Как да защитим чатбот данните и личната информация на потребителите
Чатбот приложенията крият ли опасност за сигурността? Да, тези дребни добавки към Slack и други приложения за текстови известия, които отделите за човешки запаси употребяват, с цел да организират разнообразни изследвания на мнението на чиновниците и посредством които фирмите вземат предварителна информация за клиентите си, преди да ги свържат със чиновник на съответния отдел, крият заплаха за сигурността на фирмите.
ИТ промишлеността е изправена пред рецесия на сигурността и поради метода, по който купува ботове, споделя Роб Мей, изпълнителен шеф на занимаващата се с чатбот компания Talla. „ В ранните година на софтуерните услуги, при покупката им не се искаше мнението на ИТ мениджърите. Искате уеб браузър и си го купувате, да вземем за пример. И това не създаваше главоболие на ИТ отдела, до момента в който в един прелестен ден, не се оказа, че цялата компания се движи от стратегии “. Изведнъж сериозните интервенции започнаха да се ръководят от платформи, закупени без да се ползват положителните практики за ръководство на потребителите и данните. За да се реши казуса с уязвимостта от сходни чатбот приложения, Мей предлага да се канализира закупуването и инсталирането на всевъзможен вид стратегии.
За страдание, има възможност чиновниците към този момент да споделят през чатбота информация, касаеща заплащането им, здравните им и осигуровки и други сходни. При това положения, какво би трябвало да създадат ИТ мениджърите, с цел да предпазят теча на информация? Как да предотвратим сходна накърнимост, преди да възникне проблем? И какви въпроси още да си зададем?
Информирайте са защо ще се употребява чатбота
Започнете от актуалната обстановка и преди да купите, какъвто и да е артикул, поговорете със чиновниците, поучават от компанията за сигурност Rapid7. Това ще ви помогне в две направления: от сътрудниците си ще разберете дали стратегиите, които ще инсталирате, ще бъдат употребени по предопределение и още – ще се подготвите за възможните проблеми със сигурността, откакто знаете какъв вид данни ще би трябвало да защитавате.
Ако през чата ще тече някакъв диалог, а няма единствено да се предават данни, би трябвало да сте подготвени, че хората евентуално ще споделят повече информация, в сравнение с си мислят, допълват от Rapid7. Проблемът идва от това, че хората постоянно приказват на съществени тематики през приложения с незадоволителна надеждност.
Джим О’Нийл, някогашен изпълнителен шеф на платформата за онлайн маркетинг и продажби Hubspot, е безапелационен, че „ хората вършат данните уязвими “. През чат стратегия един чиновник може да изпрати на сътрудник емотинка „ оздравявай бързо “, само че по-късно те не престават диалога и стартират да разискват рака на болния.
За да правят работата, за която са конфигурирани, чатботовете, би трябвало да задават въпроси. Събраните данни, оказват помощ да оценят обстановката и да дадат отговор. О`Нийл споделя: " Тъй като ботовете питат доста, с цел да бъдат потребни, чувствителни данни са там. "
Например, в случай че бот води клиентите на здравноосигурителна компания, към съответния отдел, първо, ще изиска осигурителния номер на индивида, а чак по-късно – ще запита за коя услуга става дума.
Кой още вижда информацията от чата?
Освен, че в системата може да бъде въведена информация, която е поверителна, не е неприятно да запитате и кой ще вижда тази информация? Когато разглеждате предложение за закупуване на артикул от компания, с която до момента не сте работили, Мей поучава, ИТ мениджърите да запитат къде се пазят данните. Локално или в облак? Как се предават и по какъв начин се учи ботът?
Тъй като в множеството случаи се употребява машинното образование, чиновници от компанията на доставчика на програмата, ревизират чатбота, с цел да създадат усъвършенствания. Ако това е планувано, добре е да сте наясно кой има достъп до данните. Дали те минават през Mechanical Turk на Amazon? В общ файл ли вървят? Това значимо ли е за вас?
Има детайл на компромис, добавя той. Понякога чатботът е единственият метод да свършите дадена задача, тъй че би трябвало сте наясно: „ Могат ли данните, които сте дали да излязат от там? Къде отиват и по какъв начин се образоват ботовтете? “
Едно от решенията, които Мей вижда е да договорите SLA (споразумение за обслужване), в което да опишете рисковете. В допълнение, опишете условията си за ъптайм, упованията за качеството и други въпроси като криптирамето и равнището на сигурност, които нормално са обект на SLA. Например: Доставчикът работи ли с подизпълнители като Turk и каква е ролята им? Ще поддържат ли документ SSAE-16/SSAE-18 или SOC 2, до момента в който тече контракта ви? И какво следва, в случай че не изпълнят задължението си?
Поискайте доказателство на концепцията
За да се понижи риска, Rapid7 стартират договарянията за закупуване на чатботове от външни компании с така наречен доказателство на концепцията (POC), т.е тест на разгръщането на съответното приложение. Това е късмет потребностите на компанията да бъдат преоценени: значимо е да се види каква част от тях се покриват от бота? Ще бъгат ли обхванати всички отдели на компанията, или единствено част? Подобни неща имат отношение към към метода, по който планираме разгръщането и съответното образование. Независимо, че Rapid7 е софтуерна компания, не всички чиновници имат високо равнище на техническите умения, тъй че ботът би трябвало да е подсъзнателен.
Колкото по-интуитивно, толкоз по-добре: освен, тъй като чатботът ще извърши предназначението си, а също и потребителите няма да вкарват излишно персонална информация.
Ако се върнем към образеца с здравно-осигурителната компания, в случай че потребителите дават прекалено много персонална информация, чатботът би трябвало да се употребява елементарно. Ако ботът стартира с: „ Моля, кажете ми номера на запитването си “, надали някой ще отговори, че има обрив.
За чиновниците, които работят с чатботовете, би трябвало да се организира образование каквъв вид информация не би трябвало да се споделя. Обученията на чиновниците понижава риска от неприятно внедряване, както се случваше в зората на потреблението на софтуерни приложения. Ако чиновниците са наясно, за какво персоналната информация в чатботовете би трябвало да е предпазена, те ще са по-склонни да тестват новите ботове преди апаратура.
Внимавайте за дребните течове на данни от чатботовете
Мей предлага ИТ мениджърът да дефинира кои чиновници да конфигурират бота на по-ранен стадий и кои – на по-късен. Причината е, че огромна част от тези ботове ще употребяват идентификационни данни, с цел да се свържат със системите на компанията. Това би трябвало да се следи.
За да ограничите, внедряването на момента, би трябвало да разясните на чиновниците, че серия от дребни течове на данни, могат да провокират толкоз огромна загуба, колкото и един огромен теч. За да илюстрира казаното, Мей споделя за опит за хакерска офанзива против притежавания от него преди основаването на Talla снабдител на облачна бекъп услуга Backupify. Някой направил несполучилив опит да източи известна сума от сметката на компанията посредством имейла на финансовия шеф. „ Ако ботът знае нещо за компанията ви, посредством серия от въпроси, може да се стигне до значима информация и да се сглоби картината. “
Все отново, значимо е да не ставаме прекомерно подозрителни. От другите действия, в които вземат участие ботовете, сякаш човешките запаси са най-потърпевши. Чатботовете се употребяват, за възстановяване на успеваемостта в подбора на фрагменти, при запознаването на новите чиновници с компанията, както и за прогноза дали може да се чака даден чиновник да напусне компанията. Talla продава на HR-ите, ботове за отговор на обикновени въпроси като „ Колко отпуска ми остава? “ Обикновено тези услуги се посрещат с доста възторг. Ако нямате нищо срещу тази информация да стои при доставчика на услугата, може да извлечете много изгоди: по-добре проведени данни и осведомени решения.
ИТ промишлеността е изправена пред рецесия на сигурността и поради метода, по който купува ботове, споделя Роб Мей, изпълнителен шеф на занимаващата се с чатбот компания Talla. „ В ранните година на софтуерните услуги, при покупката им не се искаше мнението на ИТ мениджърите. Искате уеб браузър и си го купувате, да вземем за пример. И това не създаваше главоболие на ИТ отдела, до момента в който в един прелестен ден, не се оказа, че цялата компания се движи от стратегии “. Изведнъж сериозните интервенции започнаха да се ръководят от платформи, закупени без да се ползват положителните практики за ръководство на потребителите и данните. За да се реши казуса с уязвимостта от сходни чатбот приложения, Мей предлага да се канализира закупуването и инсталирането на всевъзможен вид стратегии.
За страдание, има възможност чиновниците към този момент да споделят през чатбота информация, касаеща заплащането им, здравните им и осигуровки и други сходни. При това положения, какво би трябвало да създадат ИТ мениджърите, с цел да предпазят теча на информация? Как да предотвратим сходна накърнимост, преди да възникне проблем? И какви въпроси още да си зададем?
Информирайте са защо ще се употребява чатбота
Започнете от актуалната обстановка и преди да купите, какъвто и да е артикул, поговорете със чиновниците, поучават от компанията за сигурност Rapid7. Това ще ви помогне в две направления: от сътрудниците си ще разберете дали стратегиите, които ще инсталирате, ще бъдат употребени по предопределение и още – ще се подготвите за възможните проблеми със сигурността, откакто знаете какъв вид данни ще би трябвало да защитавате.
Ако през чата ще тече някакъв диалог, а няма единствено да се предават данни, би трябвало да сте подготвени, че хората евентуално ще споделят повече информация, в сравнение с си мислят, допълват от Rapid7. Проблемът идва от това, че хората постоянно приказват на съществени тематики през приложения с незадоволителна надеждност.
Джим О’Нийл, някогашен изпълнителен шеф на платформата за онлайн маркетинг и продажби Hubspot, е безапелационен, че „ хората вършат данните уязвими “. През чат стратегия един чиновник може да изпрати на сътрудник емотинка „ оздравявай бързо “, само че по-късно те не престават диалога и стартират да разискват рака на болния.
За да правят работата, за която са конфигурирани, чатботовете, би трябвало да задават въпроси. Събраните данни, оказват помощ да оценят обстановката и да дадат отговор. О`Нийл споделя: " Тъй като ботовете питат доста, с цел да бъдат потребни, чувствителни данни са там. "
Например, в случай че бот води клиентите на здравноосигурителна компания, към съответния отдел, първо, ще изиска осигурителния номер на индивида, а чак по-късно – ще запита за коя услуга става дума.
Кой още вижда информацията от чата?
Освен, че в системата може да бъде въведена информация, която е поверителна, не е неприятно да запитате и кой ще вижда тази информация? Когато разглеждате предложение за закупуване на артикул от компания, с която до момента не сте работили, Мей поучава, ИТ мениджърите да запитат къде се пазят данните. Локално или в облак? Как се предават и по какъв начин се учи ботът?
Тъй като в множеството случаи се употребява машинното образование, чиновници от компанията на доставчика на програмата, ревизират чатбота, с цел да създадат усъвършенствания. Ако това е планувано, добре е да сте наясно кой има достъп до данните. Дали те минават през Mechanical Turk на Amazon? В общ файл ли вървят? Това значимо ли е за вас?
Има детайл на компромис, добавя той. Понякога чатботът е единственият метод да свършите дадена задача, тъй че би трябвало сте наясно: „ Могат ли данните, които сте дали да излязат от там? Къде отиват и по какъв начин се образоват ботовтете? “
Едно от решенията, които Мей вижда е да договорите SLA (споразумение за обслужване), в което да опишете рисковете. В допълнение, опишете условията си за ъптайм, упованията за качеството и други въпроси като криптирамето и равнището на сигурност, които нормално са обект на SLA. Например: Доставчикът работи ли с подизпълнители като Turk и каква е ролята им? Ще поддържат ли документ SSAE-16/SSAE-18 или SOC 2, до момента в който тече контракта ви? И какво следва, в случай че не изпълнят задължението си?
Поискайте доказателство на концепцията
За да се понижи риска, Rapid7 стартират договарянията за закупуване на чатботове от външни компании с така наречен доказателство на концепцията (POC), т.е тест на разгръщането на съответното приложение. Това е късмет потребностите на компанията да бъдат преоценени: значимо е да се види каква част от тях се покриват от бота? Ще бъгат ли обхванати всички отдели на компанията, или единствено част? Подобни неща имат отношение към към метода, по който планираме разгръщането и съответното образование. Независимо, че Rapid7 е софтуерна компания, не всички чиновници имат високо равнище на техническите умения, тъй че ботът би трябвало да е подсъзнателен.
Колкото по-интуитивно, толкоз по-добре: освен, тъй като чатботът ще извърши предназначението си, а също и потребителите няма да вкарват излишно персонална информация.
Ако се върнем към образеца с здравно-осигурителната компания, в случай че потребителите дават прекалено много персонална информация, чатботът би трябвало да се употребява елементарно. Ако ботът стартира с: „ Моля, кажете ми номера на запитването си “, надали някой ще отговори, че има обрив.
За чиновниците, които работят с чатботовете, би трябвало да се организира образование каквъв вид информация не би трябвало да се споделя. Обученията на чиновниците понижава риска от неприятно внедряване, както се случваше в зората на потреблението на софтуерни приложения. Ако чиновниците са наясно, за какво персоналната информация в чатботовете би трябвало да е предпазена, те ще са по-склонни да тестват новите ботове преди апаратура.
Внимавайте за дребните течове на данни от чатботовете
Мей предлага ИТ мениджърът да дефинира кои чиновници да конфигурират бота на по-ранен стадий и кои – на по-късен. Причината е, че огромна част от тези ботове ще употребяват идентификационни данни, с цел да се свържат със системите на компанията. Това би трябвало да се следи.
За да ограничите, внедряването на момента, би трябвало да разясните на чиновниците, че серия от дребни течове на данни, могат да провокират толкоз огромна загуба, колкото и един огромен теч. За да илюстрира казаното, Мей споделя за опит за хакерска офанзива против притежавания от него преди основаването на Talla снабдител на облачна бекъп услуга Backupify. Някой направил несполучилив опит да източи известна сума от сметката на компанията посредством имейла на финансовия шеф. „ Ако ботът знае нещо за компанията ви, посредством серия от въпроси, може да се стигне до значима информация и да се сглоби картината. “
Все отново, значимо е да не ставаме прекомерно подозрителни. От другите действия, в които вземат участие ботовете, сякаш човешките запаси са най-потърпевши. Чатботовете се употребяват, за възстановяване на успеваемостта в подбора на фрагменти, при запознаването на новите чиновници с компанията, както и за прогноза дали може да се чака даден чиновник да напусне компанията. Talla продава на HR-ите, ботове за отговор на обикновени въпроси като „ Колко отпуска ми остава? “ Обикновено тези услуги се посрещат с доста възторг. Ако нямате нищо срещу тази информация да стои при доставчика на услугата, може да извлечете много изгоди: по-добре проведени данни и осведомени решения.
Източник: computerworld.bg
КОМЕНТАРИ