Появление инженерии конфиденциальности

Появление инженерии конфиденциальности

Автор BigID Дебра Дж. Фарбер

Обратитесь к адвокатам по вопросам конфиденциальности, аналитикам, консультантам, CPO и DPO. Давайте освободим место для инженеров по конфиденциальности, которые могут упростить техническую реализацию конфиденциальности и защиты данных по умолчанию и по умолчанию в продуктах и ​​услугах. Добро пожаловать, появление Privacy Engineering.

Сфера конфиденциальности обычно была сферой юристов и консультантов, ответственных за разработку и внедрение политик, управление договорными рисками для данных, управление рисками конфиденциальности в бизнес-процессах и обеспечение эффективных методов публикации уведомлений и выбора. Однако для того, чтобы эффективно управлять использованием данных и контролировать их использование на практике, теперь мы можем обратить внимание на растущую дисциплину проектирования конфиденциальности и связанных с ними технологий и продуктов.

После громких сбоев в области конфиденциальности и множества утечек и утечек данных компании осознают, насколько важно завоевать и поддерживать доверие своих клиентов, нанимая опытных в вопросах конфиденциальности технологов, которые могут воплотить политику в практическую плоскость, часто называемую компании «Privacy Engineer».

Какие данные у нас есть? Кто этим пользуется? Как он движется в нашей корпоративной среде? Утечка личной информации в нашем программном обеспечении? Какие методы сохранения конфиденциальности следует использовать специалистам по данным в исследованиях? Это лишь некоторые из вопросов, на которые инженеры по конфиденциальности могут помочь предприятиям ответить, и роли инженеров по обеспечению конфиденциальности появляются по всей стране в ведущих компаниях, занимающихся технологиями, ориентированными на данные, таких как Google, Uber, LinkedIn и Oracle.

Что такое разработка конфиденциальности?

В своей основополагающей работе 2014 года по теме - Манифест инженера по вопросам конфиденциальности: переход от политики к коду к обеспечению качества и ценности - авторы Мишель Деннеди, Джонатан Фокс и Том Финнеран описывают систематический инженерный подход к разработке политик конфиденциальности, основанный на целях предприятия и соответствующие правительственные постановления . Только тогда процедуры, стандарты, руководящие принципы, передовые методы, правила конфиденциальности и механизмы конфиденциальности ... могут быть спроектированы и реализованы в соответствии с системным инженерным набором методологий, моделей и шаблонов, которые хорошо известны и хорошо зарекомендовали себя .... ”

В тех случаях, когда концепция конфиденциальности по дизайну (PbD) предоставляет набор принципов, которым компании должны следовать, чтобы встраивать конфиденциальность и защиту данных в продукты и услуги, именно инженеры по обеспечению конфиденциальности фактически внедряют требования PbD в процесс разработки.

Роли в разработке конфиденциальности

Поскольку эта область относительно новая, многие повседневные действия связаны с разработкой конфиденциальности, но при этом у них нет названия, отражающего такие действия и задачи. Чтобы усугубить путаницу, «Инженер по конфиденциальности» был применен к нескольким определенным ролям в организациях. Вот разбивка некоторых разделенных ролей в экосистеме проектирования конфиденциальности - обратите внимание, что другие, вероятно, появятся.

Менеджеры продуктов по обеспечению конфиденциальности: это эксперты по конфиденциальности, которые понимают правила конфиденциальности, политику конфиденциальности компании и то, как это применимо к бизнес-целям организации, а затем документируют конкретные бизнес-требования и требования к продуктам для предоставления услуг и продуктов. разработка.

Чтобы понять основные возможности инженерии конфиденциальности для разработки продуктов, мы можем взглянуть на то, как основные возможности, которые Университет Карнеги-Меллона готовит своим студентам для применения по завершении своей программы Магистр информационных технологий - Программа обеспечения конфиденциальности:

1) разрабатывать передовые продукты и услуги, которые используют большие данные при сохранении конфиденциальности;

2) предлагать и оценивать решения по снижению рисков конфиденциальности;

3) понять, как технологии повышения конфиденциальности могут использоваться для снижения рисков конфиденциальности;

4) использовать методы агрегирования и деидентификации данных и понимать пределы деидентификации;

5) понимать действующие нормативно-правовые и саморегулирующие основы конфиденциальности;

6) понимать текущие проблемы конфиденциальности, связанные с технологиями;

7) проводить оценки рисков, связанных с конфиденциальностью, и проверки соответствия, реагировать на инциденты и интегрировать конфиденциальность в этапы жизненного цикла разработки программного обеспечения;

8) Провести базовую оценку удобства использования, чтобы оценить принятие пользователями функций и процессов, связанных с конфиденциальностью; и

9) Выступать в роли эффективного эксперта по вопросам конфиденциальности, работая с междисциплинарными командами.

Разработчики: это инженеры по программному и аппаратному обеспечению, обладающие техническими навыками для написания кода и создания программных продуктов и инструментов внутренней конфиденциальности.

В сообществе разработчиков безопасности приложений инженеры по безопасности следят за 10 основными уязвимостями безопасности OWASP, а затем изучают и применяют методы безопасного кодирования, которые помогают им избегать таких слабых мест и предотвращать эксплойты. Точно так же разработчики, поддерживающие усилия по обеспечению конфиденциальности, должны изучить 10 основных рисков конфиденциальности OWASP, в которых содержится список наиболее распространенных рисков конфиденциальности в веб-приложениях и связанных с ними контрмер. Он охватывает технологические и организационные аспекты, которые сосредоточены на реальных рисках, а не только на юридических вопросах.

Эта работа OWASP предоставляет советы о том, как реализовать PbD в веб-приложениях, с целью помочь разработчикам и поставщикам веб-приложений лучше понять и улучшить конфиденциальность.

Управляющий данными и хранитель данных: это люди, которые несут прямую ответственность за защиту личных данных и информации. Управляющие данными управляют всеми аспектами подмножества данных с ответственностью за целостность, точность и политику конфиденциальности. Хранители данных управляют доступом к данным в соответствии с политиками доступа, безопасности и использования.

Инженеры по тестированию и интеграции проектов: это технический персонал, чья работа заключается в обеспечении проверки и проверки конфиденциальности для системной интеграции, тестирования и оценки системы, а также перехода к эксплуатации и обслуживанию системы.

Ученые и аналитики данных. Это математики и статистики, которые помогают извлекать пользу из наборов данных, защищая при этом конфиденциальность. Поскольку проекты с большими данными продолжают набирать обороты, нам нужны эти сотрудники для обеспечения ответственного и этичного использования личных данных. При содействии исследователей конфиденциальности, специалисты по обработке данных и аналитики данных несут ответственность за применение методов минимизации, агрегирования и деидентификации данных. Они также должны иметь возможность выбирать соответствующие технологии повышения конфиденциальности (ПЭТ), такие как гомоморфное шифрование, дифференциальная конфиденциальность и другие, которые защищают данные во время анализа, сохраняя при этом ценность.

Взаимодействие с пользователем и дизайн: это сотрудники, которые проектируют надежный опыт в цифровой экосистеме, работают над тем, чтобы понять, как пользователь будет взаимодействовать с продуктом или услугой, и гарантируют, что конфиденциальность встроена в этот опыт.

Исследователи конфиденциальности. Исследователи конфиденциальности разбираются в современных технологиях, которые обеспечивают конфиденциальность и защиту данных. Они создают новые алгоритмы машинного обучения, помогают разрабатывать прототипы, помогают с архитектурой конфиденциальности, а также выбирают и развертывают подходящие ПЭТ для защиты конфиденциальности. Многие компании нанимают исследователей конфиденциальности непосредственно из академических кругов.

Инженерия конфиденциальности = Конфиденциальность + Инженерия

Инженерия конфиденциальности как дисциплина все еще находится в зачаточном состоянии, но такие правила, как Общий регламент ЕС по защите данных (GDPR), предписывают организациям внедрять PbD. Как можно реализовать PbD без соответствующего технического персонала, процессов и поддерживающих технологий? Ответ в том, что они не могут. Поэтому крайне важно, чтобы организации нанимали правильное сочетание опыта и навыков в области обеспечения конфиденциальности для разработки и внедрения требований. Помимо правильного найма, компании обязательно должны вкладывать значительные средства в инфраструктуру (например, архитектуру и дизайн предприятия), продукты для обеспечения конфиденциальности и защиты данных, которые автоматизируют трудоемкие задачи, ПЭТ, инструменты управления согласием, набор персонала и постоянное обучение. для нынешних и будущих инженеров по конфиденциальности по мере появления новых технологий.

На пути к стандартизации конфиденциальности с помощью дизайна и обеспечения конфиденциальности

Инженерия конфиденциальности - это развивающаяся дисциплина, которая включает 7 основополагающих принципов PbD, которые были разработаны доктором Энн Кавукян, бывшим комиссаром по информации и конфиденциальности Онтарио. В прошлом году Национальный институт стандартов и технологий (NIST) представил Учебное пособие по разработке конфиденциальности, в котором более подробно рассматриваются вопросы проектирования конфиденциальности, связанные с федеральными системами США, и снижения риска для информации. Кроме того, в настоящее время предпринимаются усилия по разработке глобального стандарта ISO / PC 317 для конфиденциальности дизайна для потребительских товаров и услуг.

NIST недавно объявил о своем проекте Privacy Engineering Framework - добровольном инструменте корпоративного уровня, который может предоставить каталог результатов и подходов к обеспечению конфиденциальности, чтобы помочь организациям расставить приоритеты в стратегиях, которые создают гибкие и эффективные решения по защите конфиденциальности и позволяют людям пользоваться преимуществами. инновационных технологий с большей уверенностью и доверием . Кроме того, также предпринимаются усилия по разработке ISO / ISE PTDR2 7550, глобального стандарта для обеспечения конфиденциальности и сопутствующих методов безопасности.

В BigID мы очень внимательно следим за ландшафтом и очень рады быть активными участниками процесса установления стандартов ISO / PC 317 PbD. Недавно мы запустили регулярную встречу по вопросам инженерии конфиденциальности с Microsoft в Тель-Авиве, Израиль, чтобы помочь расширить сообщество практиков и поделиться знаниями.

Следите за новостями о мероприятиях по созданию сообщества инженеров конфиденциальности как в Нью-Йорке, так и в Сан-Франциско.