Конфиденциальность

По мнению аналитиков Gartner, поскольку количество норм регулирования конфиденциальности во всем мире продолжает расти, организациям следует сосредоточиться на пяти основных тенденциях конфиденциальности. Это должно помочь им решить проблемы защиты персональных данных и соблюдения соответствующих нормативных требований.

По прогнозам Gartner, к концу 2024 года 75% населения мира будут иметь свои персональные данные, защищенные современными правилами конфиденциальности. Эта регулятивная эволюция станет основным катализатором практического решения вопросов конфиденциальности. Поскольку в большинстве организаций нет специальной практики обеспечения конфиденциальности, ответственность за внедрение соответствующих норм возлагается на технологии, в частности, на технологии безопасности под эгидой офиса директора по информационной безопасности.

В связи с расширением усилий по регулированию конфиденциальности в десятках юрисдикций в ближайшие два года многие организации считают необходимым приступить к реализации своей программы защиты конфиденциальности уже сейчас. Согласно прогнозам Gartner, средний годовой бюджет крупных организаций на обеспечение конфиденциальности к 2024 году превысит 2,5 млн долл.

Gartner выделяет пять тенденций, которые поддерживают сложившиеся практики конфиденциальности и нескольких бизнес-лидеров предприятия, что упрощает контроль над компанией, повышает уровень ее ценностей и сокращает продолжительность оценки.

Локализация данных

В не имеющем границ цифровом обществе стремление контролировать страну, в которой хранятся данные, кажется нелогичным. Однако такой контроль является прямым требованием либо побочным продуктом многих новых законов о конфиденциальности.

Риски стратегии ведения бизнеса в нескольких странах требуют нового подхода к проектированию и приобретению облачных технологий, поскольку лидеры в области безопасности и управления рисками сталкиваются с разными нормами регулирования, и разные регионы требуют разных стратегий локализации. В результате планирование локализации данных должно стать главным приоритетом при разработке и приобретении облачных сервисов.

Вычисления, повышающие конфиденциальность

Обработка данных в ненадежных средах, таких как общедоступное облако, а также многосторонний обмен данными и их анализ заложили основы для дальнейшей успешной деятельности организации. Вместо использования различных дополнений растущая сложность аналитических систем и архитектур требует от поставщиков включения функций обеспечения конфиденциальности на этапе проектирования. Повсеместное распространение моделей искусственного интеллекта и необходимость их обучения стало еще одним дополнением к вопросам конфиденциальности.

В отличие от обычных средств управления безопасностью данных в состоянии покоя, конфиденциальные вычисления (privacy-enhancing computation, PEC) защищают данные в процессе их использования. В результате организации могут осуществлять обработку и анализ данных, которые ранее были невозможными из соображений конфиденциальности и безопасности. По прогнозам Gartner, к 2025 году 60% крупных организаций будут использовать по крайней мере одну технологию PEC в аналитике, бизнес-анализе и облачных вычислениях.

Управление искусственным интеллектом

Опрос Gartner показал, что 40% организаций сталкивались с нарушениями конфиденциальности искусственного интеллекта, и только каждое четвертое из этих нарушений было злонамеренным. Независимо от того, обрабатывают ли организации персональные данные с помощью модуля искусственного интеллекта, интегрированного в предложение поставщика, или с помощью отдельной платформы, управляемой собственной командой исследователей данных, риски для конфиденциальности и потенциального злоупотребления персональными данными очевидны.

Большая часть искусственного интеллекта, используемого сегодня в организациях, встроена в более крупные решения, и для оценки его влияния на конфиденциальность имеется не так много возможностей. Встроенные средства искусственного интеллекта используются для отслеживания поведения сотрудников, оценки настроений потребителей и создания «умных» продуктов, которые обучаются на лету. Данные, которые сегодня вводятся в эти модели обучения, будут влиять на решения, принимаемые годы спустя. Когда регулирование искусственного интеллекта укоренится окончательно, распутать токсичные данные, поступающие в организм в отсутствие программы управления искусственным интеллектом, будет практически невозможно. ИТ-директорам придется уничтожать системы оптом, что дорого обойдется организациям и их репутации.

Единое пользовательское восприятие конфиденциальности

Возросший потребительский спрос на права субъектов и растущие ожидания в отношении прозрачности приведут к необходимости появления централизованного пользовательского восприятия конфиденциальности (user experience, UX). Дальновидные организации понимают преимущества объединения всех аспектов пользовательского восприятия конфиденциальности – уведомлений, файлов cookie, элементов управления разрешениями и обработки запросов о правах субъекта (subject rights requests, SRR) — в рамках одного портала самообслуживания. Такой подход обеспечивает удобство для ключевых участников, клиентов и сотрудников, а также значительную экономию времени и средств. По прогнозам Gartner, к 2023 году 30% организаций, ориентированных на потребителей, предложат осуществлять управление предпочтениями и разрешениями на самообслуживаемом портал прозрачности.

Дистанционное становится «повсеместно гибридным»

По мере того, как модели взаимодействия в работе и жизни становятся гибридными, возрастают как возможности, так и желание более активного отслеживания, мониторинга и других действий по обработке персональных данных, а риск нарушения конфиденциальности становится первостепенным.

С учетом последствий для конфиденциальности, связанных с полностью гибридным набором взаимодействий, производительность и удовлетворенность балансом между работой и личной жизнью во многих отраслях и дисциплинах также выросли. Организациям следует придерживаться ориентированного на человека подхода к конфиденциальности, а данные мониторинга должны использоваться в минимальном объеме и с четкой целью – например, для улучшения восприятия сотрудников за счет устранения ненужных трений или для снижения риска эмоционального выгорания за счет выявления рисков для благополучия.

Современные приложения все активнее проникают в онлайн-экономику. Однако не совсем ясно, носит ли их движение центростремительный или центробежный характер – другими словами, тяготеют ли они к центру облака или к границам сети.

Приложения – в форме программного обеспечения, сервисов, рабочей нагрузки и бизнес-логики – движутся в целом в том же направлении, что и данные, которые они генерируют и используют. Кто-то считает, что в массе своей они перемещаются в центр облака, привлекаемые растущим объемом озер данных, а кто-то видит их рассеивание в виде мельчайших микросервисов по границам вслед за мобильными и встроенными устройствами, а также устройствами Интернета вещей.

Реально ли притяжение данных?

Мы живем в мире, где облако все сильнее смещается на периферию, но стрелка весов в любой момент может качнуться и в другом направлении. Для объяснения тех или иных тенденций развертывания приложений обозреватели любят обращаться к новому понятию «притяжения данных».

Предполагаемое гравитационное притяжение данных, по их мнению, основано на следующих принципах.

Производительность. По мере приближения приложений к данным задержки снижаются, а пропускная способность при выполнении функций, связанных с обработкой данных, увеличивается.

Контроль. Приближение приложений к данным помогает обеспечить безопасность и добиться более полного и детального контроля над использованием и обработкой данных.

Стоимость. В случае приближения приложений к данным дополнительная выгода извлекается за счет повышения эффективности хостинга и управления связанной с данными рабочей нагрузкой приложений.

Масштабируемость. При приближении приложений к данным их ценность возрастает вследствие упрощения доступа к большему объему и разнообразию данных в непосредственной близости от их местонахождения.

Функционал. Приближение приложений к данным дает возможность воспользоваться преимуществами специального анализа данных, их интеграции, манипуляций с ними и другого функционала, поддерживаемого базовым источником или репозитарием.

Притяжение данных и гиперконвергентная инфраструктура

Если притяжение данных реально, оно несомненно должно оказывать влияние на архитектуру облака и сред граничных вычислений (edge computing). Но не вполне ясно, можно ли здесь говорить о чистом влиянии притяжения данных.

Некоторые считают, что аппаратным катализатором притяжения данных является гиперконвергентная инфраструктура. Согласно этому аргументу, гравитационное притяжение данных приводит к усилению связей между хранилищем данных и ресурсами обработки приложений – вычислительными, памяти, сетевыми и виртуализации – в новом поколении популярных аппаратных решений в облачных ЦОДах.

Но, называя гиперконвергентную инфраструктуру фактором притяжения данных к облаку, они игнорируют то, что соответствующие аппаратные средства зачастую развертываются как раз в периферийных средах, а не в стойках облачных ЦОДов. Ослабление притяжения у границ объясняется скорее потребностью в непрерывном улучшении восприятия пользователей – улучшении мобильных средств, интерактивного взаимодействия и взаимодействия в реальном времени, а также потоковых технологий – а не каким-то магическим притяжением данных, хранящихся в этих узлах.

Применительно к гиперконвергентной инфраструктуре аргумент притяжения данных легко может быть использован и в обратном направлении. Вычислительные мощности, являющиеся обязательным условием для выполнения любых приложений, имеют свойство притягивать к себе и другие ресурсы, включая данные. А поскольку эти ресурсы находятся в гиперконвергентном шасси вместе с центральными и прочими процессорами, улучшения в части производительности приложений, управления, стоимости, масштабируемости и функционала так же легко могут притягивать данные к границам сети, как и к облаку.

Притяжение данных и конфиденциальные вычисления

Не имея возможности изолировать и защитить конфиденциальные данные, многие организации предпочитают просто не выпускать их за пределы своих сетей. Притяжение данных легко можно сместить к краям сети, если защитить их с помощью стандартизированного в рамках всех платформ, приложений и инструментов подхода.

Ключевым условием реализации такой инициативы является обеспечение безопасности за периметром. Процедуры аутентификации, выдачи разрешений, обеспечения конфиденциальности и выполнения других функций управления должны следовать за данными, где бы те ни находились. Узлам обработки нужен постоянный доступ к средствам безопасности, позволяющим организовать управление ресурсами данных в моменты их использования, хранения и перемещения.

Другим важным элементом является оборудование, обеспечивающее конфиденциальность и безопасность данных за периметром с помощью доверенных сред исполнения, интегрированных во все узлы как в облаке, так и на границах сети. Преимущества стандартизированных аппаратных ускорителей при решении конфиденциальных задач очевидны. Они хорошо подходят для управления паролями и ключами на уровне устройств, реализации блокчейна и электронных кошельков, приложений искусственного интеллекта и машинного обучения, обмена сообщениями и построения других программ, имеющих дело с конфиденциальными данными. Но для того чтобы воспользоваться преимуществами таких средств защиты, необходимо внести существенные изменения в инструменты разработки приложений.

Эта новая парадигма отражает фундаментальный сдвиг в выполнении вычислений на аппаратном уровне. Она позволяет обрабатывать зашифрованные данные в памяти на заданном узле, не открывая их неавторизованным программам и другим локальным ресурсам. Опыт использования сред AMD Secure Encrypted Virtualization, Intel Software Guard Extensions, Red Hat Enarx и Google Asylo Project показывает, что конфиденциальные вычислительные технологии должны изолировать важные данные приложений при их размещении в памяти.

Если отраслевой стандарт – вычислительный фреймворк, обеспечивающий конфиденциальность на аппаратном уровне, будет поддержан рынком, причины, заставляющие предприятия держать конфиденциальные данные на своей территории, в значительной мере исчезнут. Созданный недавно организацией Linux Foundation консорциум Confidential Computing Consortium я считаю шагом в правильном направлении. Группа, в состав которой в качестве спонсоров и участников входят Alibaba, Arm, Baidu, Google, IBM, Intel, Microsoft и целый ряд других компаний, разрабатывает общую межотраслевую платформу с открытым кодом, позволяющую любому приложению обращаться к загружаемым в оперативную память и используемым на постоянной основе функциям безопасности, четкое выполнение которых обеспечивается на любом узле.

Данные в невесомости

Для реализации конфиденциальных вычислений в полном объеме стандартная отраслевая платформа должна быть интегрирована в более широкую инфраструктуру за пределами периметра. В идеальной среде элементы обеспечения безопасности данных и управления будут последовательно применяться везде, где находятся данные, от ядра облака до множества периферийных устройств. Эти элементы управления обеспечат эффективность и масштабируемость при любом сценарии, включая использование, хранение и перемещение данных.

Сместит ли идеальная конфиденциальная вычислительная инфраструктура «притяжение» данных от ядра к краям? Не обязательно. Универсальная, стандартная и неизменно высокопроизводительная инфраструктура, поддерживающая все узлы в распределенной структуре, не должна оказывать чистого эффекта на распространение данных и на приложения, подпитываемые этими данными.

С наступлением эпохи Интернета управление персональными данными довольно быстро теряет практический смысл, если, конечно, не отказываться от мобильных и интернет-сервисов полностью. По мере распространения Интернета вещей и технологий Больших Данных становится все больше и больше различных способов сбора и обработки информации. И когда дело касается конфиденциальности данных, то между пользователями, государством и бизнесом возникает конфликт интересов.

«Обеспечить конфиденциальность в цифровой век весьма непросто, и одной из ключевых задач здесь становится повсеместное соблюдение политик конфиденциальности интернет-ресурсами», – подчеркнул Норман Садех, профессор Школы компьютерных наук при Университете Карнеги-Меллона (Carnegie Mellon University, CMU), являющийся также директором CMU Mobile Commerce Lab, председателем совета директоров компании Wombat Security Technologies, а ранее еще и научным директором инициативы Евросоюза в области электронной коммерции. Кроме того, Садех — один из руководителей программы CMU Master's, нацеленной на поиск компромисса между функциональностью и конфиденциальностью и на разработку новых цифровых продуктов, изначально учитывающих требования конфиденциальности.

«Политики конфиденциальности веб-сайтов должны стать фактическим стандартом, регламентирующим правила 'уведомлений и выбора' в Интернете, – добавил Садех. – Чтобы принимать осознанные решения, пользователи должны иметь возможность получать информацию о правилах обеспечения конфиденциальности на тех сайтах, которые они посещают. На практике же пользователям о политиках конфиденциальности, как правило, ничего не известно».

Даже если описания политик конфиденциальности доступны, пользователям зачастую трудно понять, что они означают на деле. С мобильными приложениями ситуация еще более запутанная. У пользователей установлено в среднем 50-100 мобильных приложений, и у каждого из них имеется от трех до пяти параметров конфиденциальности — если эти параметры пользователю вообще видны.

«А вам известно что-нибудь о настройках мобильных приложений на вашем смартфоне? – вопрошает Садех. – Оказывается, почти никто не имеет о них никакого понятия. И это просто ошеломляет».

Сложность (и несовместимость)

Сложность с обеспечением конфиденциальности обусловлена тем, что у каждого пользователя есть свои представления о возможности раскрытия информации в тех или иных целях. Все люди разные. А значит, у них разные предпочтения в отношении той информации, которой они готовы поделиться.

Эти вопросы уже пытались решать. Еще в 2002 году Консорциум World Wide Web Consortium представил Platform for Privacy Preferences Project (P3P) – протокол, с помощью которого сайты объявляли бы о возможности использования информации, собранной у пользователей. В 2010 году Федеральная комиссия по торговле США призвала создать систему, которая вообще не отслеживала бы подобные данные. Вскоре в наиболее популярных браузерах – Mozilla Firefox, Microsoft Internet Explorer, Apple Safari, Google Chrome и Opera – появилась поддержка заголовков Do Not Track (DNT), они запрашивали у веб-приложений разрешения отключить отслеживание конкретных пользователей. Сегодня W3C продолжает работать над стандартизацией DNT.

Все эти проекты направлены на разработку машинно-читаемых форматов, подчиняющихся правилам управления данными на веб-сайте, однако владельцы сайтов весьма неохотно их внедряют. Более того, никаких законов и прочих нормативных требований к внедрению P3P или использованию DNT не существует.

В 2012 году, запустив в производство Windows 8, корпорация Microsoft объявила, что поддержка DNT будет по умолчанию реализована в Internet Explorer 10 в рамках настроек Express Settings операционной системы. Это обернулось нападками со стороны представителей рекламной отрасли, которые настаивали на том, что параметры DNT могут существовать лишь в виде опции и никак не по умолчанию.

В конечном итоге ассоциация Digital Advertising Alliance разрешила своим членам игнорировать DNT: «DAA не требует от компаний учитывать сигналы DNT, зафиксированные и посылаемые производителями браузеров. Сигналы DNT, автоматически рассылаемые IE10 или другими браузерами, не подпадают под действие ни DAA Principle, ни DAA Program. Органы Council of Better Business Bureaus и Direct Marketing Association не станут наказывать компании, не реагирующие на сигналы DNT в IE10 и других браузерах».

В итоге в Microsoft были вынуждены объявить, что функции DNT не будут включаться в Windows 10 по умолчанию, предоставив четкие инструкции тем, кто хотел бы использовать такую возможность.

Управление конфиденциальностью: от сайтов к пользователям

По мнению Садеха, управление со стороны пользователей параметрами конфиденциальности не должно зависеть от степени их кооперации с владельцами сайтов. Пользователи должны иметь возможность делать все самостоятельно, а для этого им понадобится сочетать средства обработки естественного языка, моделирование настроек конфиденциальности, краудсорсинг и построение интерфейса конфиденциальности.

Чтгбы реализовать предложенное, Садех участвует в реализации двух проектов: Usable Privacy Policy Project и Personalized Privacy Assistant Project.

Первый проект финансируется Национальным научным фондом США в рамках инициативы Security and Trustworthy Cyberspace. В реализации проекта участвуют Университет Карнеги-Меллона, Центр права и информационной политики Юридической школы Фордхэм и Центр Интернета и общества Стэнфордской юридической школы.

«Цель проекта заключается в том, чтобы выяснить, в какой степени можно использовать компьютеры для полуавтоматического извлечения информации из политик конфиденциальности, – пояснил Садех. – Тогда мы получим ответы на ключевые вопросы, интересующие пользователей, и сумеем предоставлять им при помощи расширений браузеров информацию, которую будет легко понять. Соответствующие функции будут доступны благодаря машинному обучению, средствам обработки естественного языка и краудсорсинговым технологиям. Мы хотим показать, что, несмотря на результаты предыдущих исследований, свидетельствовавшие о непонимании пользователями политик конфиденциальности, есть достаточное количество энтузиастов, которые помогут получать содержательные ответы на ключевые вопросы».

Проект Personalized Privacy Assistant Project финансируется Университетом Карнеги-Меллона и направлен на создание интеллектуальных агентов, изучающих предпочтения конфиденциальности пользователей, задействуя средства машинного обучения. Агенты эти в состоянии обеспечить полуавтоматическую настройку многих параметров и готовы принимать в интересах пользователей многие решения, касающиеся конфиденциальности. Помощники в области конфиденциальности могли бы предупреждать пользователей о тех настройках, с которыми они чувствуют себя некомфортно, и время от времени подталкивать их к пересмотру ранее принятых решений в части конфиденциальности. Что касается мобильных приложениями, то такой помощник мог бы распознавать, какие приложения обращаются к пользовательским данным, не спрашивая на это разрешения.

Проект включает в себя несколько исследовательских направлений. Он призван определить ориентированные на пользователя процессы, которые преобразуют модели личных предпочтений конфиденциальности, прозрачные механизмы и диалоговые примитивы в функциональность помощника.

Выгода для бизнеса

В конечном итоге исследования принесут дивиденды и бизнесу. Хотя люди имеют разные представления о том, какой информацией они готовы поделиться, их предпочтения зачастую затрагивают относительно небольшое число сегментов.

«Есть много взаимодействующих между собой факторов, – заявил Садех. – И эту корреляцию можно эффективно использовать для помещения пользователей в разные сегменты. Тем, кто планирует собирать определенные виды информации, мы сможем сообщить, какое количество пользователей из их целевой аудитории будет чувствовать себя при этом некомфортно».

Такого рода сведения помогут организациям принимать решения о том, имеет ли смысл заниматься созданием новой функциональности.

- Thor Olavsrud. Carnegie Mellon University helps you control your privacy. CIO. September 7, 2016