免责声明:下面显示的文本已使用第三方翻译工具从另一种语言自动翻译而来。
数据保护公司 – 白皮书
消费者对日益严格的隐私法规环境的信心
在过去四年中,数据隐私限制变得越来越重要。消费者越来越担心个人数据的披露和使用,信任是一个重要因素。根据Salesforce的一项民意调查,48%的客户声称由于疫情期间滥用个人信息,他们对企业失去了信任。随着世界变得越来越由技术驱动,个人越来越担心自己的个人隐私,数据隐私立法正在世界各地迅速形成,以保护消费者。
在欧洲,GDPR是2016年生效的第一个主要数据隐私政策。紧随其后的是《加州消费者隐私法》(CCPA) 和巴西《通用数据保护法》(LGPD),所有这些都于 2020 年生效。其他国家和民族正在迅速效仿;例如,在美国,科罗拉多州和弗吉尼亚州已经批准了将于2023年生效的隐私立法。虽然印度正在制定隐私立法,但联合议会委员会关于数据保护法案的报告已于 2021 年 12 月提交。不断增长的规则、立法和合规性以及数据泄露风险的增加是影响当今组织数据安全的最重要问题之一。必须识别、分类和保护所有数据,以使组织的数据安全并符合规则。
几年前,当欧盟的GDPR和加州的CCPA推出时,它们引起了不小的轰动。(《加州隐私权法案》于 2023 年 1 月 1 日生效,修订并扩展了 CCPA。跨国组织现在面临着大量来自利益竞争的国家的不同数据保护和安全法律。要成功驾驭它们,应该立即开始计划,同时考虑几个因素。
中国的《数据安全法》和《个人信息保护法》下的《跨境数据传输法》是规则激增的两个例子 。 这项立法已经使将个人数据转移到中国境外或访问存在风险。它需要在 2023 年 3 月 1 日之前完成网络安全检查,否则将承担后果。印度、巴西和俄罗斯也在探索数据保护立法。
为什么数据隐私在 2023 年很重要?
监管对数据的关注在 2022 年有所加强,预计今年将达到白热化程度。中国国家互联网信息办公室最近发布了隐私认证标准,而印度政府最近公布了其数据保护法案草案,该草案可能会在2023年进行投票。我们可能会对这两个国家以及俄罗斯、乌克兰、巴西、日本和其他国家的数据法规做出更多期待。
部分得益于人工智能分析的突破,公司正在发现使用他们收集的数据的新方法:更有效地运行,管理风险,改善客户服务,构建和支持新的商业模式,等等。数据安全比以往任何时候都更加重要。根据IBM最近的一份报告,目前东盟国家数据泄露的平均成本为287万美元。研究人员不仅考虑了技术支出,还考虑了法律和监管成本,以及品牌资产损失、客户流失和员工生产力的消耗。最重要的是,必须考虑对组织声誉的不可逆转的损害,侵蚀利益相关者的信心,并危及数据隐私。越来越多的企业意识到,从一开始就将隐私纳入其产品和服务不仅是道德上的事情,而且也可以非常有利可图。例如,新加坡提倡使用隐私设计方法,以确保正确使用和保护个人信息。
以隐私为中心的技术的增长将随之而来。随着客户越来越担心他们的在线隐私,对以隐私为中心的解决方案的需求将激增。安全聊天应用程序和浏览器,以及虚拟专用网络(VPN)和加密电子邮件服务就是例子。重要的是要记住,虽然这些技术可以帮助公司保护他们的数据,但它们并不是灵丹妙药。公司必须保持警惕并采取预防措施来保护他们的数据。法规也变得越来越严格。世界各国政府都注意到对数据隐私的日益关注,并开始采取行动。自欧盟的《通用数据保护条例》(GDPR)于2018年生效以来,额外的限制不断增加。随着越来越多的国家寻求制定数据保护规则,预计这一趋势将继续下去。
提高透明度也至关重要。人们越来越意识到保护个人信息的必要性,以及公司对其数据收集和使用政策更加负责的必要性,正在推动数据隐私透明度更高的趋势。通过在 2023 年为个人提供对其数据的更大控制权,企业将对其数据实践更加开放。个人应该能够查看、修改或删除其个人信息,以及选择退出某些形式的数据收集。这对客户和企业来说都是双赢的局面,因为它创造了信心、开放和责任感。
数据泄露的影响
数据泄露对企业的影响是严重的,而且在不断增长。这主要是由于与通知数据被黑客入侵的个人相关的监管负担日益增加。受数据泄露影响的公司的通知程序和制裁因美国和加拿大境内外的司法管辖区而异。遭受涉及其客户的数据泄露的企业必须确定其客户的居住地以及哪个监管机构具有管辖权。规则规定了违规后必须披露的数据类型,以及必须联系谁,必须如何执行通知以及是否必须向某些当局发出警报。个人、财务和健康数据泄露通常受通知义务的约束,但具体定义因州而异。从事国际商务的企业可能在多个司法管辖区拥有消费者,并且必须满足许多标准。对于某些企业来说,这种程序的成本,包括法律罚款、潜在的损害赔偿以及任何相关的诉讼,可能过于昂贵。涉及不同类型数据的数据泄露可能会对公司的声誉和经济地位产生重大影响。除了合同要求外,数据泄露还可能危及公司的计划出售,就像最近Verizon收购雅虎一样。
随着企业对新的隐私规则做出反应,当局超越了个人数据的持续管理,这一事实增加了问题。数据泄露和泄露变得越来越频繁。因此,监管机构不仅要审查公司如何在违规之前维护个人数据,还要审查之后如何应对。后续审计确定公司是否改进了导致数据泄露的做法。如果当局认为该公司为避免最初的违规行为和未来事件所做的努力不足,他们将处以更高的罚款。
2020年,出现了一系列欺诈和欺诈活动。数据泄露以惊人的速度暴露了客户的个人身份信息 (PII),使超过 3 亿人面临身份盗用和欺诈的风险。网络犯罪分子还集中精力进行更有利可图的黑客攻击,例如勒索软件、撞库、恶意软件和 VPN 利用。这些策略不仅使消费者信息面临在暗网上出售的风险,而且还给组织带来了高昂的成本,尤其是金融机构(FI),由于他们存储的个人信息的敏感性,它们成为网络攻击目标的频率是其他行业的 300倍 。
数据泄露在我们的个人和职业生活中每天都会发生。因此,无论我们在Walgreens或Barnes&Noble购物,与Capital One银行业务,与T-Mobile或Zoom沟通,还是拥有塔夫茨健康计划医疗保险,如果您的数据作为交易的一部分,它都有可能被暴露。暗网——互联网上不可搜索的一部分——就是证明。在互联网的那些未索引部分,有一个买家在等待享受您身份的任何被盗部分的好处。但并非新闻中的每个违规行为都值得关注,通过了解发生违规行为时要寻找哪些信息来避免违规疲劳至关重要。
合成身份欺诈:新出现的威胁
调查人们留下的数据线索可以帮助银行确定他们的客户是否真实,从而减少这种迅速上升的金融犯罪造成的损失。由于银行在技术方面的投资,它们在避免多种欺诈方面更加善于应对,但犯罪也随之发展。许多欺诈者现在使用虚假的合成身份,而不是被盗的信用卡或身份(ID)。事实上,根据我们的计算,合成身份欺诈是美国增长最快的金融犯罪类型,占典型无抵押贷款组合中冲销的10%至15%。最近在其他国家也记录了合成身份欺诈。令人担忧的是,在这些身份背后,更大的损失正在像埋藏的定时炸弹一样积聚。
合成身份欺诈 (SIF) 配置文件基本上是一个虚构的角色,由身份识别件(通常取自真人)组成,例如姓名、社会安全号码和地址。为了协助银行标准化SIF报告,美联储于2021年4月制定了以下定义。虽然定义很简单,但创建SIF配置文件的方法非常复杂,需要自动化和机器学习。
尽管SIF与“传统”身份盗窃具有某些特征,但其起源,行为和影响与前几代金融犯罪有着根本的不同。
合成欺诈简史
在 2000 年代初期,欺诈调查人员开始确定信用卡申请的趋势,其中申请人的社会安全号码 (SSN) 与发卡的名称不匹配。虽然当时没有官方术语,但欺诈历史学家认为有担保信用卡是合成身份欺诈的第一个攻击点,而其他人则认为弗兰肯斯坦身份的模式主要在无担保信用卡和 电信行业。但弗兰肯斯坦的身份突然出现,大量欺诈者开始创建新的信用卡账户,他们利用这些账户迅速积累余额,然后离开,从未支付过一笔款项。开证行将这些冲销中的绝大部分注销为信用损失。随着犯罪分子通过按时支付卡交易表现出更多的耐心,这种技术不断发展。然后,他们将向卡收取超过信用额度的费用并“破产”(在不支付另一分钱的情况下最大化卡),允许他们积累超过信用额度的非法收益。
为了建立身份,合法信息与合成身份欺诈中的欺诈性信息混合在一起。由此产生的人工或合成身份具有足够的可验证信息以显示真实,使其可用于创建虚假帐户,进行欺诈性购买以及欺骗商店,政府组织和金融机构。
sif 损失不断增加
合成身份只占消费者账户的一小部分,但却是造成大量盗窃的原因。根据FiVerity的网络欺诈网络,去年美国金融机构的SIF损失增加到200亿美元。
身份窃贼不仅可以访问支票、储蓄和 401(k) 账户,还可以使用这些信息拼凑新的虚假身份,每次发生美国贷方的成本在 10,000 美元到 15,000 美元之间,或每年 60 亿美元。数据泄露会对企业生产力和收入产生重大影响。需要验证其身份完整性的员工 - 或者必须经历修复被盗身份的艰巨过程 - 预计将失业六年月和 100 到 200 小时。这对员工的精神状态有巨大影响,并可能导致健康问题,例如相当大的个人压力、持续的焦虑和不满。员工可能会对他们保护个人数据的效率持谨慎态度,从而导致客户的业务成果受到影响。数据泄露会对企业生产力和收入产生重大影响。需要验证其身份完整性的员工 - 或者必须经历修复被盗身份的艰巨过程 - 预计将失业六个月零100至200小时。这对员工的精神状态有巨大影响,并可能导致健康问题,例如相当大的个人压力、持续的焦虑和不满。员工可能会对他们保护个人数据的效率持谨慎态度,从而导致客户的业务成果受到影响。
测量 SIF 的挑战
隐身 - 与需要目标公司注意的勒索软件不同,SIF 只有在未被发现时才成功。SIF通过冒充实际的低信用申请人,要求适度贷款,并在接受时及时付款,从而在雷达下运作。SIF账户即使在被泄露后也经常保密,因为金融机构将盗窃归咎于糟糕的承保。
报告——除了银行不能披露它们不知道的罪行这一明显困难之外,尚未建立确认和报告SIF的程序。由于SIF是一种相对较新的罪行,因此没有官方数据库来对每个实例进行分类,例如FTC的哨兵。
进化 - 随着时间的推移,犯罪分子利用人工智能和机器学习使 SIF 程序更难被发现。人工智能系统从被接受和拒绝的贷款申请中学习,这为机器学习模型提供了重要的输入。这种反馈循环有效地帮助欺诈者识别每个旧系统的欺诈检测标准的阈值,并开发新的配置文件,以更好地躲避它们。
根据麦肯锡公司的数据,合成身份欺诈是美国增长最快的金融犯罪,占典型无担保贷款组合中冲销的15%。合成身份盗窃的阴险之处在于,即使在发生巨额经济损失之后,它也极难被发现。金融机构(FIs)往往不知道他们已成为使用合成身份欺诈的运营商的目标,而是假设信用损失仅仅是由于客户无法或不愿意偿还,然后按照惯例注销损失。这些假消费者似乎通过了最初的识别嗅探测试,这只是导致重大经济损失的众多问题之一。另一个是,合成身份欺诈者可以花费长达五年的时间来培养弗兰肯斯坦的账户身份,在使用业内所谓的“破产”之前建立金融机构的信心,在这种破产中,信贷额度被最大化,然后突然放弃。
当虚假身份的风险增加时,不再像获得各种身份证明来验证身份那么简单。公司必须了解这些新威胁,知道从哪里寻求解决方案,并修改其欺诈预防程序。由于欺诈账户似乎是真实的,传统的欺诈检测技术可能会错过合成身份。与其放弃现有的欺诈保护系统,专家建议维护它们,同时补充新的安全措施。
那么,如何识别合成欺诈呢?
专家表示,调查人员应该假设每个身份识别都有潜在的欺诈行为,并采取相应的行动。他们应该考虑他们是否有权访问完整的公共记录存储库,以验证其受试者的完整数据是否存在于多个数据集中,例如所有三个信用局、公用事业文件、工作记录和银行账户记录,仅举几个例子,这些来源由今天进行身份检查的企业评估。调查人员应确定他们是否获得了足够的个人身份信息,以完全验证受试者在记录中的存在。仅仅有受试者的姓名和出生日期是不够的。搜索应提供其电话号码、地址、电子邮件地址等。
研究人员应该尝试确定受试者的身份存在了多长时间以确定其主体是否是新生成的标识。当他们对问题进行搜索时,他们应该查看是否在公共记录数据库中找到可比较的身份。调查人员在评估搜索结果时应寻找目标人员或企业创建的指标。简而言之,随着人工智能技术和工具在完成身份验证和了解客户检查方面的改进,合规专业人员应利用他们提供的能力进行更深入的研究,提供最新数据,并剔除不相关的发现。
人工智能能解决这些问题吗?
欧盟委员会于 2021 年 4 月 21 日发布了其建议规则草案,即欧盟 GDPR 生效大约五年后。它为人工智能系统的使用及其收集的数据提供了一套指导方针。与GDPR一样,该裁决将适用于位于欧洲经济区或与欧洲经济区有联系的公司。在处理合规问题时,当局着手避免许多常规漏洞。例如,这些适用于在欧洲经济区使用的人工智能信息,即使它是在欧盟以外获得和创建的。
随着组织的扩展,其员工队伍变得更加全球化、多样化和分散,企业采用新的云、本地系统和部署智能设备,基于一组固定上下文(例如,在访问管理、时间、地理位置、设备操作系统等的情况下)的静态策略的旧模型开始失效。政策越来越多;上下文不考虑用户历史记录;并且很难防止未来的攻击路线。这是人工智能安全开始真正闪耀的地方。这些安全系统使用以前的操作、事件和漏洞来独立构建自己的模型,而无需持续的人工监控。他们是聪明的,因为他们可以自己做出判断,而敏锐的,因为他们可以广泛而深刻地看待数据。它们本质上易于维护和主动,因为它们通过使用新数据不断学习和适应。近年来,这一领域发展迅速,对于识别和预防攻击和违规行为至关重要。此处介绍了一些用例。
数据保护
Data Safeguard是一家人工智能公司,提供数据隐私和合成欺诈解决方案。其解决方案是企业级、组件建模和架构扩展的,以满足全球、联邦和州级合规性要求,并防止因弗兰肯斯坦身份造成的重大财务损失。
数据保护解决了以前无法解决且人类无法解决的数据隐私和合成欺诈挑战。它基于 AI/ML 的解决方案采用先进的模型和算法以及基于超级计算机的数据加速器,可提高效率并准确控制复杂数据环境中大量预测 PII 数据元素。公司的SaaS产品可在5个主要渠道上使用,即:企业内部部署,企业云,客户API,市场API和电子商务平台,涵盖全球和个人客户。
Data Safeguard的产品ID-REDACT,® ID-MASK®,ID-FRAUD,ID-AML由其正在申请专利的平台 - Cognoscible Computing Engine(CCE®)提供支持。CCE®采用模型和算法构建,利用人工智能和机器学习技术的超准确性能力,使其产品在当今充满挑战的市场中成为最有效的数据隐私和合成欺诈解决方案。
Data Protects继续获得市场份额,并继续在全球各地积极招聘员工,为未来的增长做好准备。
数据保护者
一支由经验丰富的业务和技术专业人士组成的全球团队,拥有 300 年的丰富经验。该团队拥有独特的企业家精神,产品开发,客户实施管理和其他技能。该团队一直在合作,以响应宇宙的需求,以解决不断变化的数据隐私和合成欺诈问题。我们充满激情的团队成员曾担任 C 级副总裁,是金融服务、医疗保健、零售、技术、电信、云服务、物流、供应链和公共部门领域的业务和技术生态系统、复杂的客户环境和监管合规领域的专家。该团队在数据隐私、合规性、治理、机密性和保护方面拥有全球专业知识。 在金融服务、医疗保健、零售和技术领域的一些全球最佳公司,在数据隐私以及合成欺诈、风险管理、人工智能和机器学习领域拥有多年的行业经验,这使我们相信我们可以解决数据隐私和合成欺诈挑战。
该解决方案被评为 2020 年银行技术奖决赛入围者(最佳银行技术解决方案类别),并因在协助客户实现数据编辑合规性方面改变了游戏规则而受到称赞。
结论
随着数字经济和数据优先社会的影响的发展,金融犯罪变得越来越复杂和普遍。合成身份盗窃是美国增长最快的金融犯罪类型之一,是一个特别复杂的安全问题,导致风险环境不断上升,并重新定义了金融服务企业的技术投资目标(FSO)。看似不是欺诈者的欺诈者给世界各地的企业带来了问题。这些合成身份不仅在许多方面看起来是真实的,而且还包含合法客户的特征。公司必须掌握专门检查静态识别特征的困难和局限性,以打击这一不断发展且不断增长的欺诈者类别。企业可以通过包含动态身份质量及其相互联系的多维镜头来查看每个客户或交易,从而更好地为合成身份盗窃做好准备。企业还必须全面检查其欺诈预防系统,以验证不存在可供犯罪分子利用的漏洞。
毫无疑问,合成身份盗窃是一种迅速扩大的犯罪,由不道德的行为者犯下,他们混合真实和捏造的个人信息以创建真实的数字身份。数据泄露不仅限于美国的企业;世界各地的企业都面临着类似的困难。数据泄露中披露的个人信息经常在暗网市场上出售,欺诈者可以在其中购买执行合成身份盗窃所需的数据。目前,打击合成身份盗窃的最有希望的方法是使用与人工智能技术集成的先进身份验证软件,该软件使用面部识别来验证身份证件和人员。
数据保护创始人兼首席执行官
Data Safeguard 的创始人兼首席执行官 Sudhir Sahu 是一位具有 IT 工程和 MBA 背景的连续创业者,于 2021 年 6 月创立了该公司。在大流行期间,当公司关闭并且经济无法支持业务增长时,Sudhir 与他的联合创始人(Elliott Lowen、Keertana Suresh、Lee Nocon、Praful Parekh 和 Swarnam Dash)合作,开始了一段似乎每一步都艰难的旅程。
Sudhir表示,Data Protect的启动旨在使全球和中小型客户能够满足数据隐私合规性,避免支付巨额罚款,并阻止黑客窃取PII数据元素并对消费者的生活造成严重破坏。全球罚款已经超过100亿美元,而且还在增加,数据保护是应对这一全球挑战的全球解决方案。
Sudhir对合成欺诈解决方案特别感兴趣,以保护金融机构免受弗兰肯斯坦身份造成的重大损失。全球合成欺诈损失超过一万亿,而且还在增加,数据保护是应对这一全球挑战的全球解决方案。
Sudhir前往世界不同地区,以获得黑客社区的第一手经验,了解他们使用技术来收集和挖掘个人身份信息,结合不同的数据元素来创建弗兰肯斯坦身份和业务运营模式。他致力于阻止黑客窃取个人身份信息并防止金融犯罪。
苏迪尔·萨胡 创始人兼首席执行官 |数据保护公司 650.868.7335 |[email protected] 在 www.datasafeguard.ai 查看我们令人惊叹的新网站