Ära võtma: Võõrustaja Eric Kavanagh arutab ELi peatset andmekaitse üldmäärust ja selle mõju tööstusele. Temaga on liitunud William McKnight McKnight Consulting Groupist ja Kim Brushaber IDERA-st.
Te pole praegu sisse logitud. Video nägemiseks logige sisse või registreeruge.
Eric Kavanagh: OK, daamid ja härrad, tere ja tere tulemast. See on kolmapäev kell neli Ida-Euroopa aja järgi, mis tähendab, et on jälle kord - üks viimaseid kordi 2017. aastal - Hot Technologiesi jaoks. Jah, tõepoolest, minu nimi on Eric Kavanagh - ma olen teie tänase sündmuse moderaator. Me räägime teemast, mis on pehmelt öeldes kaugeleulatuv. Praegu ei tundu see nii - GDPR-i mõiste, ülemaailmne andmekaitsemäärus. Liigume edasi ja sukeldugem selles otse, see ei puuduta teie oma, piisab minust. See aasta on palav, väga kuum on olnud väga kuum, kuid GDPRi ja teiste organisatsioonide eelseisvad eeskirjad sunnivad meid ausalt öeldes ärimaailmas toimuvat ümber mõtlema, eriti selle tulemuseks või kuna see on seotud andmetega. Kuulame IDERAst Kim Brushaberit ja ka McKnight Consulting Groupi William McKnightit.
Paar kiiret sõna selle teema kohta, inimesed. Põhimõtteliselt ütleb GDPR, et organisatsioonidel peab olema andmete suhtes privaatsuse ja turvalisuse põhimõtted. Tegelikult on see seotud mõne asjaga, mida olete võib-olla juba kuulnud - näiteks kogu õigus olla unustatud on osaline ja osaline. kogu see hetk ja see on väga huvitav värk. See on oma põhimõtete ja eetika osas kindlasti kehtiv. Tegeliku rakendamise osas on see siiski üsna tõsine väljakutse. Õigus olla unustatud ütleb, et kui soovite, et mõnel organisatsioonil ei oleks teie andmeid, teie isiklikke delikaatseid andmeid, peavad nad sellest lahti saama. Noh, võite lihtsalt ette kujutada, kui mõni neist tõesti heterogeensetest andmekeskkondadest on keeruline. Alumine eesmärk on jõuda igasse kohta, kus teie andmed püsivad, ja need välja tõmmata, seda lihtsalt ei juhtu. Sellegipoolest peavad organisatsioonid olema oma poliitikaga, et nendele probleemidele reageerida, ja seda ma seadusandjad, ma olen üsna kindel, otsima.
See on suur asi. Organisatsioon mitte ainult ei pea teie andmed teie käest eemaldama, kui te seda ütlete, vaid ka juhul, kui nad on nende andmete jaoks algoritme koolitanud, peaks nad tehniliselt ka neid ümber õpetama. See on pikk järjekord, ma pean teile ütlema, kuid see tuleb, see tuleb haug maha, see saab järgmise aasta mais reaalsuseks ja on ka muid määrusi. Kanadas on vastu võetud rämpspostivastane seadus, mis mõjutab isikliku teabe käsitlemist. Võrgu neutraalsus on haugil alla tulemas, muidugi on see sisuliselt juurtest välja viidud ja see muudab mõnda asja. Neid väga tõsiseid eeskirju, mis mõjutavad ettevõtteid kogu maailmas ja kogu maailmas, on palju, et suured organisatsioonid peavad tõesti hakkama mõtlema ja selleks valmistuma.
Selleks on meil William McKnight McKnight Consulting Groupsi veebis kättesaadav, et meile teada anda, mida ta arvab ja miks GDPR on tegelikult vaid jäämäe tipp. Sellega, William, annan selle sulle kätte. Võta see ära.
William McKnight: Tänu, Eric, ja nagu te ütlete, nagu slaid ütleb, on see GDPR võib-olla jäämäe tipp - see on kindlasti see, mida me arvame. On oluline, et me sukelduksime GDPR-i põhjalikult, sest minu arvates kujutab see endast reguleerimise lainet, mis on jõudmas torusse, millega peame hakkama saama. Õnneks, Eric, selle õiguse unustamiseks on olemas mõned mõistlikud standardid, milleni ma jõuan. Kuid sellegipoolest, kõndides sel aastal GDPR-ist, arvan, et on palju ettevõtteid, eriti USA firmasid, kes pole selleks veel valmis. See on kindlasti palav ja midagi, mida me kindlasti ei mõelnud aasta tagasi, kui nad olid vaid mõne asja õhupallid, kuid nüüd on see määrus ja me peame sellega toime tulema, nagu te ütlesite, Eric, võib tulla kohe siin üles - nii et mitte nii kaugel.
Pisut minu kohta räägin sellest andmete vaatenurgast. Teile teada andmiseks olen eluaegne andmeside inimene ja konsulteerin nüüd 19 aastat andmeruumis ning GDPR on andmete osas palju. Kavatsen siin esitada hulga lahendusi, kui satun oma ettekandesse andmete haldamise ümber. Olen ilmselgelt teinud palju andmehaldusprogramme ja arvan, et kui olete selle kontseptsiooniga vastavusse viinud, siis teete andmehaldust, paljud seal asuvad ettevõtted on üsna kaugel teel tegelikult GDPR-i täitmisele, kuid seal on palju ja ausalt öeldes jääb juhtimisest maha ja seetõttu on ka GDPR-i ettevalmistamisel üsna maha jäänud. Pange siin tase paika ja mõelgem, mis GDPR endast kujutab ja kui me vestlusesse süveneme, siis käsitleme uuel aastal ja kaugemale astudes GDPRi rohkem ärielu tagajärgi.
GDPR on Euroopa Liidu kodanike andmete privaatsus. See on määrus - tähendab, et sellel on hambad, tähendab, et see on täitmisele pööratav. See ei ole midagi, mis on seal välja pandud ettepanekuna - see juba juhtus ja nüüd on see kujundatud karistustega määruseks. Mulle meeldib alustada karistustest, sest see tõmbab inimeste tähelepanu tõepoolest. Need on ranged karistused. Seal on kaks karistust - 2 protsenti kogu maailma aastasest tulust või 10 miljonit eurot, kui ettevõte ei täida turvakohustusi, kuid kõike muud, rikkudes muid sätteid - ja ma puutun nendesse sisse -, see on 4 protsenti. Kuulete, et see oli umbes 4 protsenti. Ja muide, see on 4 protsenti või 10 miljonit eurot, olenevalt sellest, kumb on suurem. See on väga jäik. Inimesed suhtuvad sellesse väga tõsiselt. Jõustumine alates 25. maistth, 2018 - see on oluline kuupäev, st kui auditeerimine võib alata, see on siis, kui saate trahvi saada. Kindlasti soovite selleks valmis olla. Iga ettevõte, kellega ma tegelen, on seotud paljude Global 2000 ettevõtetega, nad on kuskil oma GDPR-i ettevalmistamisel, mõned rohkem kui teised ja mõned peavad sellel hetkel olema rohkem kui teised. Kindlasti on mõne jaoks keeruline seda kuupäeva pidada ja me näeme.
See on kõige põhjalikum andmete privaatsuse järgimise kord, mida me seni oleme näinud. Kui me näeme midagi jäigemat või midagi, mis mõjutab võib-olla USA elanikkonda otsesemalt, siis kes teab, kuid see on seal väljas ja seda tuleb kindlasti järgida. See nõuab organisatsioonidelt, et nad mõistaksid, mis UE kodaniku isikuandmete kaitsega - me oleme tuttavad isikuandmete identifitseerimise õigusega - isikut tuvastav teave, sotsiaalkindlustus, telefoninumber, aadress, asjad, mis võimaldavad isikut üheselt tuvastada või üsna isiklikult tuvastada. Mis neil on ja kuidas nad seda kasutavad. See tähendab inventuuri. See tähendab sellist tüüpi andmete reguleerimist teie enda ettevõtetes. Muide, USA-l puudub igasugune üleriigiline andmekaitseseadus. USA on sedalaadi regulatsiooni mõttes alati olnud - ma ütlen taga, et perspektiivi vaadata - Euroopa taga ja see jätkub. See jätkub GDPR-iga, see on üsna ilmne. Mõni teist võib teada privaatsuskilbist, võib selle üle imestada. GDPR-is on umbes kolm või neli sätet, millel on igasugune kattuvus privaatsuskaitsega, kuid GDPR-is on sada sätet, nii et see on palju enamat ja muidugi on see endiselt paigas ning see on seotud USA ja EL-i andmete vahetamisega ainult, kuigi see on oluline.
Mulle jällegi meeldib alustada numbritega. Kuulsite trahvidest, kuidas oleks, kuidas selleks valmistuda. GDPR-i eelarvestamiseks ja osa sellest tegemiseks sõltub see paarist tegurist. ELi kodanike kohta kogutud PII-andmete hulk. Kui te ei kogu ühtegi, siis on OK, olete tõenäoliselt nõuetele vastav ja ei pea sellega tegelema, kuid arvatavasti osalete sellel kõnel, kuna kogute neid kuskilt. Teie ettevõtte suurus ja andmehalduse küpsus, mis, nagu ma juba ütlesin, võib läheneda sellele, mida peate tegema, et reageerida GDPR-ile. Vastavuse tagamiseks võite oodata kuni mitu miljonit USA dollarit või eurot. Kuid me tahame, me ei taha, et järgitaks ainult GDPR-i, et see ruut märkida, muidugi peame seda tegema. Loodetavasti pole te olukorras, kus soovite lihtsalt seda ruutu märkida. Otsige eeliseid ettevõttes, sest paljud asjad, mida teete GDPR-i toetamiseks, on teie ettevõttele head. Andmehaldus on teie ettevõtte jaoks hea. Kui tegemist on isikuandmetega seotud andmete kogusega, siis mõned on teistest olulisemad, mõnda kontrollitakse rohkem kui teisi, näiteks andmetega seotud tervist reguleeritakse GDPR-i alusel palju rangemini kui muud tüüpi andmeid ja see nõuab vastavust koos lisakohustustega, näiteks andmekaitsealase mõju hindamise läbiviimine, mis ilmselt suurendab teie eelarvet.
Natuke eelarvestamise kohta. Juhul, kui viibite Ühendkuningriigis või USA-s ja mõtlete, kuidas see teid mõjutab - mõjutab GDPR muide endiselt 29. oktoobrini ELis elavat Ühendkuningriiki, 29. märtsinith ja kelle valitsus on teatanud, et midagi sellist, nagu GDPR, jätkub ka pärast seda kuupäeva, sest „See on hea mõte.” Ühendkuningriigi ettevõtted peavad seda järgima. Ühendkuningriigi kodanike andmed on selle jaoks kindlasti laual. Kui pole selge, leidub USA-s asuvaid ettevõtteid, kui tegelete ELis, EL-i kodanike andmetega, kehtib see kindlasti ka teie kohta. See mõjutab teie andmearhitektuuri, kuna võib juhtuda, et peate oma EL-i andmed kõigest muust eemaldama ja käsitlema neid erinevalt. See mõjutab analüütikat, nagu Eric ütles, kuidas analüüsi koostada jne. Nüüd võib olla keerulisem igasuguse kontseptsiooni- ja globaalse analüüsi kasutuselevõtt. Need võivad GDPR-i tõttu muutuda lokaalsemaks.
Mis on sätetes? On olemas andmekaitsestandardid. Need kõik, välja arvatud dikteeritud, andmete krüptimine puhkeolekus ja liikumises. Järgnevalt räägin krüptimisest. Seal on andmerikkumistest teatamise standardid. Enam ei oota see mitu kuud, oodates neljandikku, millest kõigile teada anda. Ma arvan, et teisel päeval oli suur ja me saime teada: “Oh, see juhtus aasta tagasi.” GDPRiga pole teil midagi - teil on 72 tundi. See on nime ja häbi poliitika. Loodetavasti keegi selleni ei jõua, ilmselt saavad mõned inimesed. Rikkumisi jätkub, isegi pärast GDPR-i, muidugi. Andmete asukoha ja kvaliteedi jälgimiseks on olemas protsessid. Kõlab tuttavalt? See on andmehalduse keskmes. Loodetavasti on mõni neist minemas.
Nagu Eric mainis, on ELi kodanikel õigus olla unustatud. Sellel on mõned mõistlikkuse standardid, Eric. Te ei pea kõike tingimata kustutama, kui peate võib-olla uuesti ühendust võtma selle kliendiga, selle töötajaga, lubatakse teil hoida tema isikuandmete teatud aspekte. Kuid sellegipoolest on neil kodanikel õigus olla unustatud, kuid teie jaoks ei tohi olla ebaproportsionaalselt suuri jõupingutusi - see on keel - ega kahjustada ettevõtet, see tähendab, et peate neid andmeid kustutama. Ma ei taha seda halvustada, kuid peate avaldama ka säilitatud isikuandmete koopiad ja neid andmeid saate hankida ainult nõusoleku alusel. Selle loa peavad andma inimesed, kes on vähemalt vanuses. See on suutäis, kuid see annab kodanikele palju õigusi nende andmete suhtes. See on kaasaskantavus kohe, kui see kunagi ilmub. Andmesubjektil on selgelt õigus unustada, kuid ka - ja mis pole minu slaidil, mis on üsna oluline - andmesubjektil õigus, et tema suhtes ei kohaldataks otsust, mis põhineb üksnes automatiseeritud töötlemisel. Mille poole oleme kõvasti liikunud? Automatiseeritud töötlemine laenude vastuvõtmise ümber, mida me pakume, see kõik tuleb läbi töötada, pidades silmas seda, kuidas see välja tuleb ja kui kaugele see läheb. See tähendab sisuliselt läbipaistvust selle ümber, miks mind tagasi lükati, miks see ettevõte kohtleb mind teatud viisil. See on praegu käes, see antakse ELi kodanikule.
Ilmselt on sellel, kuidas me äri teeme, mõningaid tagajärgi ja loodetavasti näete, et GDPR ei ole mitte IT, vaid ainult IT probleem. Kõik need äriprotsessid on kaasatud. See hõlmab inimesi kogu ettevõttest. Andmekaitseametniku määramine on soovitatav neile ettevõtetele, kus on üle 250 töötaja ja teil on „kriitiline matemaatika EL PII andmetega“. Võite ise otsustada, kas teil on see kriitiline matemaatika, mõnikord on see ilmne, mõnikord mitte. Kuid seal on uus roll - ei pea olema täiskohaga roll, inimesel võib olla muid kohustusi, aga ma ei tea - mõnes keskmises ja suuremas korporatsioonis on GDPR-i järgimine minu arust üsna olema täiskohaga rolli lähedal. Ma ütleksin, et alustage niimoodi ja uurige, kas saate sellega hakkama. Eriti järgmise aasta jooksul, kui saate oma tegevuse kokku GDPR-i ümber, kui see on juba sisse elama asunud, võite võib-olla selle tööd aeglustada, kuid see võtab mõne ettevõtte jaoks üsna palju aega. Nagu ma juba varem mainisin, laske inimestel näha oma andmeid ja andmete teisaldamist.
Muide, see pole veel kõik uus, kuid õigus unustada on tegelikult olemas olnud, uskuge või mitte. Kehtivad EL-i eeskirjad näevad juba ette õiguse lasta isikuandmeid kustutada või muuta need kättesaamatuks. Kuid nüüd, kui see on osa GDPR-ist, jõustatakse seda palju laiemalt. Andmete krüptimine - krüpteerige oma andmed puhkeasendis. Kasutage standardset krüptimismeetodit, ärge kasutage omaenda kodus kasutatavat või mittestandardset krüptimist. AES on selline, mida soovitame üsna vähe. Kasutage krüptograafiliselt turvalisi krüptimisvõtmeid. Muutke neid klahve perioodiliselt. Samuti vältige nende võtmete kadumist. Need on lihtsalt head krüptimispraktikad, kuid nüüd on nad GDPR-ga esirinnas. Selles peitubki probleem - olen löönud ainult jäämäe otsa. Ilmselt on veel sätteid, mida uurida, kuid need on peamised.
Nüüd lahendus. Andmehaldus, raamistik, millele vastate, vähemalt selle perspektiivi, mille ma siin esitan. Õnneks on olemas aktiivne hea kontsaga distsipliin, mis suudab ja saab küpseks saades hakkama suurema osa nõuetega ja see on andmehaldus - ilmselgelt ütlen seda. Juhtimisprogrammidel peaks olema andmesõnastik ja siinkohal kasutan ma andmete üldkasutatavas sõnastikus teie protsesside dokumenteerimist. See on põhiline, et teenida GDPR-i varude vajadusi, mis on, nagu me nägime, üsna suured. Programm, juhtimisprogramm, peaks hõlbustama andmeturbeprotokolle - ja ma rõhutan, et kuna see pole asi, mida paljud andmehaldusprogrammid praegu teevad, aga ma arvan, et see on loogiline koht, kus seda teha, kuna need on istudes programmis, mis otsustab, kes on ettevõtete omanikud? Kes peab seda nägema? Ja siis järgmine samm on nende lubade andmine. See tuleb tsentraliseerida, see tuleb vormistada. Peab olema sisepoliitika, mida kasutatakse. Kõigile eelnevatele panustamiseks tuleb kõikidele elementidele omistada haldustasu. Andmehaldus võib olla ka äriprotsesside kavandamise hõlbustaja, mida nõutakse.
Enne kui ma sellelt slaidilt lahkun, hakkavad ettevõtted kopsakaid trahve vältides mõistlike äritavade kõrvaltootena kasutama. Mulle meeldib öelda, et see on midagi enamat kui kõrvalsaadus, kuid tegelikult on see lihtsalt hea ja usaldusväärne ettevõte, mis võib teid äri vaatepunktist uutesse kohtadesse viia. Kindlasti saate kõigi algatuste tegemisel palju kasu, kui teil on usaldusväärne andmehaldus, seda olen aastate jooksul näinud. Mõne mainitud asja lisamisega andmehaldusele muutuvad need ainult paremaks. Teie äriprotsesside kavandamisel soovitame teil esitada need küsimused üldjoontes ja puudutada kõiki ärivaldkondi. Milliseid andmeid me oma EL-i klientide kohta kogume? Ma ei loe neid kõiki. Mõned siinsetest võtmetest. Kellel on vaja neid andmeid näha ja kas seda järgitakse? Kes on nende andmete andmekorrapidaja? Kes on minu lähedasem inimene ettevõttes? See on suur küsimus: kas me jagame neid andmeid kolmandate osapooltega? See, et annate selle välja kolmandale osapoolele, ei vabasta teie vastutusest andmete õigsust - need on ikkagi teie andmed, need on ikkagi teie kogutud andmed. Praegu on GDPRi tulemusel palju kolmandate osapoolte lepinguid põhjalikult läbi vaadatud. Kas nendel süsteemidel on deterministlikke tõrkeid? Tähendab, kui nad ebaõnnestuvad, siis nad satuvad meie poolt eelnevalt kindlaksmääratud teele või kas nad lihtsalt ebaõnnestuvad, jooksevad läbi, põlevad ja me alustame selle nullist üles kaevamist? Ilmselt läheb see palju paremaks. See on juba hea tava, kuid ilmselgelt palju parem mõne sellise asja pöördprojekteerimiseks, kui teie süsteemis on suuri deterministlikke tõrkeid.
Andmete säilitamine, me oleme andmete hoidmisest rääkinud igavesti. Paljudel ettevõtetel on eeskirjad, kuid nad ei järgi neid kõiki. Ilmselt tahame kuulsalt tervishoiu ja rahanduse alal andmeid säilitada, andmeid peame säilitama teatud arv aastaid. Mõned nende firmade analüütikud, kes säilitavad andmeid seitsme aasta jooksul või üldse, ütlevad: “Oh, pärast seda perioodi tahan ma neid andmeid ikkagi.” Mõned nende ettevõtete juristid ütlevad: “Aga me peame sellest lahti saama vastutuse eesmärgil ”ja nii edasi. See ei saa lihtsalt niisama istuda, kuna see on GDPR-i teemadel loggerheads enam teema. Meil peab olema säilitusperiood, kui seda on organisatsioonis järjepidevalt järgitud.
Ja lõpetuseks: kuidas saaksite liikuda andmerikkumise nimel? Need halvimad stsenaariumid, mis võivad teiega juhtuda. Ilmselt proovime neid takistada, kuid mis juhtub, kui see juhtub? Kuidas te asja sőja ajate ja veenduge, et järgiksite oma vastuses nüüd GDPR-i sätteid? Olen andmearhitekt, mõtlen andmearhitektuuri üle. Kui olete USA-s tegutsev ettevõte, mis tegeleb EL-i toimingutega, mis tähendab ELi kodanike andmeid - te kogute neid, peate kaaluma, kas kohaldada andmekaitsestandardeid kõigi andmete või ainult ELi andmete suhtes. Jah, mul on kliente, kes teevad selle otsuse nüüd. Ettevõtte hea tava kohaselt võiksid nad selle USA-sse tuua, kuid võivad tunda, et neil on aega, kuid see toob esile teise tähe. Võimalik, et peate EL-i andmed USA süsteemidest eemaldama, kui te ei saa kinnitada, et USA süsteemid käitlevad andmeid õigesti. Kas see eraldab andmeid analüüsi jaoks? Kas analüütika kehtib isegi siis, kui proovite neid teha üle riigi? Mõnikord jah, mõnikord ei, eks? Võib juhtuda, et teie analüüs on selle tulemusel vaigistatud.
Nagu ma juba mainisin, mängib siin tehisintellekt, kuna ilmselgelt võime kasutada AI-d, et leida kõik andmed, aidata meil kõiki andmeid üles leida, kuid kui kasutame AI-d oma kliendiliidestes, peame nüüd oma kliendiga läbipaistma liidesed ja see pole kunagi olnud AI tugev näide. Üritamaks kliendile öelda: “Teid lükati tagasi, sest bla, bla, blah”, kui see tegelikult oli AI. See tuleb nüüd ära teha. Peame välja mõtlema, kuidas AI töötab, millised on tegurid? Ei saa lihtsalt istuda seal ja olla teile enam must kast. Mida me nüüd teeme? Luua oma GDPR juhatus. Ma soovitan teil oma vanem privaatsuse eest vastutav ametnik seal viibida või kui teil on andmekaitseametnik, siis ilmselgelt see inimene. Andmehalduse, operatsiooniriski ja / või vastavuse juhid vastavalt vajadusele IT-juht, kui see on isik. Kui teil on muutunud juhtimispersonal, oleks see seal suurepärane inimene. Lihtsalt mõne teie ettevõtte kõige olulisema osakonna juhid ja ka personalijuhi ametikohad, kuna privaatsusalane koolitus on nüüd tohutu. Kõik hakkavad saama privaatsusalast koolitust või peaksid ettevõttesse astudes saama ka privaatsuskoolitusi, isegi konsultandid.
Kui te ei tee neid asju, mida siin näete, peate liikuma kiiremini, kui soovite tähtaja kehtestamiseks. Peate hakkama ka lootma, et te pole üks esimestest, kes auditeeritakse, sest ausalt öeldes on siin palju tööd, kui alustate nullist ja käsitlete palju ELi kodanike andmeid. Palkage andmekaitseametnik, inventeerige oma andmed ja protsessid. Koostage see andmehalduse plaan, viige see sinna, kus ta on, kuhu see olema peab. Võimalusel võiksite selle alustada. Koostage oma privaatsuseeskirjad ja poliitikat käsitlevad teatised. Privaatsuseeskirjad on sisemised. Poliitilised teated lähevad väljapoole. Näeme, et kultuuritegevust hakatakse looma nüüd poliitiliste teadete ümber. Nende poliitiliste teadaannete ümber on tehtud palju võrdlusi ja tehtud palju hoolikat sõnastust. Haarake GDPR-i vastavuse kontroll kõigi süsteemide, sealhulgas uute süsteemide jaoks. Võimalik, et peate neid järjestama ja tegema mingis tähtsuse järjekorras, kuid see on veel üks viis probleemi lahendamiseks. Vaadake süsteeme ja seda, mida nad peaksid tegema ning kuidas nad neid andmeid käitlevad.
Mida annab GDPR märku? See on see, milleks me siin oleme, et natuke lähemalt rääkida. Ma ootan, mida Kimil selle kohta öelda on. GDPR on andmete privaatsuse kontrolli nihkumine regulatsiooni suunas. See on läbipaistvuse trend, see on sätetes nii öeldud. Loome seda privaatsusteatiste kultuuri, nagu ma rääkisin, see on nüüd asi. Me näeme konverentse privaatsusteatiste ja muu sellise teemal. GDPR-nihe on suunatud inimeste põhiõiguste poole. Avatud küsimused töötatakse välja. Küsimused on selgelt lahtised. Olen jätnud mõned siin meie lauale. Kellelgi pole vastust. Neid hakatakse välja töötama. Suundumus mõista üksikisikuid paremini oma andmete ja nende kasutamise kohta. Arvan, et see on suurendanud ELi elanike teadlikkust nende andmete olulisusest ja nähes, et neil on oma isikliku varana vaja rohkem hallata. See on mõned varased signaalid, mida ma olen näinud ja Eric, ma viskan selle teile nüüd tagasi.
Eric Kavanagh: Olgu, las ma annan võtmed kätte Kimile, kes saab jagada tema vaatenurka, kuid ma arvan, et see oli hea ülevaade, William, ja te lõite peamised punktid - nimelt et see tuleb kindlasti haug maha ja meil on kõik olema väga ettevaatlikud, ausalt öeldes. Sellega lubage mul klahvid Kimile üle anda ja saate oma ekraani jagada ning sealt selle ära võtta.
Kim Brushaber: Kuule, kas sa kuuled mind?
Eric Kavanagh: Ma kuulen sind.
Kim Brushaber: Vinge. William kattis mõnda neist samadest asjadest, mida ma kavatsen kajastada, kuid arvan, et neid tasub uuesti kajastada, kuna need on tõesti olulised. Arvan, et kui uued määrused vastu võetakse, on tõesti hea, kui selle juurde võetakse palju erinevaid vaatenurki ja tõlgendusi, nii et miski paneks su mõtte paika ja võimaldaks sul veelgi enam vastavusse viia. Mind julgustavad kõik selle kõnega inimesed, kes tahavad rohkem teada saada, sest minu arvates saabub 25. maith, võib tekkida palju paanikat ettevõtete jaoks, kellele tagaajatakse, kes ei järgi reegleid.
Minu nimi on Kim Brushaber, ma olen IDERA vanem tootejuht. Mul on mitu toodet, mis aitavad nii GDPR-i kui ka muude määruste järgimisel. Vaatan osa sellest teabest. Alustan mõne fakti ja arvuga ning uurin siis natuke GDPR-i ja siis konkreetselt seda, kuidas meie tööriistad teid aidata saavad. Üks fakt on see, et iga päev kaob või varastatakse üle 5 miljoni andmekogu. Me ei kuule seda uudistes teatatud, me ei kuule, et see tuleb mujalt, kuid seal on üle 5 miljoni andmesalvestuse, mida varastatakse kogu aeg otse meie alt. Keskmine päevade arv, mille jooksul ründajad teie võrgus uinuvad, on 200 päeva. Paljud süsteemid on juba infiltreerunud inimestesse, kes - pahatahtlike kavatsustega -, kes lihtsalt ootavad võimalust kasutada teie teavet, peamiselt turvalisuse ja sertifikaatide abil, kuid ootavad lihtsalt oma hetke, kui üles suruda. Seetõttu on teie andmeturbega tegelemine muutunud üha olulisemaks. Prognooside kohaselt ületab üksiku andmerikkumise keskmine kulu 2020. aastal 150 miljonit dollarit, kuna rohkem äriinfrastruktuure ühendatakse võrguressurssidega ja rohkem asju tõuseb pilve. See on hea eelarve number, kui tunnete tõsist muret andmeturbe pärast, kui annate oma juhtkonnale teada, et see on tõsine asi ja võib edaspidiseks kuluda palju raha.
Kavatsen lühidalt käsitleda Equifaxi andmerikkumist, kuna minu arvates oli see 2017. aasta suurim andmerikkumine, et joonistada pilt sellest, mida see endast kujutab. Rikkumine puudutas 145,5 miljonit klienti. Töötajad tunnistasid turvaprobleeme oma veebirakendusega kaks kuud enne rikkumise toimumist. Töötajad ütlesid: “See on probleem.” Ja veel natuke enne seda, kui plaaster tegelikult välja tuli. Kui rikkumine toimus, kulus sellele terve päev, et sellele reageerida ja veebirakendus võrguühenduseta avada. Kuna Equifaxil polnud määratletud andmeturbeprotokolli, kulus neil märkimisväärselt palju aega, et isegi aru saada, mis toimub ja seejärel suuta süsteem võrguühenduseta võtta. Kuus nädalat pärast rikkumist teavitati avalikkust. GDPR-i abil - nagu me juba eespool ütlesime ja ma ütlen seda uuesti - peate aru andma 72 tunni jooksul ja Equifaxil oleks olnud käed kinni seotud ega oleks suutnud seda vastavust täita, sest nad ootasid sellest teatamist kuus nädalat. Rikkumisele reageerimise teatis sisaldas veebisaiti, mis ei olnud isegi Equifaxi omandis. Equifax ise värskendas seda säutsu, mida polnud isegi nende domeenis - nad olid mõne sõna ümber keeranud. Õnneks polnud see pahatahtlik sait, mis seda kasu oli, kuid ilmselgelt polnud nad selleks valmis. Neil polnud plaani paika pandud ja see sai avalikul areenil väga teadlikuks. Equifax ei ole üksi - 2017. aastal on seni olnud üle 25 väga kõrge küberprofiilirünnaku ja enne aasta lõppu võiksime neid veel leida. Ettevõtted peavad tõesti hakkama seda tõsiselt võtma, kuna inimesed on väljas ja kui annate neile põhjuse, miks nad tahavad teie juurde tulla, oleksite parem, kui saaksite sellega hakkama saada.
Mõned muud andmed ja arvandmed selle kohta, kuidas üksikisikud suhtuvad andmete turvalisusesse. 2020. aastaks on meie kodude, kantavate, telefonide, tahvelarvutite ja Interneti kaudu ühendatud Interneti kaudu 30 miljardit seadet. Kes teab, mis järgmistel aastatel veel võib tulla. On palju seadmeid, mis on nende rünnakute suhtes haavatavad. Nelikümmend üheksa protsenti ameeriklastest leiab, et nende isiklik teave on vähem turvaline kui see oli viis aastat tagasi. Seitsekümmend kolm protsenti Ameerika tarbijatest soovib, et ettevõtted oleksid oma isikuandmete osas läbipaistvad. Seitsekümmend kaheksa protsenti inimestest väidab, et on teadmata tundmatutele linkidele ja linkidele klõpsamise ohtudest, kuid nad klõpsavad neil linkidel ikkagi - see on üle kolme neljandiku meie elanikkonnast ja nad klikivad linkidel endiselt, ehkki nad tean, et see võib olla probleem. 85 protsenti Interneti-kasutajatest üritab aktiivselt oma digitaalsete jalgade nähtavust minimeerida, anonüümseks muuta ja varjata. Minu kasuisale meeldib vormide täitmisel välja minna ja võltsnimesid luua, sest tema arvates muudab see anonüümseks, kuid vähe teab, et tema IP-aadressi ka jälgitakse. Puudutab palju isiklikku muret ja just see kujutab endast palju GDPR-i määrusi ja tõenäoliselt ka täiendavaid eeskirju, mida järgitakse.
Andmeturbe valdkonna andmete kohaselt pärines 90 protsenti rikkumiste andmetest 2016. aastal valitsuse, jaekaubanduse ja tehnoloogia valdkonnast. Nelikümmend kolm protsenti küberrünnakutest ründas väikeettevõtteid. Kui te arvate: "Oh, ma ei ole suur tüüp, nad ei tule mulle järele," on endiselt peaaegu pooled neist, kes tegelevad väikeettevõtetega. Viimase aasta jooksul oli pahavaraga nakatunud 75 protsenti tervishoiuvaldkonnast. Seitsekümmend protsenti USA nafta- ja gaasiettevõtetest häkkis möödunud aastal. See avaldab märkimisväärset mõju paljudele erinevatele töötatavatele tööstusharudele ja see arv tõuseb siit ainult edasi.
Kui vaadata seda täidesaatva poole vaatenurgast, tunnistab 90 protsenti CIOdest, et raiskab ebapiisavale küberturbele miljoneid dollareid. Üheksakümmend protsenti väidab ka, et neid on rünnatud või nad loodavad, et neid ründavad krüptimises peidus olevad poisid. 87 protsenti usub, et nende turvakontroll ei suuda nende ettevõtet kaitsta. 85 protsenti CIO-dest eeldab, et nende võtmete ja sertifikaatide kuritarvitamine kriminaalkorras halveneb. See on tohutu arv ettevõtteid, kes tegelevad selle andmeturbe teemaga ja tegelikkus on selline, et paljudel neist pole väga häid lahendusi, et isegi siis, kui nad juhtuvad, isegi siis, kui nad usuvad, et see juhtub.
Kui vaadata selle valmisolekut, tunnistas 2014. aastal 70 protsenti millenniumidest, et nad tõid oma ettevõttesse välja välisrakendusi, rikkudes IT-poliitikat. Seitsekümmend protsenti tunnistas seda - arvatavasti on isegi suurem arv, et see tegi seda tegelikult. Viiskümmend kaks protsenti 2016. aastal edukate küberrünnakute all kannatanud organisatsioonidest ei teinud 2017. aastal oma julgeolekus muudatusi. Ehkki nad said korra rünnata, ei läinud nad ikkagi müüridele - nad on täpselt sama haavatavad kui nad olid enne rünnakut. See tekitab tõesti küsimuse, mida peavad ettevõtted hakkama tegema, et end nendeks asjadeks ette valmistada? 39 protsenti ülemaailmsetest organisatsioonidest väidab, et nad on valmis keeruka küberrünnakuga hakkama saama. See on hea - peaaegu pooled on olemas ja ma olen sellega helde. Me oleme tegelikult ainult kolmandik, kuid siiski on vähemalt pooled ütlevad: "Ma ei ole valmis. Kui mind rünnatakse, pole ma veel valmis ja häkkerid teavad seda. ”Kolmkümmend kaheksal protsendil organisatsioonidest on küberintsidentide lahendamise kava. Enamik ettevõtteid on Equifaxiga samas ämbris, kus nad ei tea, mida nad kavatsevad teha. Kui nad seda saavad, peavad nad reageerima ja tulevad nende asjadega toime lennult ning sellised määrused nagu GDPR ütlevad: „Need peavad sul olemas olema. Peate need avaldama. Peate seda turvaaudiitoritele tõestama. ”Loodetavasti suudame sarnaste eeskirjadega sellest kõverast edasi pääseda ja reaktiivsuse asemel olla proaktiivsed oma püüdlustes.
Räägime natuke GDPR-ist. Osa sellest Williamist on juba kajastanud, kuid kavatsen minna edasi ja katta seda uuesti, just oma vaatluse, hääle, vaatenurga alt. Paljud ettevõtted, kellega ma räägin, on sellised: “Olen USA-s, miks ma peaksin sellest ELi määrusest isegi hoolima?” See, et rohkem inimesi ei sumise ja rohkem inimesi ei räägi nad arvavad, et see puudutab ainult EL-i liikmeid, kuid ma küsiksin, kas te vaatate seda nimekirja, kas te kogute mõnda sellist teavet EL-i liikmetelt? Kui kogute seda teavet üldse, kehtivad teile GDPR-i piirid ja karistused selle mittetäitmise eest. Annan teile natuke aega, et seda lihtsalt niimoodi kasutada ja sellest aru saada. Nagu William varem mainis, on need karistused ja sanktsioonid, millele on viidatud GDPR-i artiklis 83. Alguses võite käe löögi saada, natuke hoiatades: “Kuule, võta oma tegu kokku. Pange see paika. ”Aga kui teil on tõesti suur rikkumine - ja sõltuvalt sellest, kui suur see tehing on -, pöörduvad nad teie poole tagasi, et seda tagastada, ja see on märkimisväärne arv. Mitte 10 miljonit, vaid 20 miljonit eurot ehk 4 protsenti teie eelmise aasta käibest / müügitulust. See on palju raha. See on palju eelarvet, kui kulutame oma täitevvõistkondadele ja ütleme: „See on asi, mida peame võtma tõsiselt ja peame tegutsema.”
Lubage mul pisut käsitleda artiklis 5 kirjeldatud GDPR-i põhimõtteid. Üks nende sõnul on isikuandmete töötlemine seaduslikul, õiglasel ja läbipaistval viisil. See tähendab, et avalikkus soovib teada, mida teete nende andmetega. Ole selle suhtes läbipaistev ja see tuleb avaldada. Enamik inimesi ei loe tingimusi, kuid see on uus teave, mida peate saama suhelda, et saaksite neile öelda: „Teie andmeid käideldakse nõuetekohaselt.” Isikuandmeid tuleks koguda kindlaksmääratud jaoks, selged ja õigustatud eesmärgid. See tähendab, et loodetavasti saame osa sellest rämpspostist lahti, kui ettevõtted väidavad, et nad koguvad teavet viktoriini jaoks, mis ütleb teile, kui huvitav teil võib olla, ja tegelikult võtavad nad teie andmed ja müüvad need kellelegi teisele tagasi. , et oleks võimalik kasutada neid mis tahes otstarbel. Ettevõtted peavad nüüd olema palju vastutustundlikumad ja ütlema täpselt, milleks nad teie andmeid kasutavad. Samuti ütlevad nad, et isikuandmed peavad olema piisavad, asjakohased ja piirduma vajalikuga. Paljudele ettevõtetele meeldib kogu oma teave ära võtta ja suuresse andmekogusse paigutada ning siis mõtlevad nad välja, mida nad soovivad selle teabega hiljem teha ja nad koguvad palju rohkem, kui võib vaja minna. See tähendab, et te ei saa seda koguda ega kusagil mujal kasutada. Samuti ei saa te lihtsalt kõike koguda ja loota, et hiljem võib see teile kasulik olla. Peate olema väga selge, miks teavet kogute, ja see peab olema asjakohane kogutavate andmete suhtes.
Isikuandmed peavad olema täpsed ja ajakohased. Peate andma kasutajatele viise oma andmete värskendamiseks, kui olete selle neile kogunud; nad peavad saama tagasi pöörduda ja öelda: “Teate, mul oli selline arvamus mõne küsitluse kohta, kus te küsisite minult isikut tuvastavat teavet. Ma tahan tagasi pöörduda ja tahan seda muuta ja seda nüüd värskendada.” Ja teil on anda neile võimalus seda teha. Isikuandmeid tuleb säilitada sellisel kujul, mis võimaldab andmesubjekte tuvastada mitte kauem kui vajalik. Tagasi Williamsi väite juurde, et te ei saa seda teavet igavesti koguda - peate välja mõtlema, mis on teie arvates kehtiv ja vajalik, ning seejärel peate andmed puhtaks pühkima. Samuti tuleb seda töödelda viisil, mis tagab asjakohase turvalisuse, sealhulgas kaitse loata või ebaseadusliku töötlemise, juhusliku kadumise, hävimise või kahjustuste eest.
Nagu ma juba ütlesin, on aeg selle küsimusega tõsiselt tõsiselt tegeleda, peatades need andmerikkumised, kuna mitte ainult teie ettevõttele võib tekkida kahju, mis on seotud andmete rikkumisega, ning saamata jäänud tulu ja oma protsesside toetamise kulud , kuid võib-olla on teil ka GDPR-i pealt hunnik trahve pekstud. On aeg hakata selle teemaga tõsiselt tegelema ja ma arvan, et kui GDPR jõustub, seisavad ettevõtted silmitsi raske reaalsusega ja õnneks saavad teie seast täna kõnes olevad inimesed selle üle järele mõelda ja teada kuidas sa neid asju ellu viid.
GDPR räägib ka palju sellest, millised on üksikisikute õigused; see otsib üksikuid kasutajaid. Esimene asi on õigus pääseda juurde oma isiklikele andmetele. Kasutajad peavad teadma, millist teavet olete nende kohta kogunud, nii palju kui isiklikult tuvastatud teavet, ja peate andma neile võimaluse sellele juurde pääseda. Samuti on õigus parandusele, mis on uhke viis öelda: „Ma pean suutma parandada minu kohta käivat teavet.” Õigus kustutada - mida jälle paljud inimesed sõnastavad kui õigust unustage - kui üksikisik ütleb: „Teate mida, ma ei taha enam, et te teaksite, et ma olen super lõbus tüüp koomiksikoguja, peate sellest lahti saama. Mul on mõni sõber, kes ajab mind selle vastu ja pühib mind teie loendist täielikult ära, ”peate seda tegema. Samuti on õigus töötlemist piirata ja see tähendab, et kasutajad saavad piirata oma teabe töötlemise viisi. Nad võivad öelda: "Ma ei pane pahaks, et võtate minu andmeid, kuna ostan uut autot, kuid ärge kasutage seda teavet mulle ja saatke mulle iga kord uusi autosid vabastades uusi tehinguid." Seal on ka õigus andmete teisaldatavusele, mis tähendab, et kasutajatel peaks olema võimalus saada oma andmetest koopia ja neid kuskilt mujalt võtta. Paljud organisatsioonid koguvad teavet ja sellel teabel on kleepumistegur ning nüüd saavad inimesed öelda: “Teate mida, ma tahan, et te võtaksite kogu minu teabe ja nüüd tahan, et te annaksite selle oma konkurendile, et saaksin seda edasi viia üle. ”
Tulevikuorganisatsioon võib mõelda palju sellele, kuidas seda teha saab ja millist teavet soovite koguda. Samuti on õigus vastuväiteid esitada ja kasutajad saavad ka oma andmete töötlemise vastu olla. Õigus mitte alluda otsusele, mis põhineb üksnes automaatsel töötlemisel või profiilide koostamisel. See mõjutab märkimisväärselt B2B turundust - kui istute seal ja proovite A / B testi teha ja proovite tuvastada, kas Coloradot mõjutab rohkem kui California, siis olete just teinud profileerimise, vaadates ühte osariiki teise vastu ja peate vaatama, kuidas üksikisikul peaks olema võimalus sellest loobuda.
Arvestades, et meil on mõned hirmutavad asjad, mis on seotud andmete rikkumisega ja kuidas inimesed nende andmeid vaatavad, ning meil on käes see tohutu määrus, mis lahatakse meie õlgadele, olen nüüd siin, et anda teile lahendus, kuidas IDERA saab aidata. Artikkel 15 räägib sellest, kuidas kontrollida isikuandmetega kokkupuudet. Peate teadma, kes teie andmetele pääseb. Kuidas nad seda kasutavad. Kui palju andmeid on töödeldud ja SQL-i toodete vastavushaldur, milleks olen tootehaldur, võimaldab teil näha, kes ja kuidas teie andmetele pääseb. SQL-i vastavushaldus on mõeldud SQL Serveri lahendustele. Kui teil on SQL Serveri andmebaas, saate selle teabe ühendamiseks seda teavet auditeerida ja vaadata, et saaksite olla kooskõlas GDPR-iga ja teate täpselt, kuidas seda kasutatakse. Andmerikkumisi saate näha ka enne nende ilmnemist ja ma räägin sellest teises slaidis. Seal on ka artikkel, mis ütleb: “Mul on vaja töötlemistegevusi kajastada. Ma pean logima ja ma pean jälgima toiminguid ning ma pean teadma, kes töötleb isikuandmeid ja kellel on juurdepääs neile süsteemidele. ”SQL Compliance Manager haldab serverite ja andmebaaside auditeerimist, sealhulgas turvalisust, DDL, DML, ning määratleb tundlikke andmeid. . SQL-i vastavushaldur võimaldab teil turbejuurdepääsu auditeerida ja katset logida, nii et näete, kes pääseb juurde teabele ja kes logib sisse, kas see on privilegeeritud kasutaja, kas see on tuntud kasutaja või võib olla tegemist pahatahtliku kasutajaga.
Artiklis 33 käsitletakse isikuandmetega seotud rikkumistest teatamist järelevalveasutusele. Peate suutma need rikkumised tuvastada; mõju hindamiseks peavad teil olema dokumendid; peate teadma, kui kiiresti te seda parandate. Selleks lubab SQL-i vastavushaldur seadistada oma andmebaasides hoiatusi, et need näeksid, kellel on juurdepääs teie tundlikele andmetele, kui nad sellele juurde pääsesid, millele nad pääsesid. See võimaldab teil ka oma auditi käigus välistada tavalised privilegeeritud kasutajad. Kui teil on süsteemiadministraatorit või võrguadministraatorit, kellele teate, et sellele juurde pääsete, ja te ei soovi oma aruandeid ummistada, saate need välistada ja öelda: „Andke mulle kõike, mis toimub väljaspool seda teavet.“ See võimaldab et saaksite kiiresti tuvastada, kas keegi pääseb teie andmetele pahatahtlikult juurde ja teil võivad olla paigas hoiatused, mis annavad teile teada hetkest, millal see aset leiab, ja siis hetkest, mil teabele juurde pääseb, et saaksite selle kustutada, et saaksite ei pea kogu päeva ootama, et aru saada, mis toimub, nagu tegi Equifax.
Seal on ka artikkel, mis räägib andmekaitsest ja mõju hindamisest. Sellega hinnatakse teie riske ja mõistetakse, mis need on, samuti näidatakse ja dokumenteeritakse teie vastavus GDPR-ile. SQL-i vastavushaldur võimaldab teil aruandeid jälgida elementide kohta, mida jälgitakse. Lühidalt öeldes, andmete auditeerimine SQL-i vastavushalduri abil võimaldab SQL-i vastavushaldur tuvastada ebaõnnestunud sisselogimisi - mis on potentsiaalne rikkumise märk - jälgida haldustegevusi ja turbe muudatusi, hoiatada teid andmebaasi muudatuste eest, auditeerida veerud, mille määratlete tundliku teabena, tuvastate privilegeeritud kasutajad ja jälgite nende tegevust teistest teie süsteemi kasutajatest eraldi, teatage, et teavet auditeeritakse vastavalt mitmetele regulatiivsetele juhistele. Me mitte ainult ei hõlma GDPR-i, vaid ka HIPAA, PCI, FERPA, SOX - kõiki regulatiivseid juhiseid, kui nad peavad kontrollima teie teavet ja mõistma, millele pääseb juurde, meil on need regulatiivsed juhised paigas.
IDERA-s on meil täiendavaid tooteid ka GDPR-i ettevalmistamiseks. Lisaks auditeerimisele, mida SQL Compliance Manager teeb, on meil ka ER / Studio Enterprise Team Edition, mis aitab teil dokumenteerida teie andmeprotsesse ja sisestada andmestandardid oma andmemudelisse. Saate luua andmesõnastikke, millest William rääkis eelmises slaidis . Nagu ma siin selle ettekandega väitsin, saab SQL-i vastavushaldur aidata teil oma andmeid kontrollida, et veenduda, et valed inimesed ei pääse teie andmetele juurde, ja tõestada seda audiitoritele. SQL turvaline varundamine aitab teil oma andmeid ja varukoopiaid krüptida. Krüptimine on GDPR-i oluline osa, mida ma ei käsitlenud eriti üksikasjalikult, kuna soovisin keskenduda palju Compliance Manager'i varadele, kuid SQL Safe Backup teeb teie jaoks palju krüpteerimist, et teie andmed oleksid turvalised. SQL Inventory Manager saab tagada serverite paigalduse ja ajakohasuse, nii et te ei lõpe sellisel juhul nagu Equifax, kus neil oli aegunud plaaster, mis andis neile suure turvaaugu, mida inimesed suutsid kasutada pahatahtlikult. SQL Secure saab auditeerida privaatsust ja krüptimisstandardeid.
Üksikasjalikuma teabe saamiseks IDERA kogukonna veebisaidil meie ajaveebi alt olen postitanud ettevalmistuse GDPR-i jaoks ning ka 2018. aasta poole vaatamise ja selle mõistmise, kuidas GDPR avaldab mõju ning seal on ka kindlasti võimalus alla laadida SQL-i vastavushalduri proovikoopia. IDERA-s, aga ka kõiki teisi tooteid, mida ma slaidil just mainisin.
Praegu lähen edasi ja annan esitluse Ericule üle, et saaksime esitada mõned küsimused.
Eric Kavanagh: Hästi. Te puudutasite seal, Kim, mitmeid tõeliselt huvitavaid asju, millest üks - ma arvan, et see on omamoodi lihtne, kuid see on üsna kaval - rääkisite ebaõnnestunud sisselogimiste tuvastamisest. Mulle tundub, et see on päris hea märk sellest, et kellelgi pole midagi head?
Kim Brushaber: Absoluutselt. Kui näete kedagi, kes on üritanud teie paroolile juurde pääseda ja seda lahti saada, on see väga kiire viis öelda, et keegi ei tee seda, mis ta peaks olema. Võib-olla võite paar korda parooli valesti sisestada, kuid kui näete, et 30 neist on läbi tulnud, on see halb märk.
Eric Kavanagh: Jah. Nende peamine eesmärk on seada teie hoiatused õige juhtimisega. Mida veel saate meile öelda, kuidas juhtida häirete seadistamise ja desaktiveerimise protsessi, mis ei tee seda, mida nad peaksid tegema, ja kui suurt osa sellest kraamist saab automatiseerida?
Kim Brushaber: Vastavushalduril on palju konfigureeritavaid hoiatusi ja ka aruandeid, mida saate üle vaadata. Me läbime teie SQL-i jäljed ja meil on see automaatne jälgimine ning meil on palju sellist, mis on juba eelhäälestatud ja eelnevalt määratletud, kuid kindlasti on teil ka märkimisväärne hulk kohandamisi.
Eric Kavanagh: William, ma toon teid sellesse - mulle tundub, et üks valdkondadest, kus me näeme masinõpet mängu tulevat umbes kahe kuni kümne aasta jooksul, uurib kõiki erinevaid võimalusi. Vaadates kõiki erinevaid viise, kuidas süsteem saaks oma tõhusust optimeerida, on selle tõhusus seotud näiteks rikkumistega ja nii edasi. Kas see on ka teie asi?
William McKnight: Jah, absoluutselt. Arvan, et nüüd ehitame süsteeme, mis ise remondivad. 24-seire seire hakkab libisema ja muutuma minevikuks, ehkki me vajame seda tüüpi tööaega endiselt. Ma arvan, et süsteemid saavad enamasti sisseehitatud ja saavad aru, mis on vale. Kas peame siia eraldama rohkem ruumi või mis teil on? Jah, ma arvan, et see on kindlasti osa meie tulevikust. Kõik, mis seal on, on võimalik määratleda mõne toimingu astmena, millele reageerida, on kindlasti tehisintellekti ohustatud.
Eric Kavanagh: See on hea punkt. Ma viskan teile veel ühe küsimuse, William, kuna tean, et teete selle ruumi kohta palju uuringuid. Üks neist asjadest, mida olen juba tükk aega oodanud ja ma ei usu, et me seal veel oleme - arvan, et jõuame lähedale, just selle põhjal, mida olen lugenud ja mõelnud - on päev, mil on olemas tehnoloogia regulatiivsete probleemide lahendamiseks, nende tegelik sõnastus ning selle funktsionaalsuse ja tarkvaraga kaardistamine. Nagu ma ütlen, oleme sellest ikka veel teel - ma ei kujuta ette, et seal keegi töötaks. Kas olete midagi sellist kohanud või oleme ikka veel kohas, kus inimesed peavad reegleid tutvuma, neid tõesti proovima ja neist aru saama, kodifitseerima need sisuliselt masinkoodidesse ja seejärel nende erinevatele rakendustele üle pingutama?
William McKnight: Noh, ma saan kindlasti idee, mida te siin jagate. Ma pole kursis sellega, mis toimub kasutuselevõtu suunas keskkonnas, mis on sellega seotud. Ma ütlen üldiselt, et ilmselt hakkame masinatele rääkima mitte sellest, mida teha, vaid see, mille eesmärk on see, mida tahame teha ja masinad muutuvad detailide väljamõtlemisel palju targemaks. Arvan, et kui oleme oma organisatsioonidesse jõudnud mõne tehisintellekti juurde, on täiesti võimalik, et koostöös AI-ga, mis on organisatsioonide sees kasutusele võetud, saab välja töötada uusi regulatsioone, et need saaks tulevikus kasutusele võtta teie kirjeldatud viisil. Praegu ei tegutse me sellega.
Eric Kavanagh: Siin on küsimus, mille ma viskan teile üle, Kim, sest see on ka selline huvitav. Räägite keskmisest latentsusajast või ajast, mil keegi, kes teie süsteemi sisse logib, peidab end ja lihtsalt ootab - päevade arv, mil ründaja võrgu sees seisma jäi - tuvastamine on 200. Olen uudishimulik teada, millised on teie mõtted, kuidas parandada et esiteks? Kuid kas on olemas võimalus seda tüüpi reegleid kasutada omaenda süsteemi uurimiseks? Enda andmete uurimiseks ja selle nimel, et selliseid inimesi paremini hoida?
Kim Brushaber: Jah, ma arvan, et ilmselgelt on võtmeks varajane avastamine. Peate aru saama, et need pahatahtlikud saidid pääsevad teie teabele juurde ja peavad saama selle lukustada. Arvan, et teistes slaidides, kus näitame, et enamikul organisatsioonidel pole neid eeskirju. Sellepärast nad seal istuvad. Ma arvan, et kui teil oleks tegelikult olnud poliitika, et oma juurdepääs läbi vaadata ja lukustada ning veenduda, et juurdepääs oleks õigetel inimestel. Veenduge, et pöörate oma võtmeid regulaarselt ja värskendate neid. Veenduge, et teie paroole värskendatakse regulaarselt ja tehke selliseid asju, mis tunduvad üsna lihtsad. Praegu enamus organisatsioone seda isegi ei tee ja nende tükkide paika panemine aitab teil sellest kaugemale jõuda.
See tähendab muidugi seda, et häkkerid saavad selle kohta kavalamaks, kuid praegu on see lihtne, näiteks: „Ma lähen tänavale vaatama maju, millesse tunnen, et tahan sisse murda, kas neil on äratus süsteemid? Kas neil on väike häiremärk ja kas ühel on koeri? Ma lähen selle juurde, kus pole häiret, ei ole koera ja see on maja, kuhu ma sisse murran. ”Noh, nad otsivad välja firmad, kes need plaastrid pole paigas ja neil pole turvalisust ning nad ei uuenda oma paroole ja nad kavatsevad seal käia ning hangouti minna ja kasutada paar korda teie krediitkaarti bensiinijaamas te ei ole seda kinni pannud ja kui nad saavad suuri muutusi mõjutada, siis tavaliselt mingi poliitiline avaldus või muul viisil on see, kui näete neid poputavat pead. Kui need põhimõtted paika pannakse, siis arvan, et võite sellest mängust edasi pääsemiseks võtta mõned minimaalsed sammud.
Eric Kavanagh: See on ilmselt parim nõuanne ja ma kuulen seda alati, kui räägime turva- või regulatsiooniruumis viibivate inimestega, et põhitõed katavad 80 protsenti teie probleemist ja selleks on palju maad - see on hea mõte. Ühelt kohalolijalt küsiti, kas keegi võiks laiendada ärivõimalusi, mida saaks kasutada GDPR-i järgimisega seotud jõupingutustest. Mulle meenutatakse Sarbanes-Oxleyt ja ma arvan, et William, ma viskan selle teile üle. Konsultandina otsite alati võimalusi, kuidas aidata oma kliente väljaspool konkreetse projekti piire - vähemalt kui olete hea konsultant, siis teete seda. Kui räägite inimestega GDPR-ist, siis millised on täiendavad eelised, mida nad saavad saada, kui nad osalevad mõnes sellele keskendunud projektis?
William McKnight: Esiteks on oluline märkida, et GDPR-i idee ei tähenda üldse kodanike täielikke õigusi. GDPR-i teisel küljel on see, mis tähendab, et see suurendab kodanike usaldust meie ettevõtete vastu ja see läheb korda. julgustage neid tegema rohkem ettevõtteid, kes vastavad nõuetele. Teie GDPR-i tegelikust täitmisest on nüüd abi, nüüd - meie siseselt rakendatud andmehaldusprogrammide eesmärk on hõlbustada igasuguseid algatusi, mis on tõepoolest algatatud organisatsioonide siseselt ja mis on tänapäeval enamasti algatused väljaspool organisatsioone. Olen hiljuti paljudega plaaninud 2018. aastat, need on seotud andmetega, palju, nad on nagu kõik andmed, mis moodustavad 65–90 protsenti - kui räägite telemaatikast või kliendiprogrammist 360 või armatuurlauda müüjate jälgimiseks, on see suuresti seotud andmetega. Kõik, mis haldab neid andmeid paremini, mis paneb selle paremasse arhitektuuri, mis nimetab inimesi, kes on lähedased inimesed, kes saavad vastata kõigile nende andmetega seotud küsimustele, mis tegelikult hoolivad nagu andmehaldusprogramm. Kõik, mis annab meile andmesõnastiku - nagu Kim rääkis oma tööriistadega -, mis tahes, mis seda teeb, on väga kasulik muuta need algatused palju tõhusamaks, vähendada nende riski, vähendada aega, vähendada nende jaoks eelarvet ja saada meid keerulisele ajale, et palju kiiremini ja häid asju turustada algatusi tegevale ettevõttele, mis on kõik ettevõtted.
Eric Kavanagh: Ma armastan seda usalduse mõistet. Usun, et usaldus on meie maailmas väga alahinnatud reaalsus ja ausalt öeldes jookseb enamik äritegevusi usaldusel - see on tõesti nii, kui saate sellega hakkama. Ma annan selle teile üle vaid mõne kommentaari saamiseks, Kim. Ma arvan, et üks olulisemaid lisandväärtusi on siin usalduse suurendamine ja usalduskultuuri edendamine, sest see ei avalda positiivset mõju mitte ainult ettevõttele endale, ettevõtte sees olevatele inimestele iseenesest, vaid ka sellele, mida üldsus tajub, sest selline tegevus asi laheneb, mulle tundub, aga mida te arvate?
Kim Brushaber: Jah, ma arvan, et kui ma räägin sõpradega, kes töötavad Google'is või töötavad mõnes suuremas, tõeliselt kõrgetasemelises organisatsioonis, ei rakenda nad turvaprotokollide ning jõudluse ja mastaapsuse probleemide rakendamisel peaaegu nii palju uusi funktsioone, kui on nad soovivad, et nende kasutajakogemus oleks selline, kus nad usuvad, et saavad sellesse teabe usaldada. Arvan, et ettevõtetel on see vastutus, kuna me jätkame sedalaadi usalduse pakkumist. Ma mäletan, kui inimesed hakkasid esimest korda krediitkaarte võrku panema ja inimesed on nagu: "Mu jumal, ma ei hakka seda teavet seal väljastama, kuna see pole turvaline."
Ja nüüd läheb teie krediitkaart igal viisil, kuna teoreetiliselt arvate, et võite ettevõtet usaldada, kuna tal on HTTPS-sertifikaat. Siis kuulete Target'i andmerikkumistest, kus krediitkaardid olid sellised, nagu nad olid: „Oh, parem vahetage oma krediitkaart välja, sest me laseme selle teabe lahti.” Minu arvates on see kahesuunaline arvamus. Arvan, et kuigi inimesed tahavad rohkem usaldada, kuna paljudes organisatsioonides on palju lihtsam, peavad nad selles usaldama ja sellesse uskuda, peavad suured organisatsioonid asuma samme ja panema need tükid paika, nii et nad ei t vigastada üksikisikut või kaotate turuosa. Inimesed ütlevad: „Noh, teate, ma ei kavatse enam Targetis poes käia, nüüd hakkan ostma Amazonis.“ Arvan, et usaldus on suur probleem, kuigi nagu me ütlesime, on 78 protsenti inimestest klõpsates sellel lingil ikkagi, isegi kui nad teavad, et ei pruugi. Inimesed on kaitstud teataval määral, isegi kui nad teid usaldavad.
Eric Kavanagh: See on hea punkt. Teate mida, ma viskan teile ühe viimase küsimuse üle, William, või veel vähemalt ühe - meil on nüüd mõni hea küsimus kohale tulnud. Saatejuht kirjutab: “GDPR viib identiteedihalduse tagasi kliendi juurde, kuhu ta kuulub. Equifax kahjustas püsivalt 149 miljonit tarbijat, kes on väga tõsi, saastades digitaalmajandust. Milliseid muudatusi näete USA-s toimumas seoses klientide omandiga identiteedi haldamisel? ”
William McKnight: Noh, me oleme USA-s alati sellist tüüpi asjadest maha jäädes, kas pole? Sada nelikümmend üheksa miljonit, see ei ole tilk ämbrit seal. See on peaaegu nagu terrorism, eks? Me oleme lihtsalt nii harjunud, see toimub lihtsalt kogu aeg. Arvan, et midagi on vaja ära teha. Ma arvan, et GDPR, mulle meeldivad õigused, mida see annab kodanikele, kuid see ei tundu olevat prioriteet - seal on palju muid prioriteete ja ma ei tea, kuhu see läheb. Arvan, et nagu ma juba oma tõendusmaterjalides mainisin, tähendab see, et see tähendab üleminekut tarbija suurematele õigustele nende andmete suhtes. Kui see juhtub siin USA-s? Ma ei tea, võib juhtuda, et siin USA-s juhtub midagi GDPR-iga võrdset, kuni viis aastat. Just praegu spekuleeritakse.
Eric Kavanagh: See on tõesti hea mõte ja ma arvan, et näeme selle nimel rohkem pingutusi, sest olgem ausad, liigume tänapäeval sellise digitaalmajanduse juurde. Ja siinkohal lõpetuseks: kui saada filosoofiliseks ja poliitikale orienteeritud, siis see puudutab mind kõige rohkem sularahata ühiskonda siirdumise puhul, sest kui sularaha kaob, kui see juhtub, siis on kõik digitaalne ja iga süsteem saab teda häkkida ja iga inimese identiteedi saab varastada. Mulle tundub, et siin toas on päris suur elevant, kui vaatame haugi alla identiteedihalduse tulevikku.
See kõik on tore värk, inimesed. Tänud William McKnightile selle aja ja tähelepanu eest. Aitäh Kim Brushaberile IDERA-st. Arhiivime kõik need veebiülekanded hilisemaks vaatamiseks, nii et tulge julgelt tagasi, tavaliselt vaid mõne tunni jooksul ja arhiiv on valmis. Sellega kavatseme teile hüvasti jätta, inimesed. Täname teid aega ja tähelepanu eest. Hoolige. Headaega.