вынос: Ведущий Эрик Кавана обсуждает грядущее Общее постановление ЕС о защите данных и его влияние на отрасль. К нему присоединяются Уильям Макнайт из McKnight Consulting Group и Ким Брушабер из IDERA.
Вы не вошли в систему. Пожалуйста, войдите или зарегистрируйтесь, чтобы увидеть видео.
Эрик Кавана: Хорошо, дамы и господа, привет и добро пожаловать еще раз. Это среда в 4 часа по восточному времени, что означает, что пришло время еще раз - один из последних раз в 2017 году - для горячих технологий. Да, действительно, меня зовут Эрик Кавана, я буду вашим модератором сегодняшнего мероприятия. Мы говорим о теме, которая является далеко идущей, если не сказать больше. Прямо сейчас это не так - концепция GDPR, Глобальный регламент о защите данных. Давай пойдем дальше и погрузимся прямо в это, это не совсем твое, достаточно обо мне. Этот год жаркий, он был действительно жарким во многих отношениях, но надвигающиеся нормативы от GDPR и других организаций, прямо скажем, заставляют нас переосмыслить то, что происходит в мире бизнеса, особенно по его результатам, или как это относится к данным. Мы собираемся услышать от Ким Брушабер из IDERA, а также от Уильяма Макнайта из McKnight Consulting Group.
Несколько слов о теме, ребята. GDPR в основном говорит, что организации должны иметь политику конфиденциальности и конфиденциальности в отношении данных, и на самом деле речь идет о некоторых вещах, которые вы, возможно, слышали - например, полное право быть забытым является частичным и частичным для весь этот момент, и это очень интересный материал. Это, безусловно, справедливо с точки зрения его принципов и этики. Однако с точки зрения фактической реализации это довольно серьезная задача. Право быть забытым говорит о том, что если вы хотите, чтобы в некоторых организациях не было ваших данных, ваших конфиденциальных данных, они должны избавиться от них. Ну, вы можете просто представить, когда некоторые из этих действительно разнородных сред данных, насколько это будет сложно. Чтобы иметь возможность проникнуть в любое место, где ваши данные являются постоянными и извлечь их, это просто не произойдет, это практический результат. Тем не менее, организации должны иметь политику, чтобы иметь возможность решать эти проблемы, и это то, что регуляторы, я уверен, будут искать.
Это большая сделка. Организация не только должна удалить ваши данные, если вы так говорите, но и если они обучили алгоритмы этим данным, технически они также должны переподготовить алгоритмы. Это высокий заказ, я должен вам сказать, но он идет, он идет вниз, это станет реальностью в мае следующего года, и есть и другие правила. В Канаде принят закон об антиспаме, который влияет на то, как мы работаем с личной информацией. Чистый нейтралитет начинает снижаться, конечно, по сути, он был искоренен, и это может изменить некоторые вещи. Существует множество этих очень серьезных правил, которые влияют на бизнес по всему миру и по всему миру, о которых крупным организациям действительно нужно задуматься и подготовиться.
Для этого у нас есть Уильям Макнайт онлайн из McKnight Consulting Groups, чтобы сообщить нам, что он думает и почему GDPR, на самом деле, всего лишь верхушка айсберга. С этим, Уильям, я передам это вам. Унеси это.
Уильям Макнайт: Спасибо, Эрик, и, как вы говорите, как говорится в слайде, этот GDPR, возможно, верхушка айсберга - это, конечно, то, что мы думаем. Важно, чтобы мы углубились в GDPR, потому что я думаю, что это представляет собой волну регулирования, которая идет по трубе, с которой нам приходится иметь дело. К счастью, Эрик, есть несколько разумных стандартов в отношении этого права быть забытым, к которому я доберусь. Но, тем не менее, в этом году, говоря о ВВП, я думаю, что есть много фирм, особенно американских, которые еще не готовы к этому. Это определенно жарко и то, о чем мы определенно не думали год назад, когда они просто пробовали надувать какие-то вещи, но теперь это постановление, и мы должны справиться с этим, как вы сказали, Эрик, Мэй может прийти прямо здесь, так что совсем не так далеко.
Немного обо мне, я собираюсь прийти к этому с точки зрения данных. Для того, чтобы вы знали, я являюсь специалистом по данным на протяжении всей жизни и консультирую уже 19 лет в области данных, а GDPR много о данных. Я собираюсь представить здесь комплекс решений, поскольку я приступлю к своей презентации по управлению данными. Я, очевидно, занимаюсь многими программами управления данными, и я думаю, что если вы согласны с этой концепцией, вы делаете какое-то управление данными, то многие компании будут довольно далеко идти по этому пути. на самом деле, к соблюдению GDPR, но будет много, и, откровенно говоря, отстающих в управлении и, следовательно, отстающих в подготовке к GDPR. Давайте установим здесь уровень и поймем, что такое GDPR, и по мере того, как мы углубимся в разговор, мы углубимся в последствия для GDPR в деловой жизни по мере продвижения в новый год и далее.
GDPR - для конфиденциальности данных граждан Европейского Союза. Это регулирование - значит, у него есть зубы, значит, оно подлежит исполнению. Это не то, что выдвигается в качестве предложения - это уже произошло, и теперь оно превратилось в постановление со штрафами. Мне нравится начинать со штрафов, потому что это действительно привлекает внимание людей. Это жесткие штрафы. Существует два штрафа: 2 процента годового дохода в мире или 10 миллионов евро, если предприятие не выполняет обязательства по обеспечению безопасности, но все остальное, в нарушение других положений - и я их попадаю - это 4 процента. Вы слышите, что это ошарашено примерно на 4 процента. И, кстати, это 4 процента или 10 миллионов евро, в зависимости от того, что больше. Это очень жестко. Люди очень серьезно относятся к этому. Принудительное начало 25 маяго2018 год - это ключевая дата, когда могут начаться проверки, когда вы можете получить штраф. Определенно вы хотите быть готовым к этому. В каждой компании, с которой я имею дело, я имею дело со многими компаниями из Глобального 2000, они где-то готовятся к ВВП, некоторые больше, чем другие, а некоторые должны быть больше других на данный момент. Конечно, встретить эту дату для некоторых будет непросто, и мы увидим.
Это самый тщательный режим соблюдения конфиденциальности данных, который мы когда-либо видели. Когда мы увидим что-то более жесткое или что-то, что скажется на населении США, может быть, более непосредственно, кто знает, но оно существует, и его обязательно нужно придерживаться. Требуется, чтобы организации понимали, что такое PII гражданина UE - мы знакомы с правом PII - личную информацию, социальное обеспечение, номер телефона, адрес, вещи, которые могут однозначно идентифицировать человека или довольно точно идентифицировать человека. Что у них есть и как они это используют. Это значит инвентарь. Это означает регулирование в ваших собственных компаниях вокруг таких данных. Кстати, в США нет какого-либо общенационального закона о защите данных. США всегда были - я скажу позади, чтобы выразить это в перспективе - позади Европы с точки зрения такого рода регулирования, и это продолжается. Это продолжается с GDPR, это довольно очевидно. Некоторые из вас могут знать о защите конфиденциальности, вы можете быть удивлены этим. Есть около трех или четырех положений в GDPR, которые частично совпадают с защитой конфиденциальности, но есть сто положений в GDPR, так что это намного больше, чем это, и, конечно, оно все еще в силе и имеет отношение к обмену данными США и ЕС. только, хотя это важно.
Опять же, мне нравится начинать с цифр. Вы слышали о штрафах, о том, как вы к этому готовитесь. Составление бюджета для GDPR и выполнение некоторого из этого, это зависит от пары факторов. Количество данных PII, которые вы собираете на граждан ЕС. Если вы ничего не получите, хорошо, вы, вероятно, согласны и вам не придется иметь дело с этим, но вы, вероятно, находитесь на этом вызове, потому что вы что-то собираете. Размер вашей компании и зрелость управления данными, что, как я уже говорил, может приближаться к тому, что вам нужно сделать, чтобы реагировать на GDPR. Вы можете ожидать до нескольких миллионов долларов США или евро, в зависимости от обстоятельств, за соблюдение. Однако мы хотим, не хотим просто соблюдать GDPR, поставить галочку в этом поле, конечно, мы должны это сделать. Надеюсь, вы находитесь не в той страшной ситуации, когда просто отчаянно пытаетесь установить этот флажок. Ищите выгоды для бизнеса, потому что многие вещи, которые вы делаете для поддержки GDPR, полезны для вашего бизнеса. Управление данными полезно для вашего бизнеса. Когда дело доходит до объема данных PII, некоторые из них более важны, чем другие, некоторые будут подвергаться более тщательному анализу, чем другие, например, связанные с состоянием данных, будут регулироваться гораздо более строго в соответствии с GDPR, чем другие типы данных, и потребуют соблюдения с дополнительными обязательствами, такими как проведение оценки воздействия защиты данных, что, очевидно, добавляет к вашему бюджету.
Немного о бюджете. Если вы находитесь в Великобритании или в США, и вам интересно, как это повлияет на вас - GDPR влияет на Великобританию, которая все еще находится в ЕС, между прочим, до 29 мартаго в 2019 году, и правительство которого указало, что что-то вроде GDPR продолжится после этой даты, потому что «это хорошая идея». Компании Великобритании должны соблюдать это. Данные гражданина Великобритании, безусловно, на столе для этого. Если неясно, есть ли предприятия в США, если вы работаете в ЕС с данными граждан ЕС, это, безусловно, относится к вам. Это влечет за собой последствия для вашей архитектуры данных, потому что вам может понадобиться отгородить свои данные ЕС от всего остального и обращаться с ними по-другому. Как говорил Эрик, это влияет на то, как вы компилируете эту аналитику и так далее. Может быть, сейчас сложнее запустить какую-либо концептуальную, глобальную аналитику. Они могут стать более локализованными в результате ВВПР.
Что в положениях? Есть стандарты защиты данных. Это все, кроме диктовки шифрования данных в покое и в движении. Я поговорю о шифровании дальше. Существуют стандарты уведомления о нарушении данных. Больше не нужно ждать месяцами, ждать четверти, чтобы все узнали. Я думаю, что на днях было большое событие, и мы узнали: «О, это случилось год назад». Ничего из этого с GDPR - у вас 72 часа. Это политика имени и позора. Надеюсь, никто не доберется до этого, ясно, что некоторые люди. Нарушения будут продолжаться, даже после GDPR, конечно. Существуют процессы для контроля местоположения и качества данных. Звучит знакомо? Это действительно сердце управления данными. Надеюсь, у вас есть некоторые из них.
Граждане ЕС имеют право быть забытым, как отметил Эрик. Эрик, есть некоторые стандарты разумности. Вам не обязательно стирать все по необходимости, если вам, возможно, придется повторно связаться с этим клиентом, с этим сотрудником, вам разрешено сохранять определенные аспекты их личных данных. Но, тем не менее, эти граждане имеют право быть забытыми, но не может быть непропорциональных усилий - это язык - для вас или для компании, которая для вас уничтожает эти данные. Я не хочу преуменьшать это, но вы также должны выпустить копии личных данных, которые были сохранены, и вы можете получить эти данные только с согласия. Это согласие должно быть дано людьми, достигшими минимального возраста, чтобы получить такое разрешение. Это глоток, но это дает гражданам много прав на свои данные. Это мобильность прямо здесь, на случай, если это когда-нибудь произойдет. Право быть забытым, ясно, но также - и что-то, чего нет на моем слайде, что довольно важно - это то, что субъект данных не имеет права на решение, основанное исключительно на автоматической обработке. К чему мы тяжело двигались? Автоматизированная обработка, вокруг принятия кредита, какие предложения мы собираемся дать, все это нужно проработать с точки зрения того, как это будет развиваться и как далеко это пойдет. По сути, это говорит о прозрачности того, почему меня отвергли, почему эта компания так или иначе относится ко мне. Это прямо сейчас, предоставляется гражданину ЕС.
Очевидно, что существуют некоторые последствия того, как мы ведем бизнес, и, надеюсь, вы видите, что GDPR - это не проблема ИТ, а не проблема только ИТ. Все эти бизнес-процессы вовлечены. В нем будут участвовать люди со всей компании. Назначение сотрудника по защите данных рекомендуется для тех компаний, в которых более 250 сотрудников, и у вас есть «критическая математика с данными PII ЕС». Вы можете сами решить, есть ли у вас эта критическая математика, иногда это очевидно, иногда нет. Но есть новая роль - она не должна быть полностью занятой, у человека могут быть другие обязанности, но я не знаю, - в некоторых средних и крупных корпорациях я думаю, что присоединение к GDPR приведет к быть близким к постоянной роли. Я бы сказал, начните с этого и посмотрите, сможете ли вы справиться с этим. Особенно в следующем году, когда вы начнете действовать в отношении GDPR, как только он уладится, возможно, вы сможете замедлить работу над этим, но некоторым компаниям потребуется довольно много времени. Позвольте людям видеть свои собственные данные и переносимость данных, как я упоминал ранее.
Кстати, это не все новое, но право быть забытым действительно существует, верите или нет. Действующие правила ЕС уже предусматривают право на удаление личных данных или их недоступность. Однако теперь, когда это часть GDPR, он будет применяться гораздо шире. Шифрование данных - шифруйте ваши данные в покое. Используйте стандартные методы шифрования, не используйте свое собственное или нестандартное шифрование. AES - это то, что мы рекомендуем совсем немного. Используйте криптографически безопасные ключи шифрования. Периодически меняйте эти ключи. Также предотвратите потерю этих ключей. Это просто хорошие методы шифрования, но теперь они выходят на передний план с GDPR. В этом и заключается проблема - я попал только на вершину айсберга. Очевидно, есть еще положения, которые нужно рассмотреть, но это основные из них.
Теперь решение. Управление данными, структура вашего соответствия, по крайней мере, это та точка зрения, которую я здесь выдвигаю. К счастью, существует активная дисциплина, которая, когда достигнет зрелости, может и будет отвечать большинству требований, и это управление данными - очевидно, я говорю это. Программы управления должны иметь глоссарий данных, и здесь я использую глоссарий данных в общем смысле, чтобы обозначить документацию по всем процессам. Это является основополагающим, чтобы удовлетворить потребности в инвентаризации GDPR, которые, как мы видели, довольно огромны. Программа, программа управления, должна облегчать протоколы безопасности данных - и я подчеркиваю, что это не то, чем сейчас занимаются многие программы управления данными, но я думаю, что это логичное место для этого, потому что они сидя на программе, которая определяет, кто владельцы бизнеса? Кому нужно это увидеть? И тогда следующим шагом будет предоставление этих разрешений. Это должно быть централизовано, это должно быть формализовано. Там должны быть внутренние политики, которые используются. Управление должно быть назначено всем элементам, чтобы обеспечить вклад во все вышеперечисленное. Управление данными также может быть фактором, способствующим разработке бизнес-процессов, что будет необходимо.
Прежде чем я оставлю этот слайд, чтобы избежать больших штрафов, компании будут использовать в качестве побочного продукта разумные методы ведения бизнеса. Мне нравится говорить, что это больше, чем побочный продукт, но на самом деле это просто хороший, надежный бизнес, который может привести вас в новые места с точки зрения бизнеса. Конечно, вы получите много эффективности для реализации всех инициатив по всем направлениям, если у вас есть надежное управление данными, это то, что я видел на протяжении многих лет. Добавив некоторые из этих вещей, которые я упоминаю, к управлению данными, они будут только лучше. При разработке бизнес-процессов мы рекомендуем вам задавать эти вопросы по всем направлениям, затрагивая все сферы бизнеса. Какие данные мы собираем о наших клиентах в ЕС? Я не буду читать их все. Некоторые из ключевых здесь. Кому нужны эти данные и следуют ли они? Кто управляет этими данными? Кто мой ведущий в бизнесе? Это большой вопрос: передаем ли мы эти данные третьим лицам? Тот факт, что вы передаете его третьей стороне, не освобождает вас от ответственности за эти данные - это все еще ваши данные, это все же данные, которые вы собрали. Есть много сторонних контрактов, которые в настоящее время тщательно пересматриваются в результате GDPR. Есть ли у этих систем детерминированные сбои? То есть, когда они терпят неудачу, они терпят неудачу на пути, который мы предопределили, или они просто терпят неудачу, терпят крах, горят, и мы начинаем с нуля копаться в нем? Это будет, очевидно, намного лучше. Это уже хорошая практика, но, очевидно, намного лучше для обратного инжиниринга некоторых из этих вещей, если у вас есть большие детерминированные сбои в вашей системе.
Хранение данных, мы говорим о сохранении данных навсегда. У многих компаний есть политика, но они не все следуют им. Очевидно, что в области здравоохранения и финансов мы хотим хранить данные, мы должны хранить данные в течение определенного количества лет. Некоторые аналитики в этих фирмах, которые хранят данные за семь лет или еще много чего, говорят: «О, после этого периода я все еще хочу эти данные». Некоторые юристы в этих компаниях говорят: «Но мы должны избавиться от них». в целях ответственности »и так далее. Это не может просто сидеть там, как проблема в ссоре больше с GDPR. У нас должен быть срок хранения, чтобы он последовательно соблюдался в рамках всей организации.
И, наконец, как вы мобилизуетесь для взлома данных? Эти наихудшие сценарии, которые могут случиться с вами. Очевидно, мы пытаемся предотвратить их, но что, если это произойдет? Как вы справляетесь с ситуацией и следите за тем, чтобы теперь вы следовали положениям GDPR в своем ответе? Я архитектор данных, я думаю об архитектуре данных. Если вы являетесь американской компанией, осуществляющей операции в ЕС, то есть данные о гражданах ЕС - вы собираете ее, вам нужно будет решить, применять ли стандарты защиты данных ко всем данным или только к данным ЕС. Да, у меня есть клиенты, которые сейчас принимают это решение. В соответствии с разумной деловой практикой, они могут захотеть донести это до США, хотя они могут чувствовать, что у них есть время, но это поднимает пулю номер два. Возможно, вам придется заблокировать данные ЕС из систем США, если вы не можете поручиться, чтобы системы США обрабатывали данные надлежащим образом. Разделяет ли это данные для целей аналитики? Являются ли аналитики даже действительными, если вы пытаетесь сделать их по всей стране? Иногда да, иногда нет, верно? В результате вы можете обнаружить, что ваша аналитика будет отключена.
Как я упоминал ранее, искусственный интеллект играет здесь роль, потому что, очевидно, мы можем использовать ИИ для поиска всех данных, помочь нам найти все данные, но если мы используем ИИ в наших клиентских интерфейсах, нам нужно иметь прозрачность сейчас с нашим клиентом. интерфейсы, и это никогда не было сильной стороной AI. Попытка сказать клиенту: «Вы были отклонены, потому что бла, бла, бла», когда на самом деле это был ИИ. Это сейчас должно быть сделано. Мы должны выяснить, как работает ИИ, каковы факторы? Не могу просто сидеть и быть черным ящиком для тебя больше. Что же нам теперь делать? Создайте свой совет GDPR. Я предлагаю, чтобы у вас был ваш старший сотрудник по вопросам конфиденциальности или если у вас есть сотрудник по защите данных, очевидно, этот человек. Главы управления данными, операционного риска и / или соответствия, в зависимости от того, что они применяют, - глава ИТ, ИТ-директор, если это человек. Если у вас сменился менеджер, это был бы отличный человек. Просто руководители некоторых из наиболее важных отделов вашего бизнеса, а также глава отдела кадров, потому что обучение конфиденциальности сейчас будет огромным. Все будут проходить обучение по вопросам конфиденциальности или должны пройти обучение по вопросам конфиденциальности, когда они будут работать в компании, даже консультанты.
Если вы не делаете то, что видите здесь, вам придется двигаться быстрее, чем вы хотели бы сделать в срок. Вам также нужно начать надеяться, что вы не одними из первых будете проходить аудит, потому что, честно говоря, здесь много работы, если вы начинаете с нуля и имеете дело с большим количеством данных о гражданах ЕС. Нанимайте DPO, проводите инвентаризацию ваших данных и процессов. Создайте этот план управления данными, возьмите его оттуда, где он должен быть. В зависимости от обстоятельств, вы можете начать его. Создайте свою политику конфиденциальности и уведомления о политике. Политика конфиденциальности является внутренней. Политические уведомления выходят наружу. Мы видим, что культура начинает создаваться вокруг политических уведомлений. Вокруг этих уведомлений о политике делается много сравнений и много тщательных формулировок. Закажите проверку соответствия GDPR для всех систем, включая новые. Возможно, вам придется упорядочить их и выполнить в некотором порядке важности, но это еще один способ решения проблемы. Посмотрите на системы и то, что они должны делать, и как они обрабатывают эти данные.
Что сигнализирует GDPR? Об этом мы и поговорим немного подробнее. Я с нетерпением жду, что Ким скажет по этому поводу. GDPR - это сдвиг в контроле конфиденциальности данных в сторону регулирования. Это тенденция к прозрачности, прямо говорится в положениях. Как я уже говорил, мы создаем эту культуру уведомлений о конфиденциальности. Мы собираемся посетить конференции, посвященные уведомлениям о конфиденциальности и так далее. Сдвиг GDPR направлен на фундаментальные права людей. Открытые вопросы будут решены. Есть четко открытые вопросы, я оставил несколько вопросов здесь для нас. Ни у кого нет ответа. Они будут разработаны. Тенденция к лучшему пониманию людьми своих данных и того, как они используются. Я думаю, что это повысило осведомленность населения ЕС о важности их данных и о том, что это является одним из их личных активов, что им нужно больше управлять. Это некоторые из ранних сигналов, которые я видел, и Эрик, я сейчас верну его вам.
Эрик Кавана: Хорошо, позвольте мне передать ключи Ким, которая может поделиться некоторыми ее взглядами, но я думаю, что это был хороший обзор, Уильям, и вы затронули ключевые моменты - а именно, что это наверняка пойдет вниз, и мы имеем быть очень осторожным, откровенно говоря. После этого позвольте мне передать ключи Ким, и вы сможете поделиться своим экраном и взять его оттуда.
Ким Брушабер: Привет, ты меня слышишь?
Эрик Кавана: Я могу тебя слышать.
Ким Брушабер: Потрясающие. Уильям осветил некоторые из тех вещей, которые я собираюсь осветить, но я думаю, что их стоит осветить снова, потому что они действительно важны. Я думаю, что когда будут приняты новые правила, было бы очень полезно узнать мнение и толкование многих людей, чтобы что-то пробудило у вас мысли и позволило вам стать еще более совместимым. Я воодушевлен всеми людьми, которые находятся на этом звонке, которые хотят знать больше, потому что я думаю, что придет 25 маягоможет быть много паники для компаний, за которыми преследуют, не соблюдая требования.
Меня зовут Ким Брушабер, я старший менеджер по продукции в IDERA. У меня есть несколько продуктов, которые помогают с соблюдением GDPR, а также с другими правилами. Я собираюсь перейти к некоторой информации. Я собираюсь начать с некоторых фактов и цифр, а затем немного рассказать о GDPR, а затем конкретно о том, как наши инструменты могут вам помочь. Одним из фактов является то, что более 5 миллионов записей данных теряются или украдены каждый день. Мы не слышали об этом в новостях, мы не слышали, чтобы это поступало из других мест, но существует более 5 миллионов записей данных, которые постоянно украдены, прямо из-под нас. Среднее число дней, в течение которых злоумышленники неактивны в вашей сети, составляет 200 дней. Во многие системы уже проникли люди, которые - со злонамеренными намерениями - которые просто ждут возможности извлечь выгоду из вашей информации, в основном в рамках безопасности и сертификатов, но они просто ждут своего момента, чтобы наброситься. Вот почему становится все важнее обеспечивать безопасность ваших данных. По прогнозам, средняя стоимость одного взлома данных в 2020 году превысит 150 миллионов долларов, поскольку все больше бизнес-инфраструктуры подключается к онлайн-ресурсам и все больше и больше ресурсов в облаке. Это хороший бюджетный показатель, если вы действительно беспокоитесь о безопасности данных, чтобы дать руководству команду, сказать им, что это серьезный вопрос и может стоить нам больших денег в будущем.
Я собираюсь кратко остановиться на нарушении данных Equifax, потому что я думаю, что это было крупнейшее нарушение данных 2017 года, чтобы как-то нарисовать картину того, каково это проходить через это. Нарушение затронуло 145,5 миллионов клиентов. Сотрудники признали проблему безопасности в своем веб-приложении за два месяца до нарушения. Сотрудники говорили: «Это проблема». И даже немного раньше, когда на самом деле вышел патч. После того, как произошло нарушение, потребовался целый день, чтобы перевести веб-приложение в автономный режим. Поскольку у Equifax не было определенного протокола защиты данных, им потребовалось значительное время, чтобы даже выяснить, что происходит, и затем иметь возможность перевести систему в автономный режим. Через шесть недель после нарушения общественность была предупреждена. С GDPR - как мы указали выше, и я повторю это - вы должны сообщить в течение 72 часов, и Equifax связал бы их руки и был бы не в состоянии выполнить это соответствие, потому что они ждали шесть недель, чтобы сообщить об этом. Сообщение для ответа на нарушение включало веб-сайт, который даже не принадлежал Equifax. Сами Equifax ретвитнули этот твит, который даже не был в их домене - они перевернули некоторые слова вокруг. К счастью, это не был вредоносный сайт, который извлекал выгоду из этого, но они явно не были подготовлены. У них не было плана, и об этом стало известно на общественной арене. Equifax не одинок - в 2017 году было более 25 киберпреступлений очень высокого уровня, и мы еще можем найти еще до конца года. Компании действительно должны начать воспринимать это всерьез, потому что люди там, и если вы дадите им повод хотеть прийти к вам, вам лучше быть готовым справиться с этим.
Некоторые другие данные факты и цифры в отношении того, как люди смотрят на безопасность данных. К 2020 году 30 миллиардов устройств будут подключены к Интернету через наши дома, через наши носимые устройства, через наши телефоны, наши планшеты и кто знает, что еще может появиться в ближайшие годы. Существует множество устройств, которые остаются уязвимыми для этих атак. Сорок девять процентов американцев считают, что их личная информация менее безопасна, чем пять лет назад. Семьдесят три процента потребителей в Америке хотят, чтобы компании прозрачно относились к своим личным данным. Семьдесят восемь процентов людей утверждают, что знают о рисках, связанных с переходом по неизвестным ссылкам и ссылкам, но в любом случае они нажимают на эти ссылки - это более трех четвертей нашего населения, и они все еще нажимают на ссылки, даже если они знаю, что это может быть проблемой. Восемьдесят шесть процентов интернет-пользователей активно пытаются свести к минимуму, анонимно и скрыть видимость своих цифровых футов. Мой отчим любит выходить и создавать поддельные имена, когда заполняет формы, потому что он думает, что это делает его анонимным, но мало что он знает, что его IP-адрес также отслеживается. Есть много индивидуальных опасений, и это то, что порождает много правил GDPR и, вероятно, дополнительных правил, которые будут следовать.
Что касается фактов индустрии безопасности данных, 90 процентов записей о взломах в 2016 году были получены от правительства, розничной торговли и технологий. Сорок три процента кибератак атаковали малые предприятия. Если вы думаете: «О, я не большой парень, они не пойдут за мной», тем не менее, почти половина из них идет за малым бизнесом. Семьдесят пять процентов отрасли здравоохранения были заражены вредоносными программами в прошлом году. Семьдесят процентов нефтегазовых компаний США были взломаны в прошлом году. Это значительное влияние на различные отрасли, которые работают и работают, и это число будет только расти.
Если вы посмотрите на это с точки зрения руководства, 90 процентов ИТ-директоров признают, что тратят миллионы долларов на недостаточную кибербезопасность. Девяносто процентов также говорят, что на них напали или они ожидают, что на них нападут парни, скрывающиеся в их шифровании. Восемьдесят семь процентов считают, что их средства контроля безопасности не могут защитить их бизнес. Восемьдесят пять процентов ИТ-директоров ожидают, что злоупотребление их ключами и сертификатами станет еще хуже. Это огромное количество компаний, которые рассматривают эту проблему безопасности данных, и реальность такова, что многие из них не имеют очень хороших решений, чтобы даже иметь возможность справиться с этим, когда это происходит, даже если они считают, что это произойдет.
Когда мы смотрим на его готовность, в 2014 году 70% миллениалов признали, что они внедрили сторонние приложения в свое предприятие в нарушение политики ИТ. Семьдесят процентов признались в этом - возможно, даже больше, чем те, которые действительно это сделали. Пятьдесят два процента организаций, которые пострадали в результате успешных кибератак в 2016 году, не внесли никаких изменений в свою безопасность в 2017 году. Несмотря на то, что их атаковали один раз, они все равно не пошли и не укрепили стены - они так же уязвимы, как и они. были до нападения. В связи с этим возникает вопрос: что нужно начинать делать компаниям, чтобы подготовиться к этим вещам? Тридцать восемь процентов глобальных организаций утверждают, что они готовы справиться с изощренной кибератакой. Это хорошо - почти половина там, и я щедро отношусь к этому, мы на самом деле только на треть, но есть еще по крайней мере половина, которые говорят: «Я не готов. Если меня атакуют, я не готов, и хакеры знают это ». Тридцать восемь процентов организаций имеют план реагирования на кибер-инциденты. Большинство компаний находятся в одной корзине с Equifax, где они не знают, что собираются делать. Если они получат это, им придется реагировать и придумывать эти вещи на лету, и такие нормативы, как GDPR, говорят: «Вы должны иметь это на месте. Вы должны опубликовать их. Вы должны доказать это аудиторам безопасности ». Надеемся, что с такими последствиями, с подобными нормативными актами, мы сможем опередить эту кривую, и вместо того, чтобы быть реакционными, мы можем быть активными в наших действиях.
Давайте поговорим немного о GDPR. Часть этого Уильяма уже освещена, но я собираюсь продолжить и еще раз рассказать об этом, просто с моей точки зрения, моего голоса, моей перспективы. Многие компании, с которыми я общаюсь, говорят: «Я в США, почему я должен заботиться об этом регламенте ЕС?» Тот факт, что больше людей не гудит, а больше людей не говорит о так, они думают, что это касается только членов ЕС, но я хотел бы спросить вас, если вы посмотрите на этот список, собираете ли вы какие-либо из этих данных от членов ЕС? Если вы вообще собираете какую-либо из этой информации, на вас распространяются границы GDPR, а также штрафы за несоблюдение. Я дам вам секунду, чтобы просто впитать и понять это. Как упоминал ранее Уильям, это санкции и санкции, на которые ссылается статья 83 ВВП. В начале вы можете получить пощечину, немного предупреждающую: «Эй, соберись. Поместите это на место ». Но если у вас действительно серьезное нарушение - и в зависимости от того, насколько оно велико - они вернутся к вам для реституции, и это значительное число. Не 10 миллионов, а 20 миллионов евро или 4 процента вашего оборота / дохода за предыдущий год. Это много денег. Это большой бюджет, чтобы пойти в ваши исполнительные команды и сказать: «Это то, что нам нужно, чтобы начать воспринимать всерьез и принимать меры».
Позвольте мне немного рассказать о принципах GDPR, изложенных в статье 5. Одна из вещей, которые они говорят, заключается в том, что личные данные должны обрабатываться законно, справедливо и прозрачно. Это означает, что публика хочет знать, что вы делаете с их данными. Будьте прозрачны об этом, и это должно быть опубликовано. Большинство людей не читают термины и условия, но это новая информация, с которой вам нужно иметь возможность общаться, чтобы вы могли сказать им: «Ваши данные обрабатываются надлежащим образом». Личные данные должны собираться для указанного, явные и законные цели. Это означает, что мы надеемся, что мы сможем избавиться от некоторого количества этого спама, когда компании говорят, что собирают информацию для викторины, которая говорит вам, насколько вам интересно, и на самом деле они берут ваши данные и продают их кому-то другому. , чтобы иметь возможность использовать для любых своих целей. Компании теперь должны быть намного более ответственными и точно сказать, для чего они используют вашу информацию. Они также говорят, что личные данные должны быть адекватными, актуальными и ограниченными тем, что необходимо. Многим компаниям нравится брать всю свою информацию и помещать ее в большой пул данных, а затем они выясняют, что они хотят делать с этой информацией позже, и они собирают гораздо больше, чем это может быть необходимо. Это говорит о том, что вы не можете собрать его и использовать в другом месте. Вы также не можете просто собрать все и надеяться, что позже вы найдете это полезным. Вы должны четко указывать, почему вы собираете информацию, и она должна иметь отношение к данным, которые вы собираете.
Персональные данные также должны быть точными и постоянно обновляться. Вы должны предоставить пользователям способы обновления своих данных, как только вы соберете их на них; они должны иметь возможность вернуться и сказать: «Вы знаете, у меня было такое мнение в каком-то опросе, который вы спрашивали у меня о личной информации, и я хочу вернуться, и я хочу изменить это и обновить его сейчас». И у вас есть чтобы дать им возможность быть в состоянии сделать это. Персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных не дольше, чем это необходимо. Возвращаясь к точке зрения Уильяма, что вы не можете собирать эту информацию вечно - вам нужно придумать то, что вы считаете правильным и необходимым, а затем после этого вы должны стереть данные. Он также должен обрабатываться таким образом, чтобы обеспечить надлежащую безопасность, включая защиту от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.
Как я уже говорил, пришло время серьезно отнестись к этому, прекратив эти утечки данных, потому что не только вы можете получить травму, которая может быть нанесена вашей компании в виде утечки данных, а также потери в доходах и затрат на укрепление ваших процессов. , но у вас также может быть куча штрафов, наложенных на вас от GDPR. Настало время действительно начать серьезно относиться к этому, и я думаю, что по мере вступления в силу GDPR компании столкнутся с трудной реальностью, и, к счастью, те из вас, кто сегодня на связи, могут начать думать об этом и знать, как вы собираетесь привести эти вещи в действие.
GDPR также много говорит о правах человека; это действительно присматривает за отдельными пользователями. Первое - это право доступа к вашим личным данным. Пользователи должны знать, какую информацию о них вы собрали, насколько это касается личной информации, и вы должны дать им возможность получить к ней доступ. Есть также право на исправление, которое является причудливым способом сказать: «Мне нужно иметь возможность исправить информацию, которая у вас есть на меня». Право на удаление - которое опять-таки многие формулируют как право на быть забытым - если человек говорит: «Знаете что, я больше не хочу, чтобы вы знали, что я супер веселый парень, коллекционер комиксов, вам нужно от этого избавиться. У меня есть друзья, которые дразнят меня об этом и полностью стирают из вашего списка », - вам нужно это сделать. Существует также право на ограничение обработки, и это означает, что пользователи могут ограничивать способ обработки своей информации. Они могут сказать: «Я не возражаю против того, чтобы вы брали мою информацию, потому что я покупаю новую машину, но не используйте эту информацию для меня и не рассылайте спам о новых предложениях каждый раз, когда выпускаются новые автомобили». право на переносимость данных, что означает, что пользователи должны иметь возможность получить копию своих данных и иметь возможность взять ее в другом месте. Многие организации собирают информацию, и эта информация имеет фактор липкости, и теперь отдельные люди могут сказать: «Вы знаете, что я хочу, чтобы вы взяли всю мою информацию, и теперь я хочу, чтобы вы передали ее своему конкуренту, чтобы я мог это переместить». над."
Перспективы организации могут подумать о многих вещах о том, как вы собираетесь это делать, и какую информацию вы хотите собирать и о чем. Существует также право на возражение, и пользователи также могут возражать против обработки своих данных. Право не подвергаться решению, основанному исключительно на автоматической обработке или профилировании. Это оказывает существенное влияние на маркетинг B2B - если вы сидите там и пытаетесь провести A / B-тестирование и пытаетесь определить, будет ли Колорадо более подвержен влиянию Калифорнии, то вы только что провели профилирование, посмотрев на один штат. по сравнению с другим, и вы должны посмотреть, как человек должен иметь возможность отказаться от этого.
Принимая во внимание, что у нас есть некоторые страшные вещи, которые доходят до взлома данных и того, как люди смотрят на их данные, и у нас есть это огромное правило, которое ложится нам на плечи, я сейчас здесь, чтобы дать вам решение о том, как IDERA может помочь. Статья 15 рассказывает о том, как контролировать доступ к персональным данным. Вы должны знать, кто обращается к вашим данным. Как они это используют. Сколько данных было обработано, и диспетчер соответствия продуктов SQL, для которого я являюсь менеджером продуктов, позволяет вам узнать, кто и как получает доступ к вашим данным. SQL Compliance Manger для решений SQL Server. Если у вас есть база данных SQL Server, вы можете подключить этот продукт, чтобы иметь возможность проверять и просматривать эту информацию, чтобы вы могли соблюдать GDPR и точно знать, как она используется. Вы также можете увидеть утечки данных до того, как они произойдут, и я расскажу об этом на другом слайде. Есть также статья, в которой говорится: «Мне нужен отчет о процессах обработки. Мне нужно регистрироваться, мне нужно отслеживать операции, и мне нужно знать, кто обрабатывает личные данные и у кого есть доступ к этим системам ». SQL Compliance Manager поддерживает аудит серверов и баз данных, включая безопасность, DDL, DML, а также определяет конфиденциальные данные , SQL Compliance Manager позволяет проверять доступ к безопасности и регистрировать попытки, чтобы вы могли видеть, кто получает доступ к информации, а также кто входит в систему, является ли он привилегированным пользователем, известным ли он пользователем или злонамеренным.
В статье 33 говорится об уведомлении о нарушении персональных данных органу надзора. Вы должны быть в состоянии обнаружить эти нарушения; вам нужно иметь записи, чтобы иметь возможность оценить воздействие; вам нужно знать, как быстро вы собираетесь это исправить. Для этого SQL Compliance Manger позволяет вам настроить оповещения в ваших базах данных, чтобы видеть, кто имеет доступ к вашим конфиденциальным данным, когда они к ним обращались, к чему они обращались. Это также позволяет вам исключить ваших обычных привилегированных пользователей из вашего аудита. Если у вас есть системный администратор или сетевой администратор, который, как вы знаете, собирается получить к нему доступ, и вы не хотите засорять свои отчеты, вы можете исключить их и сказать: «Дайте мне все, что происходит за пределами этой информации». Это позволяет вы можете быстро определить, имеет ли кто-то злонамеренный доступ к вашим данным, и у вас могут быть оповещения, которые позволяют вам знать, когда это происходит, а затем момент, когда к информации обращаются, чтобы иметь возможность ее взломать, чтобы вы могли не нужно ждать целый день, чтобы понять, что происходит, как Эквифакс.
Есть также статья, в которой говорится о защите данных и оценке воздействия. Это оценка ваших рисков и понимание того, что они из себя представляют, а также демонстрация и документирование вашего соответствия GDPR. Диспетчер соответствия SQL позволяет сообщать об отслеживаемых элементах. Проще говоря, проверяя ваши данные с помощью SQL Compliance Manager, SQL Compliance Manager позволяет выявлять неудачные входы в систему - что является потенциальным признаком нарушения - отслеживать административные действия и изменения безопасности, предупреждать вас об изменениях базы данных, проводить аудит столбцы, которые вы определяете как конфиденциальную информацию, идентифицируют привилегированных пользователей и отслеживают их деятельность отдельно от других пользователей вашей системы, сообщают, что информация проверяется в соответствии с несколькими нормативными руководящими принципами. Мы не только покрываем GDPR, но мы охватываем HIPAA, PCI, FERPA, SOX, все нормативные руководящие принципы, когда они приходят к аудиту вашей информации и пониманию того, к чему осуществляется доступ, у нас есть эти нормативные руководящие принципы.
У нас в IDERA есть дополнительные продукты для подготовки GDPR. Помимо аудита, который выполняет SQL Compliance Manager, у нас есть ER / Studio Enterprise Team Edition, который может помочь вам документировать ваши процессы обработки данных и включить стандарты данных в вашу модель данных, вы можете создавать глоссарии данных, о которых Уильям говорил на предыдущем слайде. , Как я уже говорил здесь в этой презентации, SQL Compliance Manager может помочь вам проверить вашу информацию, чтобы убедиться, что не те люди не имеют доступа к вашим данным, а также доказать это аудиторам. SQL Safe Backup может помочь вам зашифровать ваши данные и резервные копии. Шифрование является неотъемлемой частью GDPR, о котором я не стал подробно рассказывать, потому что я хотел сосредоточиться на ресурсах Compliance Manager, но SQL Safe Backup выполняет большую часть шифрования для вас, чтобы ваши данные могли оставаться в безопасности. SQL Inventory Manager может гарантировать, что серверы будут обновлены и обновлены, поэтому вы не окажетесь в ситуации, подобной Equifax, где у них было устаревшее исправление, которое давало им большую дыру в безопасности, которую могли сделать люди использовать злонамеренно. SQL Secure может проверять конфиденциальность и стандарты шифрования.
Для получения более подробной информации на веб-сайте сообщества IDERA, в нашем блоге, я разместил статью «Подготовка к ВВП», а также «Взгляд на 2018 год» и «Какое влияние будет иметься на ВВП», а также, конечно же, вы можете скачать пробную копию SQL Compliance Manager на IDERA, а также на любой другой продукт, который я только что упомянул на слайде.
На этом этапе я собираюсь передать презентацию Эрику, чтобы мы могли задать несколько вопросов.
Эрик Кавана: Хорошо. Там вы затронули несколько действительно интересных вещей, Ким, одна из которых - я думаю, что это довольно просто, но довольно умно - вы говорили об обнаружении неудачных входов в систему. Мне кажется, это довольно хороший признак того, что у кого-то нет хорошего права?
Ким Брушабер: Абсолютно. Если вы видите кого-то, кто пытается получить доступ и взломать ваш пароль, это очень быстрый способ сказать, что кто-то не делает то, что должен. Возможно, пару раз вы могли бы ввести свой пароль неправильно, но если вы видите, что 30 из них пришли, это плохой знак.
Эрик Кавана: Да уж. Ключевым моментом здесь является установка ваших предупреждений с соответствующей настройкой. Что еще вы можете рассказать нам о том, как управлять процессом настройки оповещений и деактивации оповещений, которые не выполняют то, что они должны делать, и какую часть этого материала можно автоматизировать?
Ким Брушабер: В Compliance Manager есть много настраиваемых предупреждений, а также отчетов, которые вы можете просмотреть. Мы просматриваем ваши трассировки SQL, и у нас есть это автоматическое отслеживание, и у нас есть много его, который уже предустановлен и предопределен, но, безусловно, вы также можете выполнить значительное количество настроек.
Эрик Кавана: Уильям, я приведу вас к этому - мне кажется, что одна из областей, где мы увидим, что машинное обучение вступит в игру в течение следующих двух-десяти лет или около того, рассматривает различные возможности. Рассматривая различные способы оптимизации эффективности своей системы, ее эффективность в отношении таких проблем, как нарушения и т. Д. Это твой дубль?
Уильям Макнайт: Да, абсолютно. Я думаю, что сейчас мы строим системы, которые ремонтируют сами. Мониторинг 24 на 7 начинает уходить и уйти в прошлое, хотя мы все еще нуждаемся в такого рода работах. Я думаю, что системы в основном получают это встроенным и выясняют, что это не так. Нужно ли выделять здесь больше места или что у вас? Да, я думаю, что это определенно часть нашего будущего. Все, что можно сопоставить с некоторыми действиями, предпринять что-то в ответ, определенно уязвимо для искусственного интеллекта.
Эрик Кавана: Неплохо подмечено. Я задам вам еще один вопрос, Уильям, потому что я знаю, что вы много исследуете это пространство. Одна из вещей, которую я ждал сейчас довольно долго, и я не думаю, что мы там еще - я думаю, что мы приближаемся, просто из того, что я читал и думал об этом, - это день, когда появятся технологии для решения нормативных вопросов, фактической формулировки этих вещей и сопоставления их с функциональностью и программным обеспечением. Как я уже сказал, мы все еще далеки от этого - я не могу себе представить, что над этим никто не работает. Сталкивались ли вы с чем-то подобным, или мы все еще находимся в той точке, когда людям необходимо взглянуть на правила, действительно попытаться понять их, по существу кодифицировать их в машинном коде, а затем применить их к различным приложениям?
Уильям Макнайт: Ну, я, конечно, понимаю, что вы здесь делитесь. Я не знаком с тем, что происходит в процессе развертывания в среде, которая связана с этим. Я скажу в целом, хотя, очевидно, мы начинаем говорить машинам не о том, что делать, а о том, какова цель того, что мы хотим сделать, и машины становятся намного умнее в выяснении деталей. Я думаю, что как только мы получим еще немного искусственного интеллекта в наших организациях, вполне возможно, что новые правила могут быть разработаны совместно с ИИ, который развернут внутри организаций, чтобы они могли разворачиваться так, как вы описали в будущем. Пока мы не действуем с этим.
Эрик Кавана: Вот вопрос, который я тебе задам, Ким, потому что это тоже довольно интересно. Вы говорите о средней задержке или времени, когда кто-то, кто входит в вашу систему, прячется и просто ждет - количество дней, в течение которых злоумышленник оставался в сети бездействующим - обнаружение составляет 200. Мне любопытно узнать, что вы думаете о том, как улучшить что, в первую очередь? Но есть ли способ использовать это правило для изучения вашей собственной системы? Чтобы исследовать ваши собственные данные, чтобы лучше справляться с такими людьми?
Ким Брушабер: Да, я думаю, что раннее обнаружение является ключевым. Вам необходимо выяснить, что эти вредоносные сайты получают доступ к вашей информации и иметь возможность заблокировать ее. Я думаю, что на других слайдах, где мы показываем, что большинство организаций не имеют такой политики. Вот почему они сидят там. Я думаю, что если у вас действительно есть политика, чтобы пройти и заблокировать ваш доступ и убедиться, что у нужных людей есть доступ. Убедитесь, что вы регулярно вращаете свои ключи и обновляете их. Убедитесь, что ваши пароли регулярно обновляются и делают такие вещи, которые кажутся довольно простыми. В настоящее время большинство организаций даже не делают этого, и если вы начнете внедрять эти элементы, это поможет вам выйти за рамки этого.
Это, конечно, означает, что хакеры станут более хитрыми в этом, но в данный момент это легко, это как: «Я собираюсь посмотреть на дома на улице, в которые я чувствую, что хочу взломать, будут ли у них тревоги системы? У них есть маленький знак тревоги, а у него есть собаки? Я пойду к тому, у которого нет сигнала тревоги, нет собаки, и это дом, в который я собираюсь взломать ». Ну, они собираются выяснить компании, которые не эти патчи на месте, и они не имеют безопасности на месте, они не обновляют свои пароли, и они собираются пойти и повесить там и использовать вашу кредитную карту на заправке пару раз, чтобы убедиться, Вы не закрыли его, и тогда, когда они могут повлиять на большие перемены, обычно какое-то политическое заявление или иное, когда вы видите, как они поднимают головы. Внедряя эти правила, я думаю, что в этот момент вы можете предпринять несколько минимальных шагов, чтобы опередить эту игру.
Эрик Кавана: Это, пожалуй, лучший совет, и я всегда слышу это, когда мы говорим с людьми, которые находятся в сфере безопасности или в сфере регулирования, что основы будут охватывать 80 процентов вашей проблемы, и это очень важно для рассмотрения - это хороший момент. Один из участников спросил о том, может ли кто-то расширить деловые возможности, которые могут быть использованы в результате усилий по соблюдению GDPR, я напомнил Сарбейнсу-Оксли, и, думаю, Уильям, я передам это вам. Как консультант, вы всегда ищете способы помочь своим клиентам выйти за рамки конкретного проекта - по крайней мере, если вы хороший консультант, вы делаете это. Когда вы говорите с людьми о GDPR, какие дополнительные выгоды вы можете получить, если они будут участвовать в каком-то проекте, сфокусированном на этом?
Уильям Макнайт: Прежде всего, важно отметить, что идея GDPR не является полными правами на граждан вообще. Есть другая сторона GDPR, которая заключается в том, чтобы повысить доверие граждан к нашим компаниям, и это поощряйте их делать больше бизнеса в компаниях, которые соответствуют требованиям. Есть те вспомогательные преимущества от фактического выполнения вашего GDPR, теперь внутри страны, программы управления данными, которые мы реализуем, служат для облегчения всевозможных инициатив, которые действительно реализуются в организациях, и сегодня, в большинстве случаев, инициатив, которые запускаются. выкл внутри организаций. Недавно я занимался планированием 2018 года со многими из них, они имеют отношение к данным, очень много, они от 65 до 90 процентов относятся к данным - когда вы говорите о телематике или клиентской программе 360 или приборная панель для мониторинга продавцов, это в основном о данных. Что-нибудь, что лучше управляет этими данными, что делает его более совершенной архитектурой, в которой названы люди, которые относятся к числу тех, кто может ответить на все вопросы об этих данных, которые действительно волнуют, как и программа управления данными. Все, что дает нам глоссарий данных - как Ким говорила со своими инструментами - все, что делает это, очень полезно сделать эти инициативы намного более эффективными, снизить риски, сократить время, сократить бюджет для них и заставить нас в быстрое время, чтобы продвигать на рынок намного более быстрые и хорошие вещи для компании, которая делает инициативы, которая является всеми компаниями.
Эрик Кавана: Мне нравится эта концепция доверия. Я думаю, что доверие - это очень недооцененная реальность в нашем мире, и, честно говоря, большинство компаний работает на доверии - это действительно так, когда вы к этому стремитесь. Я передам это тебе только для некоторых заключительных комментариев, Ким. Я думаю, что одним из ключевых преимуществ здесь является повышение доверия и формирование культуры доверия, потому что это будет иметь не только положительное влияние на саму компанию, на людей внутри компании как таковой, но и на то, что общественность воспринимает, потому что такого рода мне кажется, что все это перетекает, но что ты думаешь?
Ким Брушабер: Да, я думаю, что когда я общаюсь с друзьями, которые работают в Google или работают в крупных или действительно крупных организациях, они реализуют не так много новых функций, как при реализации протоколов безопасности и проблем производительности и масштабируемости, потому что они хотят, чтобы их пользовательский опыт был таким, когда они верят, что могут доверять этой информации. Я думаю, что компании несут такую ответственность, поскольку мы продолжаем продвигать такое доверие. Я помню, когда люди впервые начали размещать кредитные карты в Интернете, и люди говорили: «О Боже, я не собираюсь предоставлять эту информацию, потому что она небезопасна».
И теперь ваша кредитная карта идет в разные стороны, потому что вы, теоретически, думаете, что можете доверять компании, потому что она получила сертификат HTTPS. Затем вы слышите о взломах данных Target, когда кредитные карты выглядят так: «О, вам лучше обменять вашу кредитную карту, потому что мы отказались от этой информации». Я думаю, что это двустороннее мнение. Я думаю, что люди, хотя они и хотят быть более доверчивыми, потому что намного проще иметь возможность доверять и верить в это в крупных организациях, крупные организации должны вмешаться и поставить эти элементы на место, чтобы они не t травмирует человека или вы теряете долю рынка. Люди говорят: «Знаете, я больше не буду ходить по магазинам в Target, теперь я собираюсь делать покупки в Amazon». Я думаю, что доверие - это большая проблема, хотя, как мы уже говорили, 78 процентов людей по-прежнему будет нажимать на эту ссылку в, хотя они знают, что не могут. Существует определенная степень защиты людей, даже когда они вам доверяют.
Эрик Кавана: Неплохо подмечено. Знаете, я передам вам еще один вопрос, Уильям, или, по крайней мере, еще один - у нас есть несколько хороших вопросов. Один из участников пишет: «GDPR перемещает управление идентификацией обратно к клиенту, где оно принадлежит. Equifax навсегда навредил 149 миллионам потребителей, что очень верно, загрязняя цифровую экономику Какие изменения вы видите в США в отношении прав собственности клиентов в отношении управления идентификацией? »
Уильям Макнайт: Ну, мы всегда позади в США, когда дело доходит до такого рода вещей, не так ли? Сто сорок девять миллионов, это не капля в море. Это почти как терроризм, верно? Мы просто так привыкли, это происходит постоянно. Я думаю, что-то должно быть сделано. Я думаю, что GDPR, мне нравятся права, которые он дает гражданам, но это не кажется приоритетом - есть много других приоритетов, и я не знаю, куда они пойдут. Я думаю, как я уже упоминал на слайде о разветвлениях, который у меня был, это свидетельствует о сдвиге потребителя в отношении большего количества прав на свои данные. Когда это произойдет здесь, в США? Я не знаю, может быть до пяти лет, чтобы увидеть что-то соразмерное ВВП, происходящее здесь, в США. Просто спекуляция на данный момент.
Эрик Кавана: Это действительно хороший момент, и я думаю, что мы приложим больше усилий для этого, потому что, давайте посмотрим правде в глаза, мы движемся к такой цифровой экономике в наши дни. И, как заключительный комментарий, немного философский, ориентированный на политику, это то, что меня больше всего волнует в переходе к безналичному обществу, потому что, когда наличные уходят, если это происходит, тогда все является цифровым, и каждая система может быть взломана и личность каждого человека может быть украдена. Мне кажется, что здесь в комнате довольно большой слон, когда мы смотрим в будущее на управление идентификацией.
Это все отличные вещи, ребята. Спасибо Уильяму Макнайту за его время и внимание сегодня. Спасибо Ким Брушабер из IDERA. Мы архивируем все эти веб-трансляции для последующего просмотра, поэтому возвращайтесь, как правило, в течение нескольких часов, и архив будет готов. С этим мы будем прощаться с вами, ребята. Еще раз спасибо за ваше время и внимание Берегите себя. Пока-пока.