У дома Сигурност Съвет на айсберга: защо gdpr е само началото

Съвет на айсберга: защо gdpr е само началото

Anonim

От служители на Techopedia, 6 декември 2017 г.

Отнемане: Домакинът Ерик Кавана обсъжда предстоящия Общ регламент за защита на данните на ЕС и ефектите, които ще има върху индустрията. Присъединяват се към него Уилям Макнайт от консултантската група McKnight и Ким Брушабер от IDERA.

В момента не сте влезли. Моля, влезте или се регистрирайте, за да видите видеото.

Ерик Кавана: Добре, госпожи и господа, привет и добре дошли отново. Сряда е в 4 часа източно време, което означава, че отново е време - един от последните пъти през 2017 г. - за горещи технологии. Да, наистина се казвам Ерик Кавана - ще бъда ваш модератор на днешното събитие. Говорим за тема, която е най-малко достигаща. В момента не изглежда така - концепцията за GDPR, глобалния регламент за защита на данните. Нека да продължим и да се потопим точно в това, не става въпрос за твоя наистина, достатъчно за мен. Тази година е гореща, наистина беше гореща по много различни начини, но предстоящите регламенти от GDPR и от други организации, честно казано, ни принуждават да преосмислим какво се случва в света на бизнеса, по-конкретно в резултат на това, или тъй като се отнася до данните. Ще се чуем с Ким Брушабер от IDERA, както и от Уилям Макнайт от McKnight Consulting Group.

Само няколко бързи думи по темата, хора. GDPR основно казва, че организациите трябва да имат политика за поверителност и първо за сигурност по отношение на данните и наистина, става въпрос за някои от нещата, които може би сте чували - цялото право да бъдете забравени, например, е частично и частично целия този момент и това е много интересни неща. Това със сигурност е валидно по отношение на принципите и етиката му. По отношение на реалното изпълнение обаче това е доста сериозно предизвикателство. Правото да бъдете забравени казва, че ако искате някои организации да нямат вашите данни, вашите лично чувствителни данни, те трябва да се отърват от тях. Е, можете просто да си представите кога някои от тези наистина разнородни среди за данни, колко трудно ще бъде това. Да можеш да достигнеш до всяко място, където данните ти са постоянни и да ги извадиш, просто няма да се случи, е долният ред. Независимо от това, организациите трябва да имат политики, за да могат да се справят с тези проблеми, и това е, което съм сигурен, че регулаторите ще търсят.

Това е голяма работа. Не само организацията трябва да премахне вашите данни, ако казвате така, но ако е обучила алгоритми за тези данни, технически трябва да преквалифицират и алгоритмите. Това е висок ред, трябва да ви кажа, но идва, слиза от щуката, това ще бъде реалност през май следващата година и има и други разпоредби. Канада има антиспам, който е приела, това е въздействие върху начина, по който се справяме с личната информация. Сега неутралитетът на мрежата слиза надолу по щуката, разбира се, че е изкоренен по същество и това ще промени някои неща. Има много от тези много сериозни регулации, които засягат бизнеса в целия свят и по целия свят, че големите организации наистина трябва да започнат да мислят и да се подготвят за тях.

За целта имаме онлайн Уилям Макнайт от McKnight Consulting Group, за да ни уведоми какво мисли и защо GDPR всъщност е само върхът на айсберга. С това, Уилям, ще ти го предам. Отнеси го.

Уилям Макнайт: Благодаря, Ерик, и както казваш, както казва слайдът, този GDPR е може би върхът на айсберга - това със сигурност смятаме. Важно е да се потопим в GDPR в дълбочина, защото смятам, че представлява вълна от регулация, която се спуска по тръбата, с която трябва да се справим. За щастие, Ерик, има някои разумни стандарти около това право да бъдеш забравен, до което ще стигна. Но въпреки това, в разходката ми тази година, която говори за GDPR, мисля, че има много фирми, особено американски фирми, които все още не са подготвени за това. Определено е горещо и нещо, за което определено не сме мислили преди една година, когато те просто опитваха балонирането на някои неща, но сега това е регламент и ние трябва да се справим с това, както казахте, Ерик, май ще дойде правилно тук горе - така че изобщо не е толкова далеч.

Малко за мен, аз ще стигна до това от гледна точка на данните. За да ви информирам, аз съм човек с данни през целия живот и се консултирам вече 19 години в пространството на данни, а GDPR е много за данните. Тук ще представя решение на въпроса, докато вляза в моята презентация около управлението на данните. Явно съм правил много програми за управление на данни и мисля, че ако се приведете в съответствие с тази концепция, правите някакво управление на данните, много компании навън ще бъдат доста далеч по пътя всъщност към спазването на GDPR, но ще има много, и най-откровено, които изостават в управлението и следователно доста изостават в подготовката си за GDPR. Нека да се настроим тук и да разберем за какво става въпрос за GDPR и докато навлезем по-задълбочено в разговора, ще навлезем в повече от последствията от GDPR върху бизнес живота, когато напредваме в новата година и след това.

GDPR е за поверителност на данните на гражданите на Европейския съюз. Това е регламент - означава, че има зъби, означава, че е приложим. Това не е нещо, което се излага там като предложение - това вече се е случило и сега е оформено в регламент с наказания. Обичам да започвам с наказанията, защото това наистина привлича вниманието на хората. Това са твърди наказания. Има две санкции, има 2 процента от световните годишни приходи или 10 милиона евро, ако бизнесът не спазва задълженията за сигурност, но всичко останало, в нарушение на други разпоредби - и аз ще вляза в тях - това е 4 процента. Чувате, че е обвързан около - 4 процента. И между другото, това е 4 процента или 10 милиона евро, което от двете е по-голямо. Това е много твърдо. Хората са много сериозни за това. Прилагайте началото на 25 май 2018 г. - това е ключова дата, това е когато одитите могат да започнат, тогава можете да получите глобата си. Определено искате да сте готови за това. Всяка компания, с която се занимавам, имам работа с много компании от Global 2000, те са някъде в подготовката им за GDPR, някои повече от други и някои в този момент трябва да бъдат повече от други. Със сигурност ще бъде предизвикателство да срещнем тази дата за някои и ще видим.

Това е най-задълбоченият режим на спазване на личните данни, който сме виждали до момента. Когато ще видим нещо по-твърдо или нещо, което засяга може би американското население по-пряко, кой знае, но е там и определено трябва да се спазва. Изисква организациите да разберат какъв гражданин на PE - ние сме запознати с правото на PII - лично идентифицираща информация, социално осигуряване, телефонен номер, адрес, нещата, които могат еднозначно да идентифицират човек или доста сравнително идентифицират човек. Какво имат и как го използват. Това означава инвентаризация. Това означава регулиране във вашите собствени компании около този вид данни. Между другото, САЩ няма никакъв вид национален закон за защита на данните. САЩ винаги са били - ще кажа отзад, за да го кажа в перспектива - зад Европа по отношение на този вид регулиране и това продължава. Това продължава с GDPR, това е доста очевидно. Някои от вас може да знаят за щита за поверителност, може би се чудите за това. В GDPR има около три или четири разпоредби, които се припокриват с щит за поверителност, но има сто разпоредби в GDPR, така че това е много повече от това и, разбира се, все още съществува и това е свързано с обмена на данни от САЩ и ЕС. само, въпреки че това е важно.

Отново обичам да започвам с числа. Чухте за глобите, какво ще кажете как се подготвяте за това. Бюджетирането на GDPR и извършването на някои от това, това зависи от няколко фактора. Количеството данни за PII, които събирате за граждани на ЕС. Ако не съберете никой, ОК, вероятно сте съгласни и не е нужно да се справяте с това, но вероятно сте на този разговор, защото събирате някъде. Размерът на вашата компания и зрелостта на управлението на вашите данни, което, както вече казах, може да се доближава до това, което трябва да направите, за да отговорите на GDPR. Можете да очаквате до няколко милиона щатски долара или евро, според случая, за съответствие. Ние обаче искаме, не искаме просто да се съобразяваме с GDPR, за да поставим отметка в това поле, разбира се, че трябва да направим това. Да се ​​надяваме, че не сте в онази ужасна ситуация, в която просто се отчайвате да проверите това поле. Търсете ползи за бизнеса, защото много от нещата, които правите, за да подкрепите GDPR, са полезни за вашия бизнес. Управлението на данните е добро за вашия бизнес. Що се отнася до количеството данни за PII, някои от тях са по-важни от други, някои ще бъдат разгледани повече от други, като здравето, свързано с данните, ще се регулира много по-строго в рамките на GDPR, отколкото други видове данни и ще изисква съответствие с допълнителни задължения, като например извършване на оценка на въздействието върху защитата на данните, което очевидно добавя към вашия бюджет.

Малко там за бюджета. В случай, че сте във Великобритания или САЩ и се чудите как това се отразява на вас - GDPR влияе на Великобритания, която все още е в ЕС, между другото, до 29 март 2019 г. и чието правителство посочи, че нещо като GDPR ще продължи след тази дата, защото „Това е добра идея.“ Обединените компании от Великобритания трябва да се съобразят с нея. Данните за гражданите на Обединеното кралство със сигурност са на масата за това. В случай, че не е ясно, има американски предприятия, ако се занимавате с ЕС с данни за граждани на ЕС, това със сигурност се отнася за вас. Това има последствия за архитектурата на вашите данни, защото може да се наложи да стените на вашите данни от ЕС от всичко останало и да ги третирате по различен начин. Това засяга аналитиката, както казваше Ерик, как съставяте тези анализи и т.н. Може да е по-трудно сега да се предприемат каквито и да било идеи за цялата концепция в глобален мащаб. Те могат да станат по-локализирани в резултат на GDPR.

Какво има в разпоредбите? Има стандарти за защита на данните. Всички тези, освен диктуват криптиране на данни в покой и в движение. След това ще говоря за криптирането. Има стандарти за уведомяване за нарушаване на данните. Няма повече от това чакане с месеци, чакайки квартали, за да уведомят всички. Мисля, че онзи ден имаше голям и открихме: „О, това се случи преди година.“ Нищо от това с GDPR - имате 72 часа. Това е политика за име и срам. Дано никой не стигне до това, очевидно някои хора ще го направят. Нарушенията ще продължат, дори след GDPR, разбира се. Има процеси за наблюдение на местоположението и качеството на данните. Звучи ли ви познато? Това наистина е сърцето на управлението на данните. Надяваме се, че имате някои от тези, които ще отидат.

Гражданите на ЕС имат право да бъдат забравени, както спомена Ерик. Има някои стандарти за разумност, Ерик. Не е необходимо да заличавате всичко задължително, ако може да се наложи да се свържете отново с този клиент, с този служител, имате право да съхранявате някои аспекти на техните лични данни. Но, въпреки това, тези граждани имат право да бъдат забравени, но не може да има непропорционални усилия - това е езикът - върху вас или да навредите на компанията, а вие трябва да заличите тези данни. Не искам да го омаловажавам, но вие също трябва да освободите копия от лични данни, които се съхраняват и можете да ги получите само при съгласие. Това съгласие трябва да бъде дадено от хора, които са на минимална възраст, за да дадат такова разрешение. Това е голяма уста, но това дава на гражданите много права върху техните данни. Това е преносимост точно там, в случай че някога се появи. Правото да бъдем забравени, ясно, но също така - и нещо, което не е в моя слайд, което е доста важно - дали субектът на данни има право да не подлежи на решение, основано единствено на автоматизирана обработка. Към какво се движим трудно? Автоматизирана обработка, около приемането на заем, какви оферти ще дадем, всичко това трябва да се изработи от гледна точка на това как ще се развие това и докъде ще стигне това. Това, което по същество казва, е прозрачността около това, защо ме отхвърлиха, защо се лекуват по определен начин от тази компания. Това е право, което се предоставя на гражданин на ЕС.

Очевидно има някои последствия за това как правим бизнес и да се надяваме, че виждате, че GDPR не е проблем в ИТ, а не само в ИТ. Всички тези бизнес процеси са включени. В него ще участват хора от цялата компания. Назначаването на служител по защита на данните се препоръчва за тези компании с повече от 250 служители и имате „критична математика с данните от ЕС PII.“ Можете да решите сами дали имате тази критична математика, понякога това е очевидно, понякога не е така. Но има нова роля - не трябва да бъде роля на пълен работен ден, човекът може да има други отговорности, но не знам - в някои средни и по-големи корпорации, почти мисля, че придържането към GDPR ще бъде близо до роля на пълен работен ден. Бих казал, че започнете по този начин и вижте дали можете да се справите. Особено през следващата година, след като събирате акт около GDPR, след като бъде уреден, може би можете да забавите работата по това, но това ще отнеме на някои компании доста време. Позволете на хората да виждат собствените си данни и преносимост на данните, както споменах преди.

Между другото, това не е ново, но правото да бъдем забравени всъщност е имало, вярвате или не. Настоящите правила на ЕС вече предвиждат право на лични данни да бъдат изтрити или да не бъдат достъпни. Въпреки това, сега тя е част от GDPR, тя ще бъде наложена много по-широко. Шифроване на данни - криптирайте данните си в покой. Използвайте стандартни методи за криптиране, не използвайте собствено домашно или нестандартно криптиране. AES е този, който препоръчваме доста. Използвайте криптографски защитени ключове за криптиране. Периодично променяйте тези клавиши. Също така предотвратявайте загубата на тези ключове. Това са само добри практики за криптиране, но сега те излизат на преден план с GDPR. В това се крие проблемът - ударих само върха на айсберга. Очевидно има повече разпоредби, които трябва да разгледаме, но тези са основните.

Сега, решение. Управление на данните, рамката на вашето съответствие, поне това е гледната точка, която представям тук. За щастие, има една активна дисциплина с добри обувки, която може и прави, когато е зряла, да отговори на повечето от изискванията и това е управление на данните - очевидно го казвам. Програмите за управление трябва да имат речник за данни и тук аз използвам речник на данни в общ смисъл, за да означавам документация от цялата страна за вашите процеси. Това е основополагащо, за да се обслужват нуждите на запасите от GDPR, което, както видяхме, е доста огромно. Програмата, програмата за управление, трябва да улесни протоколите за защита на данните - и подчертавам, че тъй като това не е нещо, което много програми за управление на данни правят в момента, но мисля, че е логично място това да се направи, защото те седейки на програмата, която определя кои са собствениците на бизнес? Кой трябва да го види? И тогава следващата стъпка е да се предоставят тези разрешения. Това трябва да бъде централизирано, което трябва да бъде формализирано. Трябва да има вътрешни политики, които се използват. На всички елементи трябва да бъде възложено ръководството, за да осигури принос към всичко по-горе. Управлението на данните също може да бъде фасилитаторът на проектирането на бизнес процесите, което ще бъде необходимо.

Преди да напусна този слайд, като избягват избягването на огромните глоби, компаниите ще възприемат стабилни бизнес практики като страничен продукт. Обичам да казвам, че това е повече от страничен продукт, но всъщност е просто добър, здрав бизнес, който може да ви отведе на нови места от бизнес гледна точка. Със сигурност ще постигнете голяма ефективност за извършване на всички инициативи в цялата област, ако имате добро управление на данните, това виждам през годините. С добавянето на някои от тези неща, които споменавам, към управлението на данните, те само ще станат по-добри. Във вашия инженеринг на бизнес процеси препоръчваме да задавате тези въпроси навсякъде, да ударите всяка бизнес област. Какви данни събираме за нашите клиенти от ЕС? Няма да ги прочета всички. Някои от ключовите тук. Кой има нужда да вижда тези данни и това ли се спазва? Кой е управител на данните за тези данни? Кой е моят човек в бизнеса? Това е голямо: Споделяме ли тези данни с трети страни? Само защото го раздавате на трета страна, не оправдава отговорността си около тези данни - това все още са вашите данни, това са все още данните, които сте събрали. Сега има много договори на трети страни, които се преглеждат подробно в резултат на GDPR. Тези системи имат ли детерминирани повреди? Значение, когато те се провалят, те се провалят в път, който предварително сме определили, или просто са се провалили, катастрофирали, изгарят и ние започваме от нулата да копаем по него? Очевидно ще е много по-добре. Това вече е добра практика, но очевидно е много по-добре за обратната инженерия на някои от тези неща, ако имате големи детерминистични повреди във вашата система.

Задържане на данни, говорим за запазване на данни завинаги. Много компании имат политики, но не всички ги следват. Очевидно е, че знаменито в здравеопазването и финансовата сфера, ние искаме да съхраняваме данни, трябва да съхраняваме данни за определен брой години. Някои от анализаторите в тези фирми, които съхраняват данни за седемте години или какво ли още не, казват: „О, след този период все още искам тези данни.“ Някои от юристите в тези компании казват: „Но ние трябва да се отървем от тях за целите на отговорността “и т.н. Това не може просто да седи там, тъй като проблем с GDPR вече е проблем. Трябва да имаме период на задържане, последователно ли да го следва в рамките на организацията.

И накрая, как се мобилизирате за нарушаване на данните? Тези най-лоши сценарии, които биха могли да ви се случат. Очевидно се опитваме да ги предотвратим, но какво ще стане, ако това се случи? Как да оспорвате войната и да сте сигурни, че сега следвате разпоредбите на GDPR във вашия отговор? Аз съм архитект на данни, мисля за архитектура на данни. Ако сте американска компания с операции в ЕС, което означава данни за граждани на ЕС - вие ги събирате, ще трябва да обмислите дали да приложите стандартите за защита на данните към всички данни или само към данните на ЕС. Да, имам клиенти, които взимат това решение сега. Като добра бизнес практика, те може да искат да го пренесат в САЩ, но може да се чувстват, че имат време, но това извежда куршум номер две. Може да се наложи да стените на данни от ЕС от американските системи, ако не можете да потвърдите, че американските системи ще обработват данните по подходящ начин. Това отделни данни ли прави за целите на анализа? Дали анализите са валидни дори ако се опитвате да ги правите в цялата страна? Понякога да, друг път не, нали? Може да откриете, че анализите ви ще бъдат заглушени в резултат.

Както споменах преди, тук изкуственият интелект играе, защото очевидно можем да използваме AI, за да намерим всички данни, да ни помогне да намерим всички данни, но ако използваме AI в нашите клиентски интерфейси, сега трябва да имаме прозрачност с нашия клиент интерфейси и това никога не е било силен костюм на AI. За да се опитате да кажете на клиента: „Ти беше отхвърлен, защото дрън, дрън, дрън“, когато наистина беше AI. Това сега трябва да се направи. Трябва да разберем как работи ИИ, какви са факторите? Не може просто да седи там и да ти е черна кутия вече. Какво правим сега? Създайте своя съвет за GDPR. Предлагам ви да имате свой старши служител за поверителност там или ако имате служител по защита на данните, очевидно това лице. Ръководителите на управлението на данните, оперативния риск и / или спазването, както се прилага, ръководителят на информационните технологии, CIO, ако това е лицето. Ако имате променен мениджър, това ще бъде страхотен човек там. Просто ръководители на някои от най-важните отдели във вашия бизнес, а също и ръководител на HR, защото обучението за поверителност сега ще бъде огромно. Всички ще получат обучение за поверителност или трябва да получат обучение за поверителност, когато се качват на компания, дори консултанти.

Ако не правите тези неща, които виждате тук, ще трябва да се движите по-бързо, отколкото бихте искали да направите крайния срок. Освен това трябва да започнете да се надявате, че не сте от първите, които ще бъдат одитирани, защото, честно казано, тук има много работа, ако започвате от нулата и имате работа с много данни за гражданите на ЕС. Наемете вашия DPO, опишете вашите данни и вашите процеси. Изградете този план за управление на данните, вземете го от мястото, където е, до мястото, където трябва да бъде. В зависимост от случая, може да искате да го стартирате. Съставете своите политики за поверителност и известия за вашата политика. Политиките за поверителност са вътрешни. Известията за политика излизат външни. Сега виждаме култура, която започва да се създава около известия за политика. Много сравнения бяха направени и много внимателни формулировки бяха направени около тези политически известия. Уредете проверка за съответствие на GDPR за всички системи, включително новите системи. Може да се наложи да ги подредите и да ги направите по някакъв ред по важност, но това е друг начин за справяне с проблема. Погледнете системите и какво трябва да правят и как обработват тези данни.

Какво сигнализира GDPR? За това сме тук, за да поговорим малко повече. Очаквам с нетърпение какво ще каже Ким по този въпрос. GDPR е изместване на контрола за поверителност на данните към регулиране. Това е тенденция към прозрачност, тя казва, че това е правилно в разпоредбите. Създаваме тази култура на известия за поверителност, както говорих, това е нещо сега. Ще ходим на конференции за известия за поверителност и т.н. Преминаването към GDPR е към основните права на хората. Ще бъдат изработени отворени въпроси. Ясно има открити въпроси, оставих няколко на масата тук за нас. Никой няма отговор. Те ще бъдат изработени. Тенденция към по-добро разбиране от страна на хората за техните данни и как се използват. Мисля, че това повиши осведомеността сред населението на ЕС по отношение на важността на техните данни и виждането на това като един от техните лични активи, че трябва да управляват повече. Това са някои от ранните сигнали, които съм виждал, и Ерик, сега ще ти го върна.

Ерик Кавана: Добре, позволете ми да предам ключовете на Ким, която може да сподели част от нейната гледна точка, но мисля, че това беше добър преглед, Уилям, и ти се удари по ключовите моменти - а именно, че това слизане на щука със сигурност и трябва да бъдем много внимателни, честно казано. С това, нека да предам ключовете на Ким и можете да споделите екрана си и да го вземете от там.

Ким Брушабер: Хей, чуваш ли ме?

Ерик Кавана: Мога да те чуя.

Ким Брушабер: Страхотно. Уилям обхвана някои от същите неща, които ще покрия, но мисля, че отново си струва да се покрият, защото наистина са важни. Смятам, че когато бъдат приети нови разпоредби, наистина е добре да получите много перспектива и интерпретация на различни хора, така че нещо да разпали ума ви и да ви позволи да станете още по-съобразени. Окуражен съм от всички хора, които участват в този разговор, които искат да знаят повече, защото мисля, че елате на 25 май, може да има много паника за компаниите, които са преследвани след това, като не се съобразяват.

Казвам се Ким Брушабер, аз съм старши продуктов мениджър в IDERA. Под себе си имам няколко продукта, които помагат за спазването на GDPR, както и други разпоредби. Ще скоча в част от информацията. Ще започна с някои факти и някои цифри и след това ще се спра на малко за GDPR и след това конкретно как нашите инструменти могат да ви помогнат. Един факт е, че над 5 милиона записа на данни се губят или открадват всеки ден. Не чуваме това съобщение в новините, не чуваме това да идва от други места, но има над 5 милиона записа на данни, които са откраднати през цялото време, точно под нас. Средният брой дни, през които нападателите остават в състояние на сън в мрежата ви, е 200 дни. Много системи вече са инфилтрирани от хора, които - със злонамерени намерения - които само чакат възможността да извлекат печалба от вашата информация, най-вече в рамките на сигурността и сертификатите, но те само чакат момента, в който ще се хвърли. Ето защо става все по-важно да се справяте със сигурността на вашите данни. Средната цена на едно нарушение на данните през 2020 г. се очаква да надхвърли 150 милиона долара, тъй като повече бизнес инфраструктура се свързва с онлайн ресурси и тъй като повече неща се покачват в облака. Това е добър номер на бюджета, ако наистина сте загрижени за сигурността на данните, да ги дадете на изпълнителния си екип, да им кажете, че това е сериозен въпрос и може да ни струва много пари напред.

Ще прегледам накратко нарушаването на данните на Equifax, защото смятам, че това беше най-голямото нарушение на данните за 2017 г., за да изчертая картината на това какво е да преминеш през това. Нарушението засегна 145, 5 милиона клиенти. Служителите признаха проблема със сигурността със своето уеб приложение два месеца преди нарушението да е станало. Служителите казваха: „Това е проблем.“ И дори малко преди това, когато пластирът всъщност излезе. Той отне цял ден, след като се случи нарушението, за да се отговори на него и да се премахне уеб приложението офлайн. Тъй като Equifax нямаше определен протокол за защита на данните, им беше необходимо значително време, за да разберат какво се случва и след това да могат да отнемат системата офлайн. Шест седмици след нарушението обществеността беше сигнализирана. С GDPR - както казахме по-горе и ще го кажа отново - трябва да докладвате в рамките на 72 часа, а Equifax щеше да им бъде вързани ръцете и да не може да изпълни това спазване, тъй като чакаха шест седмици да го докладват. Съобщението за отговор на нарушението включваше уебсайт, който дори не беше собственост на Equifax. Самите Equifax ретуираха този туит, който дори не беше в тяхната област - бяха обърнали някои от думите наоколо. За щастие не беше злонамерен сайт, който се възползваше от това, но очевидно не бяха подготвени. Те не разполагаха с план и това стана много наясно на публичната арена. Equifax не е сам - досега има над 25 много високи атаки на киберпрофили и все още бихме могли да намерим повече преди края на годината. Компаниите наистина трябва да започнат да се отнасят сериозно към това, защото хората са там и ако им дадете причина да искат да дойдат при вас, по-добре да сте готови да можете да се справите.

Някои други факти и данни по отношение на това как хората гледат на сигурността на данните. До 2020 г. ще има 30 милиарда устройства, свързани с интернет чрез нашите домове, чрез нашите носими, чрез телефони, таблети и кой знае какво още може да дойде в следващите години. Има много и много устройства, които са оставени уязвими за тези атаки. Четиридесет и девет процента от американците смятат, че личната им информация е по-малко защитена, отколкото преди пет години. Седемдесет и три процента от потребителите в Америка искат компаниите да бъдат прозрачни по отношение на личните си данни. Седемдесет и осем процента от хората твърдят, че са запознати с рисковете при щракване върху неизвестни връзки и имейли, но така или иначе те кликват върху тези връзки - това е над три четвърти от нашето население и все още кликват върху връзките, въпреки че знайте, че може да е проблем. Осемдесет и шест процента от интернет потребителите активно се опитват да минимизират, анонимизират и скрият видимостта на своите цифрови отпечатъци. Мащеха ми обича да излиза и да създава фалшиви имена, когато попълва формуляри, защото смята, че това го прави анонимен, но малко знае, че IP адресът му също се проследява. Има много индивидуални притеснения и това е, което поражда много от разпоредбите на GDPR и вероятно допълнителни разпоредби, които ще следват.

Що се отнася до индустрията за сигурност на данните, 90 процента от данните за нарушения на данните през 2016 г. идват от правителството, търговията на дребно и технологиите. Четиридесет и три процента от кибератаки нападнаха малки предприятия. Ако си мислите: „О, аз не съм голям човек, те няма да идват след мен“, все още има почти половината от тях, които следват малки фирми. През миналата година седемдесет и пет процента от индустрията на здравеопазването са били заразени от злонамерен софтуер. Седемдесет процента от американските нефтени и газови компании бяха хакнати през последната година. Това е значително количество въздействие върху различни индустрии, които са в експлоатация и този брой ще нараства само оттук.

Когато го погледнете от гледна точка на изпълнителната власт, 90 процента от CIO признават, че губят милиони долари за недостатъчна киберсигурност. Деветдесет процента също казват, че са били нападнати или очакват да бъдат нападнати от момчета, криещи се в криптирането си. Осемдесет и седем процента смятат, че контролът им за сигурност не успява да защити бизнеса си. Осемдесет и пет процента от CIO очакват престъпните злоупотреби с техните ключове и сертификати да се влошат. Това е огромен брой компании, които разглеждат този проблем със сигурността на данните и реалността е, че много от тях нямат много добри решения, за да могат дори да се справят с него, когато се случи, въпреки че вярват, че ще се случи.

Когато разглеждаме готовността за това, през 2014 г. 70 процента от хилядолетията признаха, че са внесли външни приложения в своето предприятие в нарушение на ИТ политиките. Седемдесет процента признаха за това - вероятно дори по-голям брой от това, това всъщност го направи. Петдесет и два процента от организациите, които са претърпели успешни кибератаки през 2016 г., не са направили никакви промени в сигурността си през 2017 г. Въпреки че са били нападнати веднъж, те все още не са отишли ​​и са нахвърлили стените - те са също толкова уязвими, колкото и са били преди атаката. Това наистина поставя въпроса, какво трябва да започнат да правят компаниите, за да се подготвят за тези неща? Тридесет и осем процента от глобалните организации твърдят, че са готови да се справят със сложна кибератака. Това е добре - почти половината са там и аз съм щедър с това, ние наистина сме едва в една трета, но все още има поне половината, които казват: „Не съм готов. Ако ме нападнат, не съм готов и хакерите го знаят. ”Тридесет и осем процента от организациите имат план за реагиране на кибер инциденти. Повечето компании са в същата група като Equifax, където не знаят какво ще правят. Ако постигнат това, те ще трябва да реагират и да измислят тези неща в движение, а регламенти като GDPR казват: „Трябва да разполагате с тях. Трябва да ги публикувате. Трябва да го докажете на одиторите по сигурността. ”Надяваме се, че с такива въздействия, при подобни разпоредби, ние ще успеем да изпреварим тази крива и вместо да бъдем реакционни, можем да бъдем активни в нашите занимания.

Нека поговорим малко за GDPR. Част от този Уилям вече е обхванал, но аз ще продължа да го прикривам отново, само от моя поглед, от моя глас, от моята гледна точка. Много компании, с които говоря, казват: „Аз съм в САЩ, защо изобщо да се интересувам от този регламент на ЕС?“ Фактът, че повече хора не бръмчат и повече хора не говорят за това, те смятат, че са засегнати само членове на ЕС, но бих ви помолил, ако погледнете този списък, събирате ли някоя от тези данни от членове на ЕС? Ако въобще съберете някоя от тази информация, вие сте обект на границите на GDPR, както и на санкциите за неспазване. Ще ви дам секунда, за да усвоите това и да го разберете. Както Уилям спомена по-рано, това са санкциите и санкциите, посочени в член 83 от GDPR. В началото може да получите шамар по ръката, като малко предупреждение казва: „Хей, съберете си акт. Поставете това на мястото си. ”Но ако имате наистина голямо нарушение - и в зависимост от това колко голяма сделка е - те ще се върнат при вас за реституция и това е значителен брой. Не 10 милиона, а 20 милиона евро или 4 процента от оборота / приходите ви от предходната година. Това са много пари. Това е много бюджет, за да отидете на вашите изпълнителни екипи и да кажете: „Това е нещо, което трябва да започнем да приемаме сериозно и трябва да предприемем действия.“

Нека да разгледам малко принципите на GDPR, както са посочени в член 5. Едно от нещата, които те казват е, че личните данни трябва да се обработват законно, справедливо и прозрачно. Това означава, че обществеността иска да знае какво правите с техните данни. Бъдете прозрачни за това и трябва да бъде публикуван. Повечето хора не четат общи условия, но това е нова информация, която трябва да можете да комуникирате, за да можете да им кажете: „Вашите данни се обработват по подходящ начин.“ Личните данни трябва да се събират за определено, изрични и законни цели. Това означава, че се надяваме, че можем да се отървем от част от този спам, където компаниите казват, че събират информация за тест, който ви казва колко интересни може да сте, а в действителност те вземат вашите данни и ги продават обратно на някой друг, да могат да се използват за каквито и да са техните цели. Сега компаниите трябва да бъдат много по-отговорни и да кажат точно за какво използват вашата информация. Те също така казват, че личните данни трябва да бъдат адекватни, уместни и ограничени до необходимото. Много компании обичат да вземат цялата си информация и да я поставят в голям пул с данни и след това те разберат какво искат да правят с информацията по-късно и събират много повече, отколкото може да е необходимо. Това означава, че не можете да го съберете и да го използвате някъде другаде. Освен това не можете просто да съберете всичко и се надявате, че по-късно ще ви бъде полезно. Трябва да сте много изрични в това, защо събирате информацията и тя трябва да има отношение към данните, които събирате.

Личните данни също трябва да бъдат точни и актуализирани. Трябва да дадете на потребителите начини да актуализират своите данни, след като сте ги събрали върху тях; те трябва да могат да се върнат назад и да кажат: „Знаеш ли, аз имах това мнение при някакво проучване, което ме попита за лично идентифицираща се информация и искам да се върна назад и искам да го променя и актуализирам сега.“ И вие имате да им даде начин да могат да направят това. Личните данни трябва да се съхраняват във форма, която позволява идентифициране на субектите на данни не повече от необходимото. Обратно към мнението на Уилям, че не можете да събирате тази информация завинаги - трябва да измислите това, което смятате за валидно и необходимо и след това трябва да изтриете данните. Той също трябва да бъде обработен по начин, който осигурява подходяща сигурност, включително защита срещу неразрешена или незаконна обработка, случайна загуба, унищожаване или повреда.

Както казах преди, време е да се заемете сериозно с това, като спрете тези нарушения на данните, защото не само може да имате вреда, която идва във вашата компания под формата на нарушения на данните и загубата на приходи и разходите за съкращаване на вашите процеси, но може също така да имате купчина глоби, наложени върху вас от GDPR. Време е наистина да започнете да се занимавате много сериозно с това и мисля, че с влизането в сила на GDPR компаниите ще бъдат изправени пред тежката реалност и за щастие онези от вас, които са на повикване днес, могат да започнат да мислят за това и да знаят как ще поставите тези неща в действие.

GDPR също говори много за това какви са правата на хората; наистина се грижи за отделните потребители. Първото нещо е правото на достъп до личните ви данни. Потребителите трябва да знаят каква информация сте събрали върху тях, доколкото е идентифицирана лично, и трябва да им дадете начин да имат достъп до нея. Има и право на коригиране, което е фантастичен начин да се каже: „Трябва да мога да коригирам информацията, която имате за мен.“ Правото на изтриване - което отново, много хора изразяват като право на бъдете забравени - ако човек каже: „Знаеш ли какво, аз вече не искам да знаеш, че съм супер забавен човек, който събира комикси, трябва да се отървеш от това. Имам приятели, които ме дразнят и напълно ме заличават от списъка ви, “трябва да можете да го направите. Има също така правото на ограничаване на обработката и това означава, че потребителите могат да ограничат начина, по който се обработва тяхната информация. Те могат да кажат: „Нямам нищо против да вземете моята информация, защото купувам нова кола, но не използвайте тази информация, за да ми изпращате имейли и да ме спамвате за нови сделки всеки път, когато новите коли бъдат пуснати.“ правото на преносимост на данните, което означава, че потребителите трябва да могат да получат копие на своите данни и да могат да го заведат на друго място. Много организации събират информация и тази информация има коефициент на лепкавост и сега хората могат да кажат: „Знаеш ли какво, искам да вземеш цялата ми информация и сега искам да я дадеш на своя конкурент, така че мога да я преместя над."

Има много неща, които трябва да се обмислят от бъдещата организация за това как ще можете да направите това и каква информация искате да можете да събирате и изпращате. Има и право на възражение и потребителите могат да възразят и срещу обработката на своите данни. Правото да не бъдете подлагани на решение, основано единствено на автоматична обработка или профилиране. Това оказва значително влияние върху B2B маркетинга - ако седите там и се опитвате да A / B тествате и се опитвате да идентифицирате дали Колорадо ще бъде по-повлияно от съобщение от Калифорния, добре че току-що сте направили профилиране, като погледнете едно държава срещу друга и трябва да погледнете как индивидът трябва да може да се откаже от това.

Като имаме предвид, че имаме някои страшни неща, които стигат до нарушаване на данните и как хората гледат на данните си и имаме този огромен регламент, който се хвърля върху раменете ни, сега съм тук, за да ви дам решението за това как IDERA може да помогне. Член 15 говори за това как да се контролира излагането на лични данни. Трябва да знаете кой има достъп до вашите данни. Как го използват. Колко данни са обработени и мениджърът за съответствие на SQL продукти, за който съм продуктов мениджър, ви позволява да видите кой има достъп до вашите данни и как. SQL Compliance Manger е за решения на SQL Server. Ако имате база данни на SQL Server, можете да свържете този продукт, за да можете да извършите одит и да разгледате тази информация, така че да сте в съответствие с GDPR и да знаете как точно се използва. Можете също да видите нарушения на данните, преди да се случат, и ще говоря за това в друг слайд. Има и статия, която гласи: „Имам нужда от запис на обработващи дейности. Трябва да вляза в системата и трябва да наблюдавам операциите и трябва да знам кой обработва лични данни и кой има достъп до тези системи. “SQL Compliance Manager поддържа одит на сървъри и бази данни, включително сигурност, DDL, DML, както и определяне на чувствителни данни, SQL Compliance Manager ви позволява да одитирате достъп до сигурност и да регистрирате опит, така че можете да видите кой има достъп до информация, както и кой влиза, дали е привилегирован потребител, дали е известен потребител или може да е злонамерен потребител.

Член 33 говори за уведомяване за нарушение на личните данни на орган на надзора. Трябва да можете да откриете тези нарушения; трябва да имате записи, за да можете да оцените въздействието; трябва да знаете колко бързо ще го поправите. За да направите това, SQL Compliance Manger ви позволява да настроите сигнали във вашите бази данни, за да видите кой има достъп до вашите чувствителни данни, когато са получили достъп до него, до какво са имали достъп. Той също така ви позволява да изключите нормалните си привилегировани потребители от вашия одит. Ако имате системен администратор или мрежов администратор, за който знаете, че ще имат достъп до него и не искате да запушите отчетите си, можете да ги изключите и да кажете: „Дайте ми всичко, което се случва извън тази информация.“ можете бързо да идентифицирате дали някой злонамерено осъществява достъп до вашите данни и можете да получавате сигнали, които са на мястото си, които ви уведомяват в момента, в който започва да се случва, и след това в момента, в който се осъществява достъп до информацията, за да можете да я разбиете, за да можете не е нужно да чакате цял ден, за да разберете какво се случва, както направи Equifax.

Има и статия, която говори за защита на данните и оценка на въздействието. Това е оценка на вашите рискове и разбиране какви са те, както и демонстриране и документиране на съответствието ви с GDPR. SQL Compliance Manager ви позволява да отчитате елементи, които се наблюдават. Само за да отида накратко, одитът на вашите данни с SQL Compliance Manager, SQL Compliance Manager ви позволява да откриете неуспешни влизания - което е потенциален признак на нарушение - следете административните дейности и промените в сигурността, предупреждавайте ви за модификациите на базата данни, одита колони, които определяте като чувствителна информация, идентифицирайте привилегировани потребители и проследявайте тяхната активност отделно от другите потребители във вашата система, докладвайте, че информацията се одитира в съответствие с няколко регулаторни указания. Ние не само покриваме GDPR, но покриваме HIPAA, PCI, FERPA, SOX, всички регулаторни указания, когато те стигнат до одит на вашата информация и разбиране на това, което е достъпно, ние имаме тези регулаторни указания.

В IDERA имаме и допълнителни продукти за подготовка за GDPR. Освен самото одитиране, което прави SQL Compliance Manager, имаме ER / Studio Enterprise Team Edition, което може да ви помогне да документирате вашите процеси на данни и да включите стандарти за данни във вашия модел на данни, можете да създадете речници за данни, за които Уилям говори в предишен слайд, Както заявих тук с тази презентация, SQL Compliance Manager може да ви помогне да одитирате информацията си, за да сте сигурни, че грешните хора нямат достъп до вашите данни, както и да докажат това на одиторите. SQL Safe Backup може да ви помогне да шифровате вашите данни и вашите архиви. Шифроването е съществена част от GDPR, която не покрих много подробно, защото исках да се съсредоточа много върху активите на Compliance Manager, но SQL Safe Backup прави много от криптирането за вас, така че вашите данни да останат безопасни. SQL Inventory Manager може да гарантира, че сървърите са кръпка и актуални, така че не се окажете в случай като Equifax, където те имаха остарял патч, който им даде голяма дупка в сигурността, която хората можеха да използвайте злонамерено. SQL Secure може да проверява стандартите за поверителност и криптиране.

За повече подробности на уебсайта на общността IDERA, под нашия блог, съм публикувал подготовка за GDPR, както и с поглед към 2018 г. и разбиране на това, какво ще има въздействието на GDPR и има също така, със сигурност можете да изтеглите пробно копие на SQL Compliance Manager в IDERA, както и всички други продукти, които току-що споменах в слайда.

В този момент аз ще продължа напред и ще предам презентацията на Ерик, за да можем да зададем някои въпроси.

Ерик Кавана: Добре, добре. Докоснахте се до много наистина интересни неща там, Ким, едно от които - мисля, че това е нещо просто, но е доста умно - говорихте за откриването на неуспешни влизания. Струва ми се, че това е доста добър знак, че някой не е наред нали?

Ким Брушабер: Абсолютно. Ако видите някой, който се опитва да влезе и да разбие паролата ви, това е много бърз начин да можете да кажете, че някой не прави това, което трябва да бъде. Може би няколко пъти можете да въведете паролата си неправилно, но ако видите, че 30 от тях преминават, това е лош знак.

Ерик Кавана: Да. Те са ключови тук, за да настроите вашите сигнали в подходящия контекст. Какво друго можете да ни кажете как да управлявате процеса на настройка на сигнали и деактивиране на онези, които не правят това, което трябва да правят и каква част от тези неща могат да бъдат автоматизирани?

Ким Брушабер: Мениджърът за съответствие има много конфигурируеми сигнали, както и доклади, които можете да прегледате. Преминаваме вашите SQL следи и имаме това автоматично проследяване и имаме много от него, което вече е предварително настроено и предварително дефинирано, но със сигурност има значително количество персонализиране, което можете да направите и вие.

Ерик Кавана: Уилям, ще те въведа в това - струва ми се, че това е една от областите, в които ще видим машинно обучение, за да влезем в игра през следващите две до десет години или така, разглежда всички различни възможности. Разглеждайки всички различни начини, по които една система може да оптимизира своята ефективност, тя е ефективност при проблеми като нарушения и т.н. Това ли е и вашето мнение?

Уилям Макнайт: Да, абсолютно. Мисля, че сега изграждаме системи, които се ремонтират. Мониторингът 24 на 7 започва да се изплъзва и да се превърне в минало, въпреки че все още се нуждаем от подобен път. Мисля, че системите до голяма степен се вграждат и измислят какво не е наред. Трябва ли да разпределим повече място тук или какво имате? Да, мисля, че това определено е част от нашето бъдеще. Всичко там, което може да бъде нанесено на някои стъпки на действие, да се предприеме в отговор на нещо, определено е уязвимо за изкуствения интелект.

Ерик Кавана: Това е добър момент. Ще ти задам още един въпрос, Уилям, защото знам, че правиш много изследвания в това пространство. Едно от нещата, които чаках от доста време и не мисля, че все още сме там - мисля, че се приближаваме, точно от това, което съм чел и мисля за него - е ден, в който ще има технология за усвояване на регулаторните проблеми, действителната формулировка на тези неща и това да се съпостави с функционалността и софтуера. Както казвам, все още сме начини за това - не мога да си представя, че няма някой, който работи по това. Попадали ли сте на нещо подобно или все още сме в момент, в който човешките същества трябва да разгледат правилата, наистина да ги изпробват и разбират, да ги кодифицират по машинен код, по същество, и след това да ги върнат към различните им приложения?

Уилям Макнайт: Е, със сигурност разбирам концепцията, която споделяте тук. Не съм запознат с нищо, което се случва към пренавиване в среда, която е свързана с това. Като цяло ще кажа, че очевидно започваме да казваме на машините не какво да правят, а каква е целта на това, което искаме да правим, а машините стават много по-умни за намирането на детайлите. Мисля, че след като получим по-изкуствен интелект в нашите организации, че е напълно възможно нови регулации да бъдат разработени съвместно с ИИ, който е разположен вътре в организациите, така че те да могат да се разгърнат по начина, който описахте в бъдеще. Засега не действаме с това.

Ерик Кавана: Ето въпрос, който ще ви прехвърля, Ким, защото и това е интересно. Говорите за средната латентност или за времето, когато някой, който влезе в системата ви, се скрие и просто чака - брой дни, когато нападателят остана в състояние на сън в мрежа - откриването е 200. Интересно ми е да знам, какви са вашите мисли за това как да подобрите това, на първо място? Но също така, има ли начин да използвате този вид правило за изследване на вашата собствена система? За да проучите собствените си данни, да свършите по-добре работата по опазването на тези хора?

Ким Брушабер: Да, мисля, че очевидно ранното откриване е ключово. Трябва да разберете, че тези злонамерени сайтове имат достъп до вашата информация и да могат да я блокират. Мисля, че в другите слайдове, където показваме, че повечето организации нямат тези политики. Затова седят там. Мисля, че ако всъщност имате политика, за да преминете и да заключите достъпа си и да се уверите, че правилните хора имат достъп. Уверете се, че въртите ключовете си редовно и ги актуализирате. Уверете се, че паролите ви се актуализират редовно и правите такива неща, които изглеждат доста основни. В момента повечето организации дори не правят това и да започнете да поставяте тези части ще ви помогне да излезете отвъд това.

Разбира се, това означава, че хакерите ще получат по-хитър начин, но в момента е лесно, като: „Ще гледам къщите на улицата, в които имам чувството, че искам да пробия, ще имат ли алармата системи? Имат ли малък алармен знак и че човек има кучета? Ще отида при този, който няма алармен знак, няма куче и това е къщата, в която ще разбия. "Е, те ще открият компаниите, които нямат" не разполагате с тези лепенки и те нямат сигурност и не актуализират паролите си и те ще отидат да се мотаят там и да използват кредитната ви карта на бензиностанция няколко пъти, за да сте сигурни не сте го затворили и тогава, когато те могат да повлияят на голяма промяна, обикновено някакво политическо изявление или по друг начин е, когато ги видите да изкачат глава. Получавайки тези правила, мисля, че в този момент можете да предприемете някои доста минимални стъпки, за да можете да изпреварите тази игра.

Ерик Кавана: Това вероятно е най-добрият съвет и винаги чувам това, когато говорим с хора, които са в пространството за сигурност или в регулаторното пространство, че основите ще покрият 80 процента от проблема ви и това е много основание за покриване - това е добра точка. Един от присъстващите попита дали някой може да разшири възможностите за бизнес, които могат да бъдат извлечени от усилията за спазване на GDPR, напомням ми на Сарбанес-Оксли и предполагам, Уилям, ще ви го прехвърля. Като консултант винаги търсите начини да помогнете на клиентите си извън обхвата на конкретен проект - поне ако сте добър консултант, правите това. Когато говорите с хората за GDPR, какви са спомагателните ползи, които можете да посочите, че ще получат, ако се включат в някакъв проект, фокусиран върху това?

Уилям Макнайт: Преди всичко е важно да се отбележи, че идеята, която стои зад GDPR, изобщо не е пълни права на гражданите. Има и другата страна на GDPR, която е, това ще подобри доверието, което гражданите имат в нашите компании и това ще ги насърчи да правят повече бизнес във фирмите, които отговарят на изискванията. Има онези спомагателни ползи от действителното изпълнение на вашия GDPR, сега вътрешно, програмите за управление на данни, които прилагаме, служат за улесняване на всякакъв вид инициативи, които наистина стартират в рамките на организациите и днес, най-вече далеч, инициативи, които се стартират извън организациите. Наскоро правих някакво планиране за 2018 г. с много от тях, те имат общо с данните, те са като 65 процента до 90 процента всички данни - когато говориш за телематика или клиентска програма 360 или табло за наблюдение на продавачите, до голяма степен става въпрос за данните. Всичко, което управлява тези данни по-добре, това го превръща в по-добра архитектура, която назовава хора, които са хора, които могат да отговарят на всякакви въпроси относно тези данни, които наистина се интересуват като програма за управление на данните. Всичко, което ни дава речник за данни - като Ким говореше с инструментите си - всичко, което прави това, е много полезно да направим тези инициативи много по-ефективни, да ги рискуваме, да свием времето, да свием бюджет за тях и да ни вземем до гъвкаво време да пускат на пазара много по-бързи и добри неща за компания, която прави инициативи, което са всички компании.

Ерик Кавана: Обичам тази концепция за доверие. Мисля, че доверието е много недооценена реалност в нашия свят и честно казано повечето бизнес работи на доверието - това наистина става, когато стигнете право до него. Ще ви го прехвърля само за някои заключителни коментари, Ким. Смятам, че една от основните добавени ценности тук е подобряването на доверието и насърчаването на култура на доверие, тъй като това не само ще окаже положително въздействие върху самата компания, върху хората вътре в компанията, но и върху това, което възприема обществеността, защото този вид нещо се прелива, струва ми се, но какво мислите?

Ким Брушабер: Да, мисля, че когато говоря с приятели, които работят в Google или работят във Facebook или някои от по-големите, наистина високопоставени организации, те не прилагат почти толкова нови функции, колкото при прилагането на протоколи за сигурност и ефективността и проблеми с мащабируемостта, защото те искат тяхното потребителско изживяване да бъде такова, където те вярват, че могат да се доверят на тази информация. Мисля, че компаниите носят тази отговорност, докато продължаваме да оказваме такъв вид доверие. Спомням си, когато хората за първи път започнаха да пускат кредитни карти онлайн и хората са като: „О, боже, няма да давам тази информация там, защото не е сигурна.“

И сега, кредитната ви карта отива по всякакъв начин, защото на теория смятате, че можете да се доверите на компанията, защото има HTTPS сертификат. След това чувате за нарушенията на данните от Target, при които кредитните карти, където са били: „О, по-добре раздайте кредитната си карта, защото ние пуснем тази информация.“ Мисля, че това е двупосочно настроение. Мисля, че хората, макар и да искат да имат по-голямо доверие, защото е много по-лесно, да могат да се доверят и да имат вяра в това в големите организации, големите организации трябва да влязат и да поставят тези парчета на място, така че да не стават ' не наранявате физическото лице или губите пазарен дял. Хората казват: „Ами знаете ли какво, аз няма да пазарувам в Target вече, сега ще пазарувам в Amazon.“ Мисля, че доверието е голям проблем, въпреки че, както казахме, 78 процента от хората са все още ще щракнете върху тази връзка в имейл, въпреки че знаят, че не могат. Има известна защита на хората, дори когато те ви се доверяват.

Ерик Кавана: Това е добър момент. Знаеш ли какво, ще ти задам един последен въпрос, Уилям, или поне още един - сега имаме няколко добри. Участник пише: „GDPR прехвърля управлението на идентичността обратно към клиента, където му е мястото. Equifax трайно нанесе щети на 149 милиона потребители, "много вярно", замърсявайки дигиталната икономика. Какви промени виждате да се случват в САЩ по отношение на собствеността на клиентите по отношение на управлението на идентичността? “

Уилям Макнайт: Е, ние винаги изоставаме в САЩ, що се отнася до подобни неща, нали? Сто четиридесет и девет милиона, това не е капка в кофата точно там. Това е почти като тероризма, нали? Просто сме свикнали, просто се случва непрекъснато. Мисля, че трябва да се направи нещо. Мисля, че GDPR, харесвам права, които дава на гражданите, но това не изглежда приоритет - има много други приоритети и не знам къде ще отиде. Мисля, че както споменах в слайда за размишления, който имах, това сигнализира за преминаване към повече права от страна на потребителя върху техните данни. Кога това се случва тук в САЩ? Не знам, че може да изминат до пет години, за да видите нещо, съизмеримо с GDPR да се случва тук в САЩ. Просто спекулации в този момент.

Ерик Кавана: Това е наистина добър момент и мисля, че ще видим повече усилия по този въпрос, защото, нека си признаем, днес преминаваме към такава цифрова икономика. И като заключителен коментар тук, получаване на философска, ориентирана към политиката, това е, което ме притеснява най-много за преминаването към безкасово общество, защото, когато парите отидат, ако това се случи, тогава всичко е цифрово и всяка система може да хакне и самоличността на всеки може да бъде открадната. Струва ми се, че тук е доста голям слон, когато гледаме надолу щуката към бъдещето на управлението на идентичността.

Това са страхотни неща, хора. Благодаря на Уилям Макнайт за отделеното време и внимание днес. Благодаря на Ким Брушабер от IDERA. Ние архивираме всички тези уеб предавания за по-късен преглед, така че не се колебайте да се върнете, обикновено само за няколко часа и архивът ще бъде готов. С това ще се сбогуваме, хора. Благодаря отново за отделеното време и внимание. Внимавайте. Чао чао.

Съвет на айсберга: защо gdpr е само началото