Мы подходим к завершению нашего цикла «Топ-10 технологических трендов на 2022 год в ритейле» осталось всего пара статей, мы далеко перевалили за экватор нашего цикла, который мы задумали вместе с Сергеем Кедровым основателем Fabrique.ai, командой ADV и мной Агатовым Борисом независимым экспертом по инновациям в ритейле, футуролог. Мы стараемся в терминах привычных бизнесу рассказать о тех возможностях, которые им открывают новые технологии. Мы стараемся сделать статьи этого цикла достаточно глубокими с точки зрения IT терминологии, а с другой стороны, пытаемся сделать акцент на том, что топ стратегический менеджмент должен уделять технологиям сейчас гораздо больше своего внимания, чем это было прежде.
За основу мы взяли тренды на 2022 год, которые обозначил GARTNER, крупнейшее американское агентство по технологическим трендам в IT и ритейле.
Эти тренды мы уже разобрали, как они повлияют на ритейл в предыдущих статьях.
Privacy не бывает много
Privacy - как много в этом звуке для сердца нашего слилось, как много в нём отозвалось!
Под термином Privacy-Enhancing Computation - дословно «Вычисления, повышающие конфиденциальность» - Gartner подразумевает любые операции с данными: обработка, трансформация, передача, применение алгоритмов, аналитика, принятие решений. За исключением хранения и переноса данных.
Мы уже рассматривали тренд Cybersecurity Mesh (Сеть Безопасности), который касался размытия понятия контура безопасности компании, в связи с распространением удаленной работы, передачей данных между разными сервисами, использованием данных на клиентских устройствах. Этот тренд как раз касался хранения и переноса данных.
Два тренда (Privacy-Enhancing Computation и Cybersecurity Mesh) Gartner выделяет в качестве стратегических на 2022 год. Всего же Gartner обозначает 8 трендов, связанных с безопасностью. Среди них защита от вирусов и киберпреступности, консолидация поставщиков решений в области безопасности, проблемы идентификации клиентов и машин, повсеместный переход на удаленную работу, выявление уязвимостей и эмуляция атак (это как боевые учения в армии, отрабатываются возможные уязвимости IT систем на взлом злоумышленниками, чтобы быть всегда во всеоружии, когда нужно будет отразить реальную кибератаку).
Мы уже упоминали в прошлых статьях важное обстоятельство работы с данными для бизнеса: законодательство развивается в направлении перекладывания полной ответственности за безопасность данных и их обработки на бизнес. Мы отмечали, что важно очень серьезно отнестись к данным трендам, чтобы они не застали вас врасплох.
Что же такое Privacy-Enhancing Computation?
Чтобы разобраться с терминологией и проблемой начнем «плясать от печки»: термин Privacy затрагивает любые данные, которые относятся к персональной или персонально-идентифицирующей информации, то есть любой информации, которую можно связать с конкретным человеком и потенциально нанести ему ущерб при несанкционированном распространении или некорректном использовании.
Такими данными являются любые контактные данные и реквизиты клиентов, информация об участии в программе лояльности, история заказов, звонки в колл-центр, онлайн активность, записи с камер наблюдения, письма, уведомления, переписка в чате и т.д. Данные сотрудников, партнеров, поставщиков также являются персональными.
Обработка персональных данных осуществляется на устройстве пользователя, передача данных происходит между устройством и серверами компании, в передаче и обработке могут участвовать внешние по отношению к компании сервисы (мессенджеры, сервисы почтовых рассылок, боты, рекомендательные системы и т.д.), обработка может происходить на серверах компании, в облаке, передаваться партнерам и сотрудникам для удаленной работы. Каждая передача и обработка потенциально несет в себе риски утраты информации или несанкционированного использования.
Как видите, происходит непрерывный круговорот данных в различных средах, на различных устройствах и между всеми участниками.
В общем случае, принято говорить о передаче и обработке информации в zero-trust среде или среде с нулевым доверием. То есть изначально исходим из утверждения, что обеспечить безопасность данных на устройстве пользователя, у сторонних сервисов, на серверах партнеров и сотрудников невозможно в принципе.
Следовательно, данные должны обрабатываться и приводиться к такому виду, чтобы извлечь из них персональную информацию было невозможно. Например,
-персональную информацию можно сразу удалить (ее нельзя будет использовать, но зато будет безопасно),
- зашифровать (всегда можно расшифровать),
-анонимизировать (всегда можно деанонимизировать),
- организовать защищенный канал (не решает проблем со сторонними сервисами, партнерами, сотрудниками),
- зашумлять данные, т.е. вносить в данные такие изменения, которые не позволяли бы их называть после этого персональными данными (после этого восстановить данные не получится, а риск персональной идентификации всё равно сохранится) и т.д.
Подходов и идей, каким образом можно было бы защитить персональную информацию, десятки и каждый подход не дает гарантий, что информация будет надежно защищена. Но еще раз повторим, отсутствие надежного и универсального во всех случаях решения, не волнует законодательство. Ответственность за безопасность персональных данных лежит на бизнесе и никого не волнует, каким именно образом бизнес обеспечит защиту. Переложить защиту на третьих лиц не получится.
Что делать ритейлу?
Сразу скажем, что ритейл на самом острие борьбы за обеспечение защиты персональных данных, наравне с телекомами, банками, аптеками. Как только широкие круги ритейла займутся продажей лекарств и предоставлением финансовых услуг, то в тот же день окажутся в ряду бизнесов, оперирующих самыми чувствительными данными.
Даже без финансовых услуг и лекарств данные о покупках, которые можно сопоставить с конкретными людьми от программы лояльности до новомодных историй, связанных с видеоаналитикой и распознаванием посетителей в магазинах, являются достаточно чувствительными, чтобы ожидать пристального внимания со стороны регуляторов.
Значит придется проблему решать. Самый надежный путь — это брать данные под свой контроль. Не должно быть так, чтобы данные бесконтрольно гуляли между сторонними сервисами, партнерами, сотрудниками. Данные, а особенно персональные данные клиентов — это такой же актив, как и банковский счет. Не стоит ими разбрасываться.
Количество сред, где данные обрабатываются, должно минимизироваться. Хотите делиться данными с партнерами - предоставьте партнерам собственную инфраструктуру, чтобы данные не покидали периметра компании. Это же касается сотрудников. Не должны персональные данные клиентов оказываться на личных устройствах сотрудников даже гипотетически.
Эти два простых правила уже способны снизить риски. А дальше шаг за шагом минимизировать каждый потенциальный риск и уязвимость. Полностью избавиться от рисков не удастся, но можно добиться контролируемого управления рисками.
Осталось всего две статьи нашего цикла.
- Практическое внедрение искусственного интеллекта (AI Engineering)
- Всеобъемлющий пользовательский опыт (Total Experience, TX)
Мы начали нашу статью про вычисления, повышающие конфиденциальность (Privacy-Enhancing Computation) цитатой из «Евгения Онегина» А.С. Пушкина и закончим, пожалуй, ещё одной немного перефразированной цитатой гениального поэта из «Евгения Онегина».
О ты, техническая муза!
И верный посох мне вручив,
Не дай блуждать мне вкось и вкривь.
Надеемся, что наш цикл о технических терминах станет вам надёжной опорой, как посох в дальней дороге, и покажет вам прямую дорогу к стратегическому преимуществу на рынке.
Мы, как авторы этого цикла, будем рады, если вы дадите обратную связь по статьям этого цикла, найти нас легко на Facebook.
