредитная карта идет в разные стороны, потому что вы, теоретически, думаете, что можете доверять компании, потому что она получила сертификат HTTPS. Затем вы слышите о взломах данных Target, когда кредитные карты выглядят так: «О, вам лучше обменять вашу кредитную карту, потому что мы отказались от этой информации». Я думаю, что это двустороннее мнение. Я думаю, что люди, хотя они и хотят быть более доверчивыми, потому что гораздо проще иметь возможность доверять и верить в это в крупных организациях, крупные организации должны вмешаться и поставить эти элементы на место, чтобы они не t травмирует человека или вы теряете долю рынка. Люди говорят: «Знаете, я больше не буду ходить по магазинам в Target, теперь я собираюсь делать покупки в Amazon». Я думаю, что доверие - это большая проблема, хотя, как мы уже говорили, 78 процентов людей все еще собираюсь нажать на эту ссылку в электронном письме, даже если они знают, что не могут. Существует определенная степень защиты людей, даже когда они вам доверяют.
Эрик Кавана: Это хороший момент. Знаешь что, я передам тебе последний вопрос, Уильям, или хотя бы еще один - у нас есть несколько хороших вопросов. Один из участников пишет: «GDPR перемещает управление идентификацией обратно к клиенту, где оно принадлежит. Equifax навсегда навредил 149 миллионам потребителей, что очень верно, загрязняя цифровую экономику. Какие изменения происходят в США в отношении владения клиентами в отношении управления идентификацией? »
Уильям Макнайт: Ну, мы всегда отстаем в США, когда дело доходит до такого рода вещей, не так ли? Сто сорок девять миллионов, это не капля в море. Это почти как терроризм, верно? Мы просто так привыкли, это происходит постоянно. Я думаю, что-то должно быть сделано. Я думаю, что GDPR, мне нравятся права, которые он дает гражданам, но это не кажется приоритетом - есть много других приоритетов, и я не знаю, куда они пойдут. Я думаю, как я уже упоминал на слайде о разветвлениях, который у меня был, это свидетельствует о сдвиге потребителя в отношении большего количества прав на свои данные. Когда это произойдет здесь, в США? Я не знаю, может быть до пяти лет, чтобы увидеть что-то соразмерное ВВП, происходящее здесь, в США. Просто спекуляция на данный момент.
Эрик Кавана: Это действительно хороший момент, и я думаю, что мы увидим больше усилий в этом, потому что, давайте посмотрим правде в глаза, мы движемся к такой цифровой экономике в наши дни. И, как заключительный комментарий, немного философский, ориентированный на политику, это то, что меня больше всего волнует в переходе к безналичному обществу, потому что, когда деньги уходят, если это происходит, тогда все является цифровым, и каждая система может быть взломана и личность каждого человека может быть украдена. Мне кажется, что здесь в комнате довольно большой слон, когда мы смотрим вниз, на будущее управления идентификацией.
Это все отличные вещи, ребята. Спасибо Уильяму Макнайту за его время и внимание сегодня. Спасибо Ким Брушабер из IDERA. Мы архивируем все эти веб-трансляции для последующего просмотра, поэтому возвращайтесь, как правило, в течение нескольких часов, и архив будет готов. С этим мы прощаемся, ребята. Еще раз спасибо за ваше время и внимание. Берегите себя. Пока-пока.