Крейг Спизле и Дэвид Фаулер рассказывают о надежных данных и маркетинге

Примечание редактора: в сентябре 2015 года Дэвид Фаулер, глава Act-On по цифровому соответствию и конфиденциальности, провел беседу с Крейгом Шпизле, исполнительным директором Online Trust Alliance, о роли доверия в маркетинге сегодня. Далее следует отредактированная стенограмма этого разговора.

ДЭВИД ФАУЛЕР : За последние несколько лет мы стали свидетелями массовых нарушений безопасности в Интернете с сопутствующим личным ущербом для миллионов людей. Мы также стали свидетелями бурного развития цифрового маркетинга, который позволяет нам частично повысить качество обслуживания клиентов за счет персонализации практически в реальном времени. Людям нравится получать персонализированный маркетинг; это повышает скорость отклика.

Другая сторона этой медали заключается в том, что персонализация основана на данных о клиентах, которые компании собирают каждый день, поскольку кража ваших личных данных из-за того, что компания сделала или не сделала для защиты ваших данных, — это худший потребительский опыт, который вы могли бы получить. иметь. Эти вещи тесно связаны друг с другом в этой цифровой ДНК-экономике, в которой мы сейчас работаем.

Сегодня мы собрались здесь, чтобы изучить проблемы и роль, которую каждый директор по маркетингу и вице-президент по маркетингу может сыграть в обеспечении безопасности данных клиентов и поддержании высокого уровня доверия. Я здесь с Крейгом Спизле, исполнительным директором Online Trust Alliance. OTA — это некоммерческая организация, задача которой — повысить доверие к сети, особенно в области конфиденциальности, безопасности, интерактивного маркетинга и управления брендом. Добро пожаловать, Крейг.

КРЕЙГ ШПИЗЛЕ : Когда мы говорим о привлечении клиентов, будь то ответ на электронное письмо, нажатие на рекламу или совершение транзакции в корзине, доверие является основой всех этих взаимодействий. Что еще более важно, отсутствие доверия может значительно повлиять на вашу репутацию и вашу прибыль.

ДЭВИД : Крейг, расскажи нам больше об OTA и происхождении организации.

КРЕЙГ : В основе организации лежала проблема доверия к электронной почте.

В середине 2005 г. мы пытались внедрить лучшие методы борьбы со спамом, включая подделку и подделку электронной почты. По мере продвижения вперед мы опирались на это как на основу для аналогичных дискуссий на тему «Можем ли мы доверять веб-сайту, является ли он законным?» Можем ли мы доверять рекламе?

Мы пришли к выводу, что нам нужно обратить внимание на уважение к клиенту и защиту прав потребителей. Нам нужно обратить внимание на безопасность веб-сайта, с которым вы взаимодействуете, и конфиденциальность, как вы относитесь к этой конфиденциальности. Это почти как две стороны одной медали. И нам нужно смотреть на эти вещи в долгосрочной перспективе. Сегодня есть опасения, что если мы продолжим работать и сосредоточимся на соблюдении минимальных требований, не уделяя внимания управлению, доверие потребителей, как мы его знаем, будет подорвано и сильно повлияет на бренды, бизнес-цели и инновации на рынке.

Должен ли обычный бизнес включать ожидаемые утечки данных?

ДЭВИД : Начнем с данных. В сфере цифрового маркетинга именно с этого начинают большинство компаний: с данных, которые они хранят о потребителях, и с того, как они к ним относятся. Итак, давайте немного поговорим об утечках данных. Как вы думаете, это просто часть ведения цифрового бизнеса сегодня?

КРЕЙГ : Ну, наше общество и экономика управляются данными. Данные — это новая золотая лихорадка для многих мест и людей. Если все сделано правильно, это огромная ценность для бизнеса и потребителей. Тем не менее, в отличие от преступников, гоняющихся за дилижансами на Диком Западе, преступники эволюционировали, и они тоже признают, что эти данные имеют большую ценность.

Я думаю, нам нужно признать вероятность того, что все организации столкнутся с утечкой данных или инцидентом с потерей данных. И, осознав это, вы предпримете более эффективные шаги, чтобы помочь предотвратить, помочь обнаружить, а также помочь смягчить и устранить последствия этого. Не осознавая этого, вы окажетесь в затруднительном положении. И я полагаю, вам будет нанесен непоправимый вред как в репутационном, так и в юридическом аспекте вопроса.

Как защитить своего покупателя (и свою цифровую репутацию)

ДЭВИД : Не могли бы вы уточнить, что бренды могут сделать сегодня, чтобы защитить свою цифровую репутацию на современном рынке?

КРЕЙГ : Я бы сказал, что это касается не только брендов, но и каждой организации, поставщиков услуг, брендов, избирательных кампаний, всех, кто занимается сбором, хранением или обработкой данных.

Есть некоторые определенные основы, если вы сосредоточитесь на безопасности данных. Реальность такова, что когда мы на самом деле расследуем это — а мы наблюдали за этим в течение последних пяти лет, и данные очень убедительны — можно было бы предотвратить 95 с лишним процентов инцидентов с потерей данных. если делать простые вещи. Это включает в себя простое управление исправлениями. Это включает в себя простое использование готового программного обеспечения для предотвращения проблем, а также ограничение и повторную проверку доступа пользователей к системам.

Итак, мы смотрим на все эти вещи вместе взятые. В результате мы ежегодно публикуем руководство по обеспечению готовности к утечке данных. Мы также проводим мастер-классы. Цель состоит в том, чтобы помочь предприятиям понять те простые вещи, которые приводят к большинству нарушений, и как лучше реагировать.

Оборотной стороной этого является признание того, что у вас будет нарушение. Вы должны быть готовы. Это ничем не отличается от проведения пожарных учений в школе. Вы, как организация, должны иметь план устранения нарушений и проведения пожарных учений, как реагировать, и каждый элемент реагирования от уведомления затронутых сторон, работая с правоохранительные органы, внутренние коммуникации и смежные области. Опять же, речь идет о предупреждении заранее, а затем о том, как общаться и решать проблемы в будущем.

ДЭВИД : Сделав еще один шаг, что могут сделать бренды, если вы, например, интернет-магазин или любая другая организация, которая регулярно взаимодействует с потребителями? Что мы можем сделать, чтобы помочь защитить наших потребителей в большей степени, чем то, что вы упомянули?

КРЕЙГ : Первое, что нужно сделать, это перепроверить коммерческую цель данных, которые вы собираете. Во многих случаях, когда мы действительно участвуем в рассмотрении инцидента с утечкой данных, возникают вопросы, например: «Зачем мы вообще собираем эти данные? Эти данные все еще актуальны для нашего бизнеса? Как мы его храним?» Это простая идея: если вы не сохраните это, вы не сможете это потерять. Так что это одна из первых вещей, о которых нужно подумать.

Другим элементом является повторная проверка доступа пользователя . Что обычно происходит в организации, так это то, что чья-то работа меняется, но мы не можем отозвать разрешения или доступ к данным. Дело не в том, что они плохие работники; речь идет об уменьшении риска или угрозы. Так что, если электронная почта Дэвида или пароли Дэвида будут скомпрометированы, это ограничит разоблачение или риск этого. Думайте об этом как об установке брандмауэров в здании. С брандмауэром, если в одной квартире пожар, он не распространяется на другую. То же самое, если у вас есть широкие права пользователя, и они скомпрометируют одну область, они могут затем скомпрометировать другие системы. Опять же, это модель сдерживания ваших данных, а также повторной проверки прав доступа пользователей.

Электронная почта как вектор атаки

ДЭВИД : Давайте немного сменим тему и поговорим об аутентификации по электронной почте. Как вы упомянули ранее, на самом деле это было зарождение OTA. И я знаю, что вы проделали огромную работу по информированию и поддержке и распространению этого сообщения, без каламбура, с точки зрения аутентификации по электронной почте. Можете ли вы дать нам краткую информацию о том, как обстоят дела в отрасли с точки зрения внедрения аутентификации?

КРЕЙГ : Я ценю эту возможность, потому что в конечном итоге электронная почта является одним из основных, если не основным вектором атак сегодня. Очень легко подделать и подделать электронное письмо, чтобы убедить пользователя открыть письмо, содержащее вредоносные ссылки или вредоносное вредоносное ПО, чтобы скомпрометировать пользовательское устройство, а затем выполнить взлом.

Именно так и произошло все нарушение Цели. Поставщик получил письмо, открыл его, его система была скомпрометирована, у него есть доступ к другим системам в Target, и это был эффект домино. Это говорит о важности проверки вашей почты как для входящей стороны организации, так и для ваших потребителей или избирателей, которым вы отправляете почту.

Что делает аутентификация электронной почты, так это помогает интернет-провайдеру или принимающей стороне подтвердить, что отправитель имеет право отправлять сообщения от имени владельца домена. Для этого существуют различные технические протоколы или стандарты, но они очень дополняют друг друга. SPF [от кого разрешен отправитель] и DKIM [ключи домена, идентифицированные по электронной почте] являются ведущими двумя, и они очень дополняют друг друга. Я всегда думаю об этом как о чашке арахисового масла Риза. Они хороши по отдельности, но значительно лучше, когда работают вместе. Они охватывают варианты использования друг друга или дополнительные случаи, чтобы помочь проверить аутентификацию.

Хорошая новость в том, что у нас было отличное усыновление. Плохая новость заключается в том, что это несовместимо между субдоменами. Это область, которая требует большего внимания со стороны руководства в компаниях по всем субдоменам, которыми они могут управлять или делегировать другим. Все ли они аутентифицируются на 100 процентов? Получив уверенность в том, что вы можете аутентифицироваться, вы можете опубликовать политику DMARC [Domain-based Message Authentication, Reporting & Conformance], еще один технический стандарт, который предоставляет принимающей сети или провайдеру четкие инструкции о том, как обрабатывать почта, которая не работает.

Таким образом, вы комбинируете SPF и DKIM, снова аутентифицируя почту, которая предположительно исходит из вашего домена, и DMARC, предоставляя утверждение политики обратно провайдеру, вы можете очень легко предотвратить большинство, если не все, попыток подделки электронной почты.

Тем не менее, SPF и DKIM сильно выросли. DMARC сейчас очень, очень ограничен в процессе внедрения. Нам нужно удвоить наши усилия по внедрению в этой области.

ДЭВИД : Если бы у вас была система показателей или табель успеваемости, как обстоят дела в этой отрасли с точки зрения внедрения аутентификации?

КРЕЙГ : На самом деле у нас есть оценочная карта. И Дэвид, как вы, наверное, знаете, помнит, что OTA ежегодно публикует то, что мы называем онлайн-аудитом доверия. Мы оцениваем 500 лучших сайтов электронной коммерции, 100 лучших банков и т. д. Например, если вы посмотрите на 500 лучших сайтов электронной коммерции, 78% из них используют как SPF, так и DKIM. И это здорово. В прошлом году было 74 процента. 2012 году он составлял 43 процента. Таким образом, с 2012 года мы выросли на 35 %. Таким образом, мы добились значительного роста популярности среди ведущих розничных продавцов. Банковский сектор немного отстает на уровне 63%, что вызывает тревогу из-за большого количества поглощений банков и тому подобного. Это ключевые области, о которых нужно знать.

Область DMARC вызывает большую озабоченность. Опять же, у нас есть основа для реализации SPF и DKIM. Но только 22% из 500 крупнейших ритейлеров внедрили DMARC. Таким образом, нам предстоит пройти долгий путь, чтобы действительно улучшить защиту и целостность электронной почты как канала.

ДЭВИД : Не могу не согласиться, Крейг. Очевидно, чрезвычайно важно создать свою цифровую репутацию, опубликовав аутентификацию в той или иной форме, потому что это действительно первое место, с которого начинается отправка любого типа электронной почты, не только коммерческой, но, безусловно, и корпоративной почты.  

Состояние законодательства о конфиденциальности

Давайте немного переключим передачу. Я хотел бы поговорить о некоторых инициативах в области конфиденциальности, поскольку они касаются американских и, возможно, международных инициатив в области конфиденциальности. Уже несколько лет на государственном уровне действует множество законов о конфиденциальности. Очевидно, что Калифорния является образцом для всего, что связано с конфиденциальностью, поскольку это связано с инициативами штата.

Но видите ли вы какое-либо одностороннее национальное законодательство о конфиденциальности в ближайшем будущем? И если да, то есть ли у вас какое-либо представление о том, что это может быть?

КРЕЙГ : К сожалению, мой энтузиазм и оптимизм в отношении национального законодательства не так высоки. Это очень разочаровывает, потому что я думаю, что деловое сообщество действительно выиграет от этого. Но опять же, у вас есть несколько очень сильных лоббистских организаций, которые считают, что реального вреда нет, и нужно преодолеть его, а не продвигать его. Но, в конечном счете, законные предприятия хотят знать, они хотят разрабатывать продукты, они хотят иметь инновации. Я думаю, что наличие универсальной или, по крайней мере, национальной структуры принесет пользу как бизнесу, так и потребителям.

То же самое касается законодательства об утечке данных. Вы могли бы подумать, что после нарушений типа «Титаник», которые мы испытали в отношении крупных розничных продавцов, будет достаточно, чтобы продвинуться вперед. Но сегодня у нас есть 47 различных уровней законодательства о утечке данных. Таким образом, мы бросаем вызов в этих областях. А два года назад президент Обама представил в Белом доме билль о правах на неприкосновенность частной жизни. Это было здорово, я был там. Через 24 часа основные торговые группы заявили, что не собираются его поддерживать. Это вызов. Я думаю, что призыв к действию таков: давайте рассмотрим здесь долгосрочную выгоду, признаем неприкосновенность частной жизни и право потребителя на неприкосновенность частной жизни как актив, ничем не отличающийся от окружающей среды.

Нам нужно обратить на это внимание, потому что, опять же, если мы продолжим пренебрегать конфиденциальностью, она может стать похожей на ядовитую утечку, которой со временем потребуется много времени, чтобы восстановить и оживить окружающую среду. И это проблема, с которой мы сталкиваемся сегодня в частной жизни.

ДЭВИД : Пройдя через первые дни законодательства о CAN-СПАМе, ​​опционе или отказе от участия, а также дебатах вокруг этого, стало совершенно ясно, что мы движемся по пути согласия, пока некоторые лоббисты не вмешались в самую последнюю минуту. И теперь у нас есть этот закон об отказе от участия, в соответствии с которым мы должны действовать. Так что да, интересно посмотреть, как работают колеса правительства. И, очевидно, что в следующем году будут выборы, и, вероятно, нет желания продвигать какое-либо достаточное законодательство о конфиденциальности, поскольку оно связано с выгодой для потребителей в ближайшем будущем.

КРЕЙГ : Одним из материалов, которые мы только что опубликовали, была проверка 23 кандидатов в президенты. Что было невероятно, так это то, что у шести из них не было политики конфиденциальности или политики, которая не касалась каких-либо основ конфиденциальности. Страшно подумать, что один из этих кандидатов может стать следующим президентом Соединенных Штатов, и что их кампании и их сотрудники действительно не фокусируются на потребительских данных и конфиденциальности с точки зрения потребителя. И это касается, поскольку мы движемся вперед. Таким образом, мы надеемся продвигать мяч вперед, повышая эту осведомленность, а также повышая осведомленность о том, что потребители должны думать о сайтах, которые они часто посещают.

Последствия Интернета вещей для конфиденциальности

ДЭВИД : Мы много слышим об Интернете вещей и подобных инициативах. Есть ли у вас какое-либо представление о последствиях для конфиденциальности, связанных с Интернетом вещей? И о чем мы, как предприятия, должны начать думать, чтобы подготовиться к тому, когда Интернет вещей станет мейнстримом?

КРЕЙГ : Интернет вещей производит огромное количество инноваций, внедряется огромное количество продуктов и услуг, но систематически не удается рассматривать безопасность и конфиденциальность целостно.

Мы разработали структуру, которую мы называем инфраструктурой доверия IOT , инфраструктурой Интернета вещей. Это рассматривает устойчивость с точки зрения долгосрочного воздействия. Как моя гаражная дверь будет обновлена ​​или исправлена? Как я узнаю? Какие данные собираются с течением времени, как уведомляется потребитель? И будь то радионяня, служба цифровой потоковой передачи в доме, устройство для открывания гаражных ворот или носимая техника, эти устройства собирают огромное количество данных. Действительно ли мы думаем о том, как эти данные хранятся, как они передаются и опять же, какова политика конфиденциальности? Знаем ли мы, как этот производитель телевизоров делится данными? Есть ли у потребителей прозрачность и возможность выбора или отказа?

Таков ландшафт, который мы имеем сегодня. Ежедневно выпускаются буквально тысячи устройств. Все, от лампочек до радионянь, как мы уже упоминали, до бытовой техники. Нам нужно посмотреть на это. Положительной стороной является то, что производители устройств ищут это лидерство, мало чем отличающееся от проблем, связанных с отсутствием законодательства об утечке данных. Сегодня нет ни законодательства, ни даже кодекса поведения или лучших практик. За последние восемь месяцев OTA собрала очень широкую группу заинтересованных сторон, чтобы собраться вместе и помочь разработать эту структуру, чтобы мы могли лучше понять и решить проблемы безопасности, конфиденциальности и устойчивости устройств IoT и данных, которые они собирают.

ДЭВИД : Существует огромное количество проблем, связанных со всем, что связано с сетью. У меня есть это видение моего домашнего холодильника, ломающегося и не говорящего с кофеваркой или тостером. Думаю, мне нужно пойти домой и проверить это. Но, безусловно, вокруг этого много проблем.

О каких дополнительных цифровых угрозах мы должны думать сейчас? Это нагруженный вопрос, потому что мы действительно не знаем. Но что, по вашему мнению, произойдет, исходя из того, что вы видите в трендах цифровой экосистемы?

КРЕЙГ : Потребители получают огромные преимущества. Мы переходим от нескольких компьютеров из наших домов к читателям и мобильным устройствам. Эти устройства всегда с нами. Иногда это хорошо, иногда это плохо. Возможность отслеживать потребителя с одного устройства на другое может быть отличной, если он помнит, где я читал статью, и в следующий раз, когда я открою ее в самолете, он вспомнит то же самое. В кросс-девайс-трекинге есть много положительных сторон. Обратным является то, как еще он используется, что может не соответствовать ожиданиям потребителя.

Сегодня у нас есть среда, в которой у нас есть отслеживание, у нас есть технологии распознавания лиц, у нас есть дроны. Каковы проблемы с конфиденциальностью? Мы говорим о праве на неприкосновенность частной жизни в вашем доме, но как насчет беспилотника, который летает над вами, как эти данные собираются и используются? У нас есть области, на которые нам как политикам и бизнес-лидерам необходимо обратить внимание, потому что власть государства огромна, но и сила злоупотреблений может быть столь же значительной.

ДЭВИД : Я не могу не согласиться с вами. Я только что обновил свой кабель дома, и одной из новых функций является информация о моей учетной записи. Биллинг, вся моя личная информация отображается на моем телевизоре, что было довольно удивительно, и я чувствовал себя крайне ущемленным, когда вчера включил его.

Сложность сохранения анонимности и конфиденциальности

ЧЛЕН ИЗ АУДИТОРИИ : Я помню, как читал историю о совместной фильтрации и о том, как мало точек данных требуется, прежде чем вы сможете начать делать довольно точные прогнозы. Будете ли вы говорить об этом в отношении данных и конфиденциальности?

КРЕЙГ : Ну, абсолютно. Хорошим примером является этот судебный процесс с AOL несколько лет назад. Они утверждали, что, по сути, анонимизировали всю информацию, и не потребовалось много усилий, чтобы на самом деле сказать: «Ну, подождите секунду, вот парень, ему 42 года, у него не так много растительности на лице, у него английский акцент, живет в определенном почтовом индексе и все такое. И вдруг вы с 99-процентной точностью определяете, что это Дэвид Фаулер.

Я с большим уважением отношусь к чьей-либо личной жизни, будь то их политическая точка зрения или взгляды на современные проблемы. Они очень быстро становятся уязвимыми. Это разочаровывает, потому что с юридической точки зрения аргумент таков: «Покажите мне ущерб, ничего страшного, что я знаю политическую точку зрения Дэвида или его личные интересы. Так в чем реальный вред?» Это проблема правовой модели США. Это подход, основанный на вреде. В то время как ЕС верит в это фундаментальное право на неприкосновенность частной жизни. Падение Safe Harbor выдвигает на первый план эту проблему.

Невероятно думать, что спустя десятилетие мы говорим об одних и тех же проблемах. Я думаю, что иногда мы так сильно сосредотачиваемся на негативе, и я продолжаю пытаться вернуться к тому, что потребители сегодня получают огромную ценность. Проблема в том, что мы достигаем переломного момента, когда потребители теряют доверие. Мы это уже видим. Люди отвечают; больше людей используют блокировщики рекламы, чем когда-либо. Почему? Потому что они не доверяют рекламе. Их беспокоят методы обеспечения конфиденциальности, которые они не могут контролировать, и вредоносная реклама.

ДЭВИД : Это определенно обсуждалось десять лет назад; вот к чему мы шли: вы не можете доверять электронной почте, вы не можете доверять бренду и т. д. Очевидно, что в этой сфере все немного сложнее, но раньше, когда мы были сосредоточены только на электронной почте, это был тот же самый разговор.

КРЕЙГ : Опять же, это долгосрочная перспектива. Мы используем аналогию с загрязнением и окружающей средой. Многие люди говорят: «Ну, это просто немного масла, которое уходит в канализацию, это не так уж и важно, смиритесь с этим. И это просто ваш домашний адрес, кто-то может получить его в другом месте».

Но сила больших данных и аналитики заключается в возможности добавлять все эти данные к другим источникам данных; то, что кажется отдельными пикселями информации, становится очень всеобъемлющей композицией чьего-то образа жизни. В правильном контексте это может быть очень мощным; в неправильном контексте это может нанести вред кому-то и их образованию, их возможностям трудоустройства или в других областях. Так что это опасения.

Преимущества для бизнеса при присоединении к OTA

ДЭВИД : Не могли бы вы немного рассказать о том, какую выгоду получит компания, присоединившись к OTA и к организации, которую вы представляете?

КРЕЙГ : Online Trust Alliance — это благотворительная организация 501(c)(3). Верные нашей миссии, мы работаем с широкой группой заинтересованных сторон, чтобы разработать то, что мы считаем принципами и передовыми методами, которые укрепляют доверие, но не менее важны и демонстрируют приверженность саморегулированию. Я думаю, что бизнес имеет значительную выгоду во всех аспектах этого. Бренды выигрывают, потребители выигрывают, и последнее, что кому-либо нужно, — это законодательство и правила, которые ограничивают нашу способность быть прогрессивными и инновационными.

У компаний действительно есть место за столом. Они помогают формировать это. Мы снова работаем не только в США, мы работаем над этими вопросами на международном уровне. Когда мы подходим к проблеме, мы делаем это не от имени одной компании или группы компаний, а от имени экосистемы. У нас есть такие компании, как Gap и Publisher's Clearinghouse, Target, крупные компании, производящие сигнализацию, а также поставщики услуг, а также такие компании, как Microsoft, Twitter и другие. Мы можем привнести это идейное лидерство и эту базу знаний, а также продвигать наши передовые методы. Еще одним важным преимуществом является то, что компании учатся друг у друга. Обучение по принципу «равный-равному» очень эффективно, и я думаю, что присоединение к OTA действительно поможет компании ускорить бизнес-планирование и достижение бизнес-целей.

ДЭВИД : Я видел, как развивалась группа, и, безусловно, получил пользу от обмена знаниями в личном и профессиональном плане. Так что мы, безусловно, ценим, что вы дали нам возможность сделать это. Крейг, я хотел бы еще раз поблагодарить вас за ваше время и ваши идеи. Я очень ценю ваше участие в разговоре. И я с нетерпением жду возможности пообщаться с вами снова.

КРЕЙГ : Спасибо вам, и спасибо Act-On за ваше лидерство, за то, что сделали это возможным и за поддержку нашего видения и наших усилий за последнее десятилетие.

Опередите законы о защите данных и узнайте о структуре соответствия для ЕС с помощью бесплатного руководства Act-On — Обзор защиты данных в ЕС.