CHARAKTER ZAGROŻENIA

Dlaczego ludzie chcą atakować strony internetowe? Oczywistą odpowiedzią jest „chciwość”, po prostu kradzież pieniędzy lub nieuczciwe nabycie towarów. Najwyraźniej jest to główny motyw dla niektórych ludzi, a niektóre z nich mogą należeć do zorganizowanych syndykatów, które mają dostęp do dużych zasobów i do bardzo inteligentnych techników i oszustów zaufania. Może to być jednak mniejszość, choć istotna. Prawdopodobnie najwięcej zakłóceń i strat w biznesie on-line jest powodowanych przez ludzi, którzy nie zaczynają przynajmniej od osobistego zysku. Niektóre z nich to zwykła ciekawość, w niektórych przypadkach związana z nieadekwatnością społeczną – tradycyjny „haker” lub „anorak”. U niektórych z tych osób występuje ponad normalny poziom obsesji, co oznacza, że ​​mogą i będą poświęcać dużą ilość czasu i osobistych oszczędności na przeprowadzanie ataków na systemy internetowe. Prywatność, anonimowość i łatwość dostępu do Internetu, wraz z szeroko rozpowszechnionym przekonaniem, że jest to „przestępstwo bez ofiar”, stanowią idealne środowisko dla tej obsesji. Mówi się, że niektórzy hakerzy uważają, że wyświadczają klientom i firmom przysługę, ujawniając takie słabości, a to od firm zależy, czy będą mogły chronić się przed atakiem. Bez względu na siłę ich argumentacji, szkody, jakie mogą wyrządzić atakowanym firmom, mogą być bardzo poważne. Nawet jeśli celowo lub przypadkowo nie niszczą lub nie ujawniają krytycznych danych, mogą poważnie zaszkodzić reputacji firmy. Coraz częściej obserwujemy również wzrost protestów „jednej kwestii”, skierowanych przeciwko „rządowi”, „wielkiemu biznesowi” itp. Czasami wynikające z tego zachowanie aktywistów może znacznie wykraczać poza wszelkie uzasadnione demokratyczne prawa do protestów, ale duża liczba ludzi może nadal biernie lub aktywnie go wspierać. Niektórzy z nich będą mogli pomóc w tych „przestępstwach bez ofiar”. Inni będą patrzeć z pobłażaniem na zaangażowanych w ten sposób przyjaciół lub dzieci. W takich przypadkach napastnicy nie są motywowani czystą ciekawością i mogą czuć się całkowicie usprawiedliwieni, wyrządzając tyle szkód jak mogą. Wracając do bezpośrednio przestępczej działalności, zauważamy, że konkurencyjne środowisko biznesowe zawsze miało swój udział pozbawionych skrupułów uczestników. Nie można podać wiarygodnych danych dotyczących uzyskanych zysków i strat, ponieważ firmy będą dążyć do zminimalizowania rozgłosu działalności, podczas gdy konsultanci ds. bezpieczeństwa zrobią coś przeciwnego, ale niewątpliwie występuje to w większym stopniu, niż słyszymy. Systemy on-line zapewniają masowy, globalny dostęp do korporacyjnych systemów IT na skalę znacznie większą niż kiedykolwiek wcześniej. Istnieje również na wpół tajna sieć zasobów hakerskich dostępnych online i za pośrednictwem zamkniętych grup e-mailowych. Za pośrednictwem tej sieci można uzyskać dostęp do zbioru informacji o słabościach określonych systemów, z których większość jest nieznana lub zapomniana przez legalną administrację systemów. Ponieważ podejmowanie jakiejkolwiek praktyki, zarówno karnej, jak i prawnej, jest bezpośrednio związane z możliwościami, musimy zwracać coraz większą uwagę na ochronę danych wrażliwych, zarówno własnych, jak i innych stron, z którymi mamy do czynienia. Te różne przyczyny ataku przejawiają się w różnych zestawach widocznych symptomów, które mają wpływ na technologie użyte do ataku i jego obrony. Hakerzy rekreacyjni nie dbają o to, do której części systemu się dostają; wyzwanie jest najważniejsze. Często nie są nawet szczególnie zainteresowani tym, czy zostaną zauważeni, czy nie, chociaż czasami mogą zostawić tajne drzwi-pułapki do późniejszego wejścia. Chociaż powierzchownie podobne do ataków hakerskich i oczywiście często przeprowadzane przez tego samego typu napastników, ataki protestacyjne z natury rzeczy mają na celu zadawanie szkód, szczególnie widocznych. Najprostszym sposobem osiągnięcia tego celu, który wielu jest skłonnych uważać za najmniej „nielegalny”, jest modyfikacja stron internetowych celu, być może w celu przesłania kontrkomunikatu przeciwko firmie. Podejściem, które może być bardziej szkodliwe w skutkach, jest skuteczne zabarykadowanie witryny za pomocą tak zwanego ataku typu „odmowa usługi”, tak aby nikt nie miał do niego dostępu, a firma straciła interes. Istnieją inne sposoby, w jakie firma może ponosić straty materialne w wyniku ataków online, ale zaczynają one wymagać pewnego stopnia bezwzględności, bardziej zbliżonego do nieustannej wojny. Można tu uwzględnić ataki osobistej wendety: niezadowolony pracownik IS (lub były pracownik) może mieć zarówno środki, jak i motyw, aby to przeprowadzić. Ataki przestępcze i szpiegowskie są na ogół znacznie mniej rzucające się w oczy, aby osiągnąć swoje cele, i oba są wysoce selektywne. Tutaj znowu insider ma wielką przewagę. Na koniec ostrzeżenie o niebezpieczeństwach obsesji na punkcie technologii: większość z nas w świecie IS cierpi z powodu dwóch czynników, które czynią nas słabymi strażnikami. Jesteśmy predysponowani do uczciwego postępowania, a także jesteśmy raczej ślepi na nietechniczne sposoby osiągnięcia celu, w rzeczywistości często raczej lekceważymy proste podejście do problemu. Doświadczeni przestępcy nie cierpią z powodu tych wad. Oszukują! „zapomną” swoje kody PIN i są biegli w przekonywaniu pracowników banku do zainstalowania dla nich nowego z ulotki z kodem PIN za ladą [78] dokładnie w ten sam sposób, w jaki oszukiwano komputerowe helpdeski od początku ich świadczenia. Kilka lat temu dokonano równie prostego oszustwa na diamentowym domu w Nowym Jorku. Do firmy wykonano pełen bólu i paniki telefon, ostrzegając ich, że kody bezpieczeństwa używane przez kurierów, gdy dzwonili po paczki z kamieniami, zostały naruszone. Z pewnym przejawem niechęci dzwoniący wypuścił przez linię nowy zestaw, tylko w nagłych wypadkach. Oczywiście kuriera, który podał te liczby i otrzymał diamenty, nigdy więcej nie widziano. Ani diamenty.

ZNACZENIE BEZPIECZEŃSTWA

Coraz częściej eksperci e-biznesu stawiają na bezpieczeństwo w Internecie. Podobnie jak przestępcy. Szczerze mówiąc, zwiększona uwaga dobrych facetów nie jest wcześniejsza. Nikt nie jest w stanie wiarygodnie oszacować kosztów przestępstw internetowych, ale wiadomo, że są one duże i stale rosną. Niestety, liczba kompetentnych, dobrych ludzi jest stosunkowo niska. Z ciekawości, autor niedawno zbadał nauczanie bezpieczeństwa komputerowego na uniwersytetach i uczelniach na całym świecie i był przygnębiony, widząc, jak niewielu z nich uczy czegoś, co miałoby praktyczne zastosowanie na poziomie licencjackim. Na studiach podyplomowych większość nauczania odbywa się w szkołach biznesu i rachunkowości, a nie na wydziałach inżynierii komputerowej. Sytuacja w Wielkiej Brytanii wydaje się szczególnie zła, być może dlatego, że mamy przeczucie, że „ingerencja policji” i „wędzenie personelu” nie są „rzeczą do zrobienia”. Wydaje się, że Amerykanie zajmują bardziej zdecydowane stanowisko: istnieje nurt patriotyczny, który wierzy w obronę zachodniej demokracji i uzupełniające podejście „wolności słowa”, które energicznie praktykuje „białe” hakowanie, rozwijając w ten sposób wiedzę i teorię. Ale to wychodzi poza sferę technologii!

WYKAZYWANIE KOMPETENCJI

Zaufanie do firmy często opiera się wyłącznie na naszej ocenie kompetencji, mierzonej obserwacją, jak traktują naszą bieżącą transakcję. Warto więc pamiętać, że sklep internetowy jest tylko tak dobry, jak się zachowuje: niedziałające linki, komunikaty o błędzie „JaveScript error at line xxx” są interpretowane przez potencjalnego klienta, prawdopodobnie poprawnie, jako znak odpowiedniego zaplecza i zarządzany jest działaniem on-line. Jedynym realnym sposobem, aby upewnić się, że jakość marki firmy nie została nadszarpnięta, jest testowanie, testowanie, testowanie nie tylko na biurku, ale także w terenie przy użyciu naiwnych i doświadczonych użytkowników. Różne przeglądarki wyświetlają różne

problemy, podobnie jak różne domyślne ustawienia kolorów i czcionek. „Przyciski Wstecz” i inne gorące łącza, które można łatwo zobaczyć na dużym monitorze programisty, mogą znajdować się poza ekranem mniejszego monitora. Zastanów się, jak Twoja witryna będzie wyglądać, gdy uzyskasz dostęp na końcu wolnego łącza, a także z firmowej sieci LAN. Przewodniki po kodzie to standardowa praktyka w dobrych firmach produkujących oprogramowanie, ale zbyt niewielu przeprowadza testy interfejsów użytkownika w terenie. Prawdopodobnie powinno to być obowiązkiem osób niezorientowanych na oprogramowanie, być może zamiast tego można zrekrutować grupę lojalnych klientów. Wreszcie, jak potwierdziły badania na ten temat [77], zaufanie łatwiej stracić niż odzyskać. Jedno złe doświadczenie z transakcją finansową online może być wszystkim, czego potrzebują potencjalni klienci, aby uniknąć Twojej witryny w przyszłości. Tak więc, chociaż podkreślamy, że chodzi o zaufanie, nadszedł czas, aby przyjrzeć się najpotężniejszemu sposobowi zdobycia tego zaufania: kwestii bezpieczeństwa.

PLATFORMA PREFERENCJI PRYWATNOŚCI (P3P)

PICS to sposób prezentacji danych na stronie HTML lub XML, dzięki czemu użytkownicy mogą podejmować decyzje dotyczące ich przydatności. Logicznym rozszerzeniem tego jest zapewnienie bardziej aktywnego (lub interaktywnego) zachowania między przeglądarką użytkownika a oferowaną usługą, tak aby osobisty wybór mógł zostać wykorzystany do uruchomienia procesu. Taki jest cel Platformy Preferencji Prywatności (P3P) opracowanej przez konsorcjum World Wide Web [76]. Uznaje się, że użytkownicy uzyskują dostęp do usług za pomocą agentów: agent może być standardową przeglądarką sieci Web, specjalną wtyczką do przeglądarki lub agentem serwerowym zlokalizowanym na serwerze proxy. Gdy użytkownik uzyskuje dostęp do takiej usługi, agent otrzymuje jedną lub więcej propozycji P3P  – oświadczenia odczytywalne maszynowo, zawarte w odpowiedzi HTML lub XML lub wskazywane jako adres URL, które opisują praktyki dotyczące prywatności (lub innego etykietowania) usługi. Propozycja jasno określi i obejmie konkretną dziedzinę: adres URL lub zestaw adresów URL. Agent zawiera już preferencje użytkownika i może je porównać z oferowanymi. Jeśli preferencja i propozycja są zgodne, następnie agent wysyła opis umowy na serwer, w formie identyfikatora umowy. Po otrzymaniu identyfikatora umowy serwer wysyła żądaną stronę sieci Web do agenta, który następnie wyświetla ją użytkownikowi. Przypuśćmy jednak, że nie ma wstępnej umowy między serwerem a agentem. Co wtedy? P3P umożliwia prowadzenie dalszych negocjacji i ma cenną właściwość umożliwiającą usługom oferowanie wielu ofert. W pewnych okolicznościach możliwe jest przekierowanie tych negocjacji za pośrednictwem usług, które zapewniają użytkownikowi anonimowość. Oczywiście ma to wpływ na negocjowanie umów on-line i przekształca prostą transakcję zakupową polegającą na zaufaniu w taką, która uwzględnia stopniowe narastanie zaufania między dwiema stronami, coś bardziej zbliżonego do realiów zakupów międzyfirmowych. Jednym z istotnych elementów procesu P3P jest jego zdolność do wprowadzenia „pamięci” poprzednich transakcji między zainteresowanymi stronami, ponieważ częścią procesu budowania zaufania i ograniczania konieczności przechodzenia przez skomplikowany protokół renegocjacji. Chociaż niektóre z nich można obecnie zrobić za pomocą plików cookie, proces ten nie jest łatwy dla naiwnych użytkowników, którzy chcą być selektywni w swoim zaufaniu. P3P oferuje alternatywę w postaci komunikatów o identyfikatorach par (PUID). Jeśli użytkownik zgadza się na akceptację usługi sieci Web na podstawie usługi, którą otrzymuje zindeksowaną z identyfikatorem propozycji (prop ID), zwraca ten identyfikator wraz z zaindeksowanym PUID na adres URL określony w umowie

Oprócz podania dwukierunkowego odniesienia dla bieżącej transakcji, PUID i prop ID mogą być również używane w przyszłości, aby wskazać poprzednią obopólną zgodę. Ponownie można to przeprowadzić za pośrednictwem usługi anonimizacji, aby chronić tożsamość użytkownika. Jedną z zalet podejścia P3P jest to, że większość, jeśli nie wszystkie powyższe szczegóły, są ukryte przed użytkownikami i użytkownicy nie będą musieli podejmować wyraźnej próby zapoznania się z polityką bezpieczeństwa odwiedzanych witryn.

KWALIFIKACJA PRODUKTU – FOTOGRAFIE, P3P

W naszej dyskusji na temat potrzeb, identyfikacji, kompetencji i elementów dowodowych modelu zaufania NICE wspomnieliśmy o pozytywnej roli, jaką może odegrać zaangażowanie stron trzecich, które zobowiązują się do własnej wiarygodności, działając jako gwaranty relacji. W ich interesie nie leży wspieranie organizacji, która nie wywiązuje się ze swoich obowiązków. W związku z tym klienci mogą ufać firmom, które popierają. Jeśli chodzi o model NICE, jeśli są dobrze znani, z doświadczeniem, mogą zastąpić ryzyko radzenia sobie z nieznanym wcześniejszymi dowodami ich własnych osiągnięć i kompetencji. W niektórych przypadkach, szczególnie gdy strona trzecia jest celebracją lub firmą zajmującą się stylem życia, możemy nawet identyfikować się z celami strony trzeciej i chcieć kupić to, co promują. Jednym szczególnie dobrym przykładem sposobu rozwijania identyfikacji między klientem a dostawcą za pośrednictwem poręczyciela będącego stroną trzecią jest usługa ratingowa. Nawet przed rozpoczęciem interakcji zakupowej ze sprzedawcą klienci czasami chcą się upewnić, że nie wchodzą w coś, czego mogliby później żałować. Szczególnym przypadkiem są kwestie gustu, na przykład definicja „przyzwoitości”. Sieć jest międzynarodowa i łatwa do publikowania. Oznacza to, że zawiera znaczną ilość materiałów, które mogą być uznane za obraźliwe dla wielu osób i kultur. Jak możemy być pewni, że znajdziemy materiał, który zgodnie z naszą definicją odpowiedni dla nas lub naszych dzieci do oglądania? Jednym ze sposobów podejścia do problemu jest przyjęcie polityki „buyer beware”, ale zapewnienie narzędzi, które utrudniają przypadkowe otrzymanie nieodpowiednich materiałów. Inicjatywa Platform for Internet Content Selection (PICS) została powołana w sierpniu 1995 roku przez przedstawicieli dwudziestu trzech firm oraz organizacje zrzeszone pod auspicjami konsorcjum MIT’sWorldWideWeb Consortium w celu omówienia potrzeby oznaczania treści. Ideą PICS jest zapewnienie sposobu, w jaki producenci treści i strony trzecie, takie jak czasopisma, organizacje konsumenckie i organizacje nadzorujące branżę, mogą wstawiać informacje do zasobów treści World Wide Web, przy użyciu standardowych protokołów, które można odczytać i podjąć odpowiednie działania. automatycznie przez komputery, aby zapewnić lokalną selekcję obraźliwych materiałów (i faktycznie wybór pożądanych treści) bez wprowadzania globalnej cenzury. PICS zależało na ustaleniu jedynie konwencji dotyczących formatów etykiet i metod dystrybucji, a nie słownika etykiet ani tego, kto powinien je nadzorować. Nacisk kładziony jest na wolność wyboru. Chociaż etykiety mogą być tworzone zgodnie z, na przykład, kategoriami oceny filmów („PG” itp.), przyjmuje się, że osobiste standardy i nastawienie muszą się różnić, szczególnie w kontekście globalnym. W każdym razie wydawcy mogą obejść te klasyfikacje, publikując w krajach, w których standardy są różne. (Nie chodzi tylko o ogólną swobodę: niektóre grupy społeczne są bardzo przeciwne przemocy, ale tolerują materiały o charakterze jednoznacznie seksualnym, w innych jest odwrotnie). Chociaż istniało wiele takich systemów oceny, PICS stara się ujednolicić podejście tak, aby było niezależne od dostawcy, a etykietowanie mogło być wykonane przez dowolną liczbę stron trzecich. Rzeczywiście, dowolna liczba organizacji etykietujących może w dowolnym momencie oznaczyć stronę.

Po lewej stronie tabeli podajemy przykład prostej etykiety PICS. Jeśli ktoś odwiedzi witrynę usługi etykietowania „http://www.here.-co.uk”, można oczekiwać wyjaśnienia, w jaki sposób powstała ta ocena, jak pokazano po prawej stronie stół

Etykieta: Wyjaśnienie

(PICS-1.0 „http://www.here.co.uk” etykiety „1998.01.01” do „1999.01.01” dla „http://www.newtv.uk.co/film.html” przez „ Oceny Bill Whyte (12 s 1 v 4)): Najpierw etykieta identyfikuje adres URL usługi etykietowania oraz podaje daty rozpoczęcia i zakończenia, w których etykietowanie jest ważne. Następnie podaje adres URL strony, która jest oznaczona i, opcjonalnie, kto ją oznaczył. Wreszcie podaje ocenę (język = 1, sceny erotyczne = 2, przemoc = 4)

Jak powiedzieliśmy, usługa etykietowania może robić to, co lubi. Nie musi ograniczać się do osądów moralnych. W rzeczywistości wcale nie musi oceniać stron z moralnego punktu widzenia. Może wybrać ocenę stron z przepisami na podstawie tego, jak kosztowny według niego był przepis, a nawet pikantność potrawy. Użytkownik usługi ustawia oprogramowanie filtrujące na swoim komputerze, aby wybrać żądaną ocenę. Usługa oceny, którą wybraliby, zależałaby od wiarygodności usługi dla nich: wegetarianie prawdopodobnie nie skorzystaliby z usługi oceny żywności zapewnianej przez stowarzyszenie marketingu wołowiny; Baptyści mogliby wybrać usługę oceny filmów oferowaną przez organizację o powiązaniach religijnych, podczas gdy humaniści prawdopodobnie by tego nie zrobili. Możliwe jest nawet umieszczenie na stronach filtra pory dnia: filtr PICS na serwerze w szkole mógłby zapewnić, że w okresie samokształcenia uczniowie będą mieli dostęp tylko do materiałów odpowiednich do tego, do czego powinni. studiować.

Jeśli chodzi o zarządzanie, dystrybucję i kontrolę etykiet, dwa mogą pojawić się pytania, w jaki sposób upewniamy się, że etykieta PICS zakrywa materiał, do którego jest przymocowana; skąd wiemy, że etykieta została nałożona przez deklarowaną agencję etykietującą? Prostym sposobem jest uzyskanie dostępu do informacji za pośrednictwem renomowanego usługodawcy, który podejmie kroki w celu zapewnienia, że ​​materiał na serwerze nie jest udostępniany pod fałszywym pretekstem. Jeszcze większą gwarancję można uzyskać dzięki dwóm innym cechom PICS: jedną jest możliwość naniesienia na materiał „znaku wodnego”, na przykład w postaci funkcji haszującej (patrz strona 261). Dołącza to do tekstu zaszyfrowane podsumowanie strony, którego nie można łatwo zinterpretować ani uszkodzić przez złośliwy proces. Ponadto istnieje również możliwość umieszczenia na stronie podpisu cyfrowego organu odpowiedzialnego za oznakowanie. Istnieje wiele sposobów stosowania i filtrowania etykiet PICS .

Na przykład autor strony może wstawić etykietę jako metatag HTML lub XML. Następnie przeglądarka użytkownika może je odczytać i zaakceptować lub odrzucić zgodnie z profilami skonfigurowanymi w przeglądarce. Alternatywnie serwer pośredniczący, prawdopodobnie obsługiwany przez niezależną stronę trzecią, może zostać poproszony przez przeglądarkę użytkownika o dostarczenie etykiet wraz z dokumentem. Rozszerzeniem jest to, że serwer pośredniczący może dostarczać użytkownikom strony, które wstępnie przefiltrował, aby oszczędzić im tego problemu. Klient mógł skorzystać z niezależnego biura etykietującego, które dostarczało jedynie etykiety. Zasadniczo ta firma tworzy selektywne filtrowanie, oparte na osądach wartościujących oceniających, krytyków itp. Te etykiety stron trzecich są „pieczęciami aprobaty”, a producenci treści mogą zapłacić, aby ich produkty zostały ocenione przez wiodące marki organów zajmujących się oznakowaniem. (Hipotetycznie pieczęci przyznawane obecnie niektórym producentom mogą być równoznaczne z treściami online oznaczonymi na przykład „nagrodą królewską”!) Można nawet wyobrazić sobie demokratyczną usługę etykietowania, w której użytkownicy uzyskujący dostęp do witryn indywidualnie oceniają materiał , z którego można by użyć średniego zestawu danych do wygenerowania zestawu zredukowanego.

JAKIE ZAUFANIE KLIENCI ZAPEWNIAJĄ DOSTAWCOM?

Kiedy klienci decydują się na kontakt z określonym dostawcą, istnieją pewne oczekiwania dotyczące jego zachowania, które wpłynęły na tę decyzję. Oczywiście oczekuje się, że zakupiony produkt lub usługa będzie odpowiednia do celu i nie będzie znacząco zawyżona. Ale są też inne aspekty. Oczekujemy, że kontrola finansowa będzie bezpieczna i uczciwa, tak aby nikt nie mógł ukraść naszych numerów kont, obciążyć nas towarami ani odebrać pieniędzy z naszego banku z winy dostawcy. Istnieje oczekiwanie co do poufności transakcji – klienci na ogół nie uważają, że ich zakup jest czymś, co powinno być rozpowszechniane w świecie, przynajmniej bez ich zgody, co prowadzi do ich zdyskredytowania lub do niechcianych podejść do sprzedaży. Wszystko to staje się większym problemem wraz z nadejściem handlu online. Przekazujemy dane naszej karty kredytowej komuś lub maszynie, która może znajdować się na drugim końcu świata. Nie wiemy, w jaki sposób przetwarzają te informacje gdy używali go zgodnie z przeznaczeniem.

Na przykład niezwykle łatwe staje się automatyczne zbieranie informacji o każdej transakcji klienta. W ten sposób łatwo jest również poddać sumę transakcji oprogramowaniu do profilowania, które może stworzyć obraz piórkowy nawyków zakupowych i płatniczych każdej osoby, który zostanie przekazany do działu marketingu lub sprzedany stronom trzecim. Organizacje te mogą następnie zwrócić się do nas ze sprzedażą kredytów wychodzących, aby spłacić zakup, oferować inne produkty, które ich zdaniem odpowiadają naszym profilom zakupowym, a nawet potajemnie wykorzystywać dane do sporządzania ocen kredytowych bez zgody klienta. Możemy to wszystko zaakceptować, a nawet można to wykorzystać, aby zapewnić klientom bardziej satysfakcjonującą obsługę, ale może to być podatne na nadużycia i może być postrzegane jako naruszenie naszych praw. Firmy powinny rozważyć, jak potencjalni klienci postrzegają te kwestie i może być konieczne wprowadzenie środków uspokojenia. Niektóre witryny internetowe deklarują wyraźne zasady postępowania z danymi klientów; w celu uzyskania dodatkowej pewności, że ta polityka jest przestrzegana, poddają się audytowi przez stronę trzecią. Na przykład konsorcjum eTrust określa się jako „globalna inicjatywa na rzecz budowania zaufania konsumentów do elektronicznej wymiany informacji”. Promują „system znaków zaufania”, zgodnie z którym witryny internetowe mogą wyświetlać jedną z trzech etykiet gwarantujących, że:

† Żadne dane nie są zbierane o użytkownikach; lub

† Dane zbierane są wyłącznie na użytek właściciela strony; lub

† Dane są zbierane i udostępniane określonym podmiotom trzecim, ale tylko za wiedzą i zgodą użytkownika.

Twierdzenia te są poparte samooceną i profesjonalnym audytem strony trzeciej. Bezpieczeństwo danych osobowych i aspektów finansowych to kolejny obszar, w którym klienci szukają otuchy. Dotyczy to nie tylko naiwnych użytkowników usług domowych; Spora część ekspertów e-biznesu wyraziła swoje zastrzeżenia do kupowania rzeczy przez Internet, ponieważ nie ufają sposobowi, w jaki firmy traktują swoje dane. Prawdopodobnie najczęstszym zarzutem jest to, że firmy internetowe mogą bardzo uważać, aby używać dobrze wykwalifikowanych produktów zabezpieczających na łączu między klientem a witryną internetową, ale operacje zaplecza są całkowicie niepewne, a pliki elektroniczne i/lub papierowe są otwarte dla każdego zobaczyć. Te anegdotyczne opowieści muszą być rozsądnie obalane przez firmy, jeśli chodzi o ich działalność. Chyba jedynym sposobem, aby to zrobić, jest przeprowadzenie audytu bezpieczeństwa procesu end-to-end, skorygowanie wszelkich uchybień, a następnie opisanie procesu w słowach, że kadra kierownicza firmy, dział prawny firmy, klient nietechniczny – personel obsługi i sami klienci mogą to zrozumieć. (Brak nagród za odgadnięcie, do kogo najtrudniej się dostać!) Można to następnie przekształcić w krótkie oświadczenie, opublikowane na stronie. Prawdopodobnie nie ma lepszego sposobu na przekonanie klientów, aby ci zaufali, niż abyś sam miał już ugruntowane zaufanie do procesów. Innym sposobem na zdobycie zaufania klientów jest przekazanie części operacji organizacjom zewnętrznym, które mają wiodącą markę świadczącą usługi godne zaufania. Jest to rozsądna interpretacja maksymy bezpieczeństwa, że ​​bezpieczne systemy nie tylko muszą być bezpieczne, ale także muszą być bezpieczne. Zaufana strona trzecia spełnia to wymaganie na poziomie subiektywnym. Stosunkowo nieliczne organizacje, takie jak Verisign, świadczą tego typu usługi silnie markowe. Technicznie oferują głównie standardowe cyfrowe procesy certyfikacji, które omawiamy w rozdziale Bezpieczeństwo, ale oferują je w ramach szeroko znanych i ogólnie cenionych ram operacyjnych.  Jednym z nich jest kupowanie od nich założenia, że nie ośmielą się nadużywać zaufania, jakim ich obdarzasz, zawodząc swoich klientów. Jest to prawdopodobnie subiektywna decyzja eFirm o tym, ile są gotowi zapłacić za markę, żeby nie robić tego samemu

CO TO JEST ZAUFANIE? JAKA JEST OCENA?

Istnieje oczywiście prawie nieskończona liczba możliwych sposobów definiowania zaufania i podobna liczba sposobów jego oceny. Autor i współpracownicy opisali prosty sposób wykonania obu tych czynności. Akt zaufania polega na narażeniu się na niebezpieczeństwo działań innych, w przekonaniu, przynajmniej częściowo, bez wyraźnej możliwości policzenia ryzyka, że ​​będą działać na twoją korzyść. Zaufanie jest zatem czymś, co jest ogólnie nieobliczalne, obejmuje:

Stawiasz coś, co doprowadzi do straty, jeśli coś pójdzie nie tak, ale robisz to w nadziei, że tak się nie stanie, a ty w ten sposób odniesiesz korzyści. Podejmując decyzję o zaufaniu komuś lub jakiejś organizacji, należy spełnić szereg kryteriów. W naszym modelu definiujemy cztery z nich:

† Potrzeba: ufam ci, ponieważ musisz prowadzić interesy uczciwie. Być może musisz dokonać sprzedaży; może potrzebujesz mnie, żebym wróciła po więcej; być może ogrodziłem cię gwarancjami i karami, żebyś nie mógł mnie bezpiecznie oszukać, może używając technologii, która uniemożliwia ci zaprzeczenie, że to naprawdę ty podpisałeś umowę.

† Tożsamość: Handluję z Tobą na podstawie tego, że czuję, że dzielimy wspólny zestaw przekonań, wspólną wizję przyszłości, co sprawia, że ​​współpraca staje się naturalną drogą do przodu. Firmom, które np. powszechnie wierzą, że są liderami w wykorzystaniu technologii, łatwiej będzie podejmować ryzyko w swoich relacjach. W handlu detalicznym branding jest odpowiednikiem, ponieważ ma obraz, że możesz w wiarygodny sposób podzielić się zestawem postaw i rozwiązań, które spełniają aspiracje związane ze stylem życia kupującego.

† Kompetencje: mogę Ci zaufać, ponieważ Twoje procesy są dobre: ​​kontrola zapasów daje mi pewność, że możesz dostarczyć, kiedy mówisz, że możesz; jeśli zdradzę ci sekret, będę szczęśliwy, że masz środki, by go chronić.

† Dowód: Co więcej, wiem o przeszłych kontaktach z tobą, których nie zawiodłeś.

Spośród tych czterech być może to właśnie kryterium „dowodu” jest piętą achillesową „natychmiastowego przedsięwzięcia” lub start-upu internetowego; nie będzie historii uczciwego postępowania. Stawiamy więc hipotezę, że brak dowodów musi być zrekompensowany odpowiednim wzrostem pozytywnych cech potrzeby, tożsamości i kompetencji. Dlatego technologie zaufania należy zawsze rozpatrywać w świetle tych parametrów. Być może możemy to zrekompensować, oferując online bardzo widoczną demonstrację kompetencji – używamy powszechnie uznanej metody szyfrowania do obsługi danych kart kredytowych. Być może angażujemy stronę trzecią, taką jak trustE lub Verisign, których wiarygodność biznesowa opiera się na potrzebie wykazania się uczciwym postępowaniem wśród swoich członków. W kolejnych sekcjach pomocne może być zapamiętanie tego komunikatu: bez zaufania, nie ma handlu.

Zaufanie

Handel to zaufanie, a nie bezpieczeństwo. Ludzie będą postępować z innymi lub nie, na podstawie wiary, a nie obiektywnych szczegółów technicznych, a na arenie handlu działają na podstawie zaufania. Zaufanie jest zasadniczo subiektywne; może być poparta procesami, które obiektywnie zasługują na to zaufanie, ale dominuje subiektywność. Zaufanie niekoniecznie będzie bezwarunkowe; każdego dnia naszego handlowego życia akceptujemy pewne ryzyko, że druga strona nie będzie grać całkowicie uczciwie. Robimy to na podstawie tego, że w sumie odniesiemy więcej korzyści niż będziemy cierpieć. Oczywiście różne środki, które łącznie określa się terminem „bezpieczeństwo”, mają na celu urzeczywistnienie tego zaufania, ale są one aktywatorami, a nie celami samymi w sobie. Jest to prawdopodobnie rozsądne: lepiej polegać na „przeczuciu” wielu klientów niż na przemyślanej opinii pojedynczego pracownika ochrony; nie ma lepszego audytu integralności systemu niż testy zaporowe przeprowadzane przez podmioty zewnętrzne. Co więcej, jest jeszcze jeden powód, dla którego nie powinniśmy zbyt chętnie używać terminu „bezpieczeństwo” w domenie e-biznesu: jest on zbyt mocno związany z bezpieczeństwem wojskowym. Z pewnością podstawowe techniki, algorytmy, są takie same, ale perspektywy i procesy bezpieczeństwa są często bardzo od siebie oddalone. Bezpieczeństwo wojskowe dotyczy ataku z zewnątrz; niemal zawsze zakłada się, że strony zaangażowane w legalną wymianę informacji ufają sobie nawzajem. Tak nie jest w przypadku wolnego handlu. Tak więc, chociaż  będziemy dużo mówić o bezpieczeństwie, należy pamiętać, że prawdziwym problemem jest zaufanie.

ZARZĄDZANIE WIEDZĄ – KILKA UWAG KOŃCOWYCH

Zwiększona dostępność komunikacji elektronicznej wewnątrz i w organizacji oraz między nią a jej partnerami, dostawcami i klientami z pewnością doprowadziła do zalewu nieustrukturyzowanych wiadomości, które nie poddały się tradycyjnym zasadom zarządzania danymi korporacyjnymi i warto zwrócić uwagę na metody zarządzania tą powodzią. Jedna wiadomość jest jasna i musimy zgodzić się z komentarzem IBM, że „relacyjne bazy danych nie są zaprojektowane z myślą o stale rosnących wymaganiach zarządzania wiedzą”. Ale co to jest? Problem, pamiętajmy, nie polega na przechowywaniu danych, ale na dostarczeniu nam z powrotem wybranych ich części, z dobrą precyzją i odtworzeniem oraz z dobrym wyobrażeniem o granicach ich działania. Musimy być w stanie zintegrować różne dane wejściowe do organizacji oraz integrację różnych systemów przechowujących te dane. Ale ta integracja nie jest pozbawiona problemów. Wiąże się to z wysoką ceną próby radzenia sobie z niejednorodnością na wszystkich poziomach, od wtyczki i gniazda po głęboką semantykę modelu informacyjnego. Tradycyjne relacyjne bazy danych mają przynajmniej zaletę konsensusu co do modelu danych, zwykle pewnego rodzaju kontroli jakości danych i dobrze zdefiniowanego interfejsu zapytań, na przykład SQL, który przeprowadza wyszukiwanie informacji zgodnie z ogólnie rozumianymi zasadami przez użytkowników. Alternatywy, jakaś forma metainformacji lub podejście do zrozumienia maszyny wyższej warstwy nie są jeszcze sprawdzone. Widzieliśmy wiele z nich w powyższych sekcjach i wszystkie odniosły sukcesy. Musimy jednak być ostrożni; duża część reklam otaczających rozwiązania tego problemu przez sztuczną inteligencję jest, mówiąc uprzejmie, myląca. Tak, istnieją działające przykłady inteligentnego oprogramowania, które potrafi wykrywać listy reklamacyjne; istnieją nawet systemy, które zapewniają dość dokładne przyjmowanie zamówień za pomocą rozpoznawania mowy. Ale wszystkie one działają w dość ograniczonych środowiskach, na wybranych i zwykle dość wąskich zestawach danych. „Inteligencja” stojąca za udanymi systemami jest bardzo szczątkowa. Trzeba powiedzieć, że istnieje poważny, prawie całkowity brak teorii lub algorytmu, które można opisać jako wykazujące prawdziwe zrozumienie przez maszynę złożonych danych. Osiągnięcie produktu sztucznej inteligencji powinno być oceniane wyłącznie na podstawie jego ciągłej wydajności i wartości na własnym zbiorze danych przez pewien okres, a nie na podstawie twierdzeń dotyczących jego IQ. Powinien być traktowany jak ludzki analityk, a jego wyniki są bezpośrednio porównywane z wynikami ludzkich konkurentów i odpowiednio nagradzane. W krótkim okresie być może bardziej skromne podejście może przynieść bardziej użyteczne wyniki.

ROLA KONWENCJI W WYDOBYWANIU WIEDZY

Chociaż z tego, co do tej pory powiedzieliśmy, zadanie automatycznego rozumienia danych tworzonych przez innych bez względu na wyraźne konwencje danych i metainformacje może wydawać się trudnym zadaniem, nie zawsze jest tak trudne, jak mogłoby się wydawać. Istoty ludzkie rzeczywiście wnoszą specjalne umiejętności do zrozumienia istoty dokumentów, ale kiedy to robimy, zwykle polegamy również na wielu bardziej przyziemnych cechach. Tworzenie dokumentów, czy to raportów technicznych, broszur sprzedażowych czy gazet, zwykle odbywa się zgodnie z kilkoma konwencjami. Nagłówki banerowe obejmują najważniejsze i ogólne tematy, a bardziej szczegółowe kwestie pojawiają się pod nimi mniejszą czcionką. Raporty giełdowe posługują się reportażem praktycznie stereotypowym w terminologii i strukturze zdań. Strony internetowe są zróżnicowane ze względu na ich funkcje: często nie jest trudno wybrać stronę zawierającą produkty i ich ceny. Jedna nadzieja na automatyczne pozyskiwanie informacji opiera się na przekonaniu, że to konwencjonalne zachowanie może zostać sklasyfikowane, a nawet wyuczone przez maszyny. Odnotowano pewne sukcesy. W części 4 Marketing elektroniczny opisujemy, w jaki sposób reklamy mogą być wykrywane na stronach internetowych i odrzucane. Wspominamy również o sztucznych agentach handlowych, od których normalnie oczekuje się, że będą handlować w ramach dobrze uwarunkowanego procesu zdefiniowanego przez DTD, ale mogą być w stanie przeprowadzić oportunistyczne polowanie na okazje gdzie indziej.