Технология Process Mining помогает компаниям понять, как на самом деле протекают их процессы, выявить «узкие места» и определить области для оптимизации процессов. На первый взгляд, за бизнес, вступающий на путь цифровой трансформации, не стоит беспокоиться. Но если копнуть глубже, становится ясно: для того, чтобы получать полноценный эффект от своих вложений, необходимо решить проблемы конфиденциальности.
Один из примеров – журналы событий, которые являются отправной точкой интеллектуального анализа. В них хранятся данные: к примеру, в логистике за них может отвечать человек, который инициирует действие – регистрирует заказ, делает отметку о времени его регистрации, свойствах заказа (цвет, размер), конечной точке доставки и т.д. Компании используют журналы событий для улучшения своих процессов на основе реальных данных, а не на собственных догадках и предположениях. Однако, учитывая характер данных, журналы событий неизбежно содержат способы идентификации личных данных.
Ключевая задача руководителей компаний, вставших на путь цифровой трансформации, – защитить права на конфиденциальность. Решить этот вопрос способна деидентификация личной информации. Двумя распространенными методами защиты конфиденциальных данных являются:
- Анонимизация
Строгий механизм удаления любых прямых идентификаторов личной информации. Недостаток – непосредственное влияние на дальнейшее использование результатов интеллектуального анализа данных.
- Псевдонимизация
Псевдонимизация – это обработка персональных данных с применением дополнительной информации. При использовании этого метода деиндентификации информация, которая может указывать на личность субъекта, заменяется «псевдонимами», или идентификаторами. Это предотвращает конкретное определение пользователя данными, но оставляет возможности для интеллектуального анализа.
Одно можно сказать наверняка: бороться с угрозой можно. Вот шесть ключевых способов, которые позволят обеспечить успешную деидентификацию без потери базовой информации, необходимой для полноценного интеллектуального анализа:
- Риск повторной идентификации
В первую очередь оцените риск повторной идентификации, связанный с анализом данных о событии. Очевидно, что если данные содержат конфиденциальную информацию, она должна быть анонимной и заменена замещающим значением. Однако все еще может существовать возможность повторной идентификации на основе объединения элементов журнала событий с другими доступными источниками данных.
- Снижение вероятности повторной идентификации
После оценки риска повторной идентификации важно исключить любую возможность обнаружения личной информации. Этого можно достичь с помощью утверждения структуры и политики управления данными, которое состоит из нескольких этапов:
- первоначальной оценки предполагаемого использования и пользователей журналов событий, собранных для анализа;
- определения переменных перед измерением риска их повторной идентификации;
- документирования результатов в соответствии с требованиями конфиденциальности и безопасности данных.
- Контроль условий использования данных
Ключевой способ обеспечить успешность методов деидентификации – указать способ использования данных.
Существуют различные модели «выпуска», связанные с вторичным использованием личной информации: общедоступные, квазигосударственные и непубличные. В моделях публичного выпуска должны применяться самые строгие протоколы деидентификации, в то время как модели квази- и закрытого выпуска должны включать конкретные договорные положения в отношении конфиденциальности и условий использования.
- Понимание характера переменных
Оценить природу переменных в журналах событий можно, задав несколько вопросов:
- Содержат ли журналы событий конфиденциальные данные?
- Включают ли они косвенные идентификаторы, которые могут создать риск повторной идентификации?
- Существуют ли дополнительные источники общедоступных данных, которые могут быть связаны с косвенными идентификаторами в журналах событий?
- Какова вероятность того, что злоумышленник, который может быть знаком с журналами событий, сможет повторно идентифицировать субъекты данных?
Важно выявить различия в выполнении задач, чтобы предпринять меры, которые снижают риск нарушения нормативных требований безопасности.
- Измерение и определение риска повторной идентификации
Этот этап будет зависеть от контекста журналов событий, количества элементов и классов эквивалентности. Чем меньше классов, тем выше вероятность повторной идентификации. В этих случаях необходимо рассмотреть более строгие меры по деидентификации.
- Запись внутреннего контроля
Чтобы поддерживать высокий уровень защиты конфиденциальных данных, важно документировать все внутренние средства контроля, которые могут защитить права на конфиденциальность.
Например, Общий регламент по защите данных налагает на операторов персональных данных и лиц, которые занимаются обработкой персональных данных по поручению оператора, строгие обязательства по ведению учета всех действий, за которые они несут ответственность. Кроме того, на компании распространяются положения Регламента об аудите, и по запросу надзорных органов необходимо предоставлять эти записи.
Process Mining и конфиденциальность данных
Современные информационные системы генерируют огромные объемы данных как из цифровых, так и из физических источников. Более подробное понимание процессных данных позволяет организациям получить представление о том, как протекают их бизнес-процессы, и видеть, какие из них необходимо улучшить.
Process Mining может:
- предоставить подробную информацию о процессах и помочь их оптимизировать;
- показать «узкие места», наряду с задачами, отнимающими много времени, требующими затрат и ручного труда;
- отметить процессы, несоблюдение которых представляет собой юридический и финансовый риски.
То есть технологии процессной аналитики способны решить основные проблемы, с которыми сегодня сталкиваются компании.
Цель процессной аналитики – баланс между пользой, которую технология может принести бизнесу, и защитой прав на конфиденциальность. Интеллектуальный анализ процессов должен строго защищать личную информацию с помощью разнообразного набора сервисов безопасности данных.
Сегодня, как никогда, цифровая безопасность невероятно важна, а это означает, что компании должны делать все возможное, чтобы обеспечить кибербезопасность на должном уровне. Интеграция технологий и лучших практик, повышающих уровень конфиденциальности, формирует доверие к компаниям и дает уверенность в их дальнейшем росте. В интересах бизнеса применять методы повышения конфиденциальности. Цель – безопасно и по-новому взглянуть на процессы.
Мне кажется, от наших мошенников ни за какими инновационными баррикадами не скроешься