Для таких перемен нужны политическая воля и решительность. К счастью, многие политические лидеры уже готовы решать эту задачу.
Точка зрения
Для таких перемен нужны политическая воля и решительность. К счастью, многие политические лидеры уже готовы решать эту задачу.
Точка зрения
Как технологии меняют личность
Дэвид Бёрч
Нет сомнений, что будущее банкинга тесно переплетено с будущим идентификации личности. Цифровая личность (digital identity) ключевой ресурс новой экономики, и банкам, как и другим организациям, придется разрабатывать стратегии цифровой идентификации. Но какими они должны быть? И что произойдет, если банки не обзаведутся подобными стратегиями?
Все мы читали статьи в различных изданиях и блогах, слушали выступления на конференциях и отмечали твиты, в которых говорилось о ключевой роли цифровой личности в новой экономике. Не все авторы дают внятное определение цифровой личности, но все они полагают, что без инфраструктуры для установления личности в цифровой среде невозможно в полной мере реализовать потенциал роста и воспользоваться всеми возможностями новой онлайн-экономики. Я целиком разделяю их опасения и абсолютно уверен, что без грамотно выстроенной инфраструктуры мы просто не сможем двигаться вперед.
Если называть вещи своими именами, удаленное установление личности критически важная составляющая инфраструктуры будущего. Но как она будет работать? Кто будет за нее отвечать? Мне есть что сказать по этому поводу. Я работаю в данной сфере много лет и даже внес определенный скромный интеллектуальный вклад в ее развитие. В компании Consult Hyperion мы с коллегами разработали довольно удачную модель цифровой личности, которая прошла испытания и показала себя полезной в ряде областей. Как показано на рисунке 1, модель трехдоменной личности (three domain identity, 3DID) описывает цифровую личность как мостик между реальным и виртуальным мирами и предлагает понятную схему привязки к каждому из этих миров. В первом приближении достаточно знать, что эти привязки чрезвычайно асимметричны: чтобы привязать цифровой образ к чему-либо в реальном мире, требуется много времени, усилий и затрат, а привязать цифровой образ к чему-либо в виртуальном мире можно быстро и недорого. Всё сводится к набору шифров и ключей и управлению ими (см. раздел «Модель цифровой личности» в книге «Управление цифровой личностью»[78] под редакцией вашего покорного слуги).
Рисунок 1. Модель трехдоменной личности
Есть много организаций, которые могли бы формировать эти привязки, можно было бы даже создать специализированные институциональные механизмы и есть достаточные основания включить в их число банки, которые могли бы возглавить процесс. Несколько лет назад я написал книгу «Личность это новые деньги»[79], где разобрал некоторые вопросы инфраструктуры для идентификации и предложил ряд усовершенствований, которые сделают эту инфраструктуру более адекватной в условиях современного мира, а также объяснил, почему банки самые подходящие организации для создания и обслуживания систем цифровой идентификации.
На мой взгляд, приведенные в книге доводы в целом по-прежнему верны. Недавно мне напомнил о них друг, столкнувшийся с проблемой взлома аккаунта Facebook. Он был крайне раздражен тем, как много усилий пришлось приложить, чтобы достучаться до представителей Facebook и заставить их хоть что-нибудь предпринять. Я ответил, что в принципе у него и не было никаких оснований ожидать от Facebook чего-то иного. Закон не обязывает Facebook решать подобные проблемы[80]. А вот банки это регулируемые государством финансовые организации, и если бы они предоставляли услуги идентификации, то были бы по закону обязаны гарантировать защиту вашей информации. Если к вашему банковскому счету получат доступ воры, вы вправе ожидать от банка ответных действий по определенной процедуре: установить подлинного владельца банковского счета, вернуть ему контроль над счетом и предоставить соответствующую компенсацию, если окажется, что проблема возникла по вине банка.
Мне нравится такая картина будущего. Обратимся к ситуации вне финансовой сферы, чтобы было понятно, что я имею в виду. Богатый контекст для изучения разных концепций цифровой личности дают сайты знакомств, так что возьмем их как пример. Представьте, что я захожу на сайт знакомств и создаю аккаунт. В качестве логина мне предлагают использовать банковский счет и затем перенаправляют на сайт моего банка, где я прохожу стандартную процедуру двухфакторной аутентификации, чтобы подтвердить свою личность. Затем банк направляет на сайт знакомств криптографический токен, сообщающий, что я старше 18 лет, живу в Джерси и могу оплатить услуги сайта. В этом примере мои реальные личные данные надежно хранятся в банке, но привязываются к виртуальному профилю, которым я могу пользоваться для общения онлайн. Таким образом, мой аватар для знакомств в интернете не содержит персональной информации, идентифицирующей личность пользователя (personally identifiable information, PII), но если я под этим аватаром сделаю что-нибудь нехорошее, то сайт знакомств передаст данные токена в полицию, полицейские увидят, что токен направлен банком Barclays, а банк сообщит им, что аватар принадлежит Дэйву Бёрчу[81]. На мой взгляд, весьма разумное распределение обязанностей. Вместе с тем, когда преступники взломают сайт знакомств (рано или поздно это произойдет), им достанется лишь бессмысленный токен они не будут знать, кому он принадлежит, и мой банк им этого не расскажет.
Одна из главных привлекательных черт подобного решения (уверен, не только я так думаю) состоит в том, что оно дает основания надеяться на решение неизбежных проблем. Что-нибудь плохое рано или поздно случается. Важно то, какие структуры, механизмы и процессы помогут решить проблему. Я предполагаю, что на случай захвата мошенниками моего банковского счета и использования моих данных для создания фальшивого аккаунта на сайте знакомств у моего банка есть механизмы отзыва токена и информирования об этом меня и сайта знакомств без раскрытия моих персональных данных. Этот момент очень важен, поскольку идентифицирующие личность сведения нечто вроде ядовитых отходов, с которыми не будет связываться ни одна компания, если есть хоть какой-то шанс этого избежать. Новый Общий регламент по защите данных (General Data Protection Regulation, GDPR) предусматривает астрономические штрафы за раскрытие персональных данных без согласия субъекта данных. А потому нужно продумать полный цикл обращения с персональными данными, ведь будет глупо выстроить инфраструктуру, которая защищает их в обычной ситуации, но раскрывает при сбое системы или при восстановлении после сбоя.
Чтобы понять, почему банки выходят на первый план в этой сфере, давайте взглянем на то, что делает банк Barclays в Великобритании, сервис itsme в Бельгии, банк Toronto Dominion в Канаде и банк Commonwealth Bank of Australia (СВА) в Австралии.
Банк Barclays выступает одним из «провайдеров персональных данных» (identity provider) для государственной системы идентификации. Чтобы воспользоваться этим сервисом и получить онлайн-доступ к различным государственным услугам, сначала нужно создать онлайн-профиль. Для этого вы можете обратиться в ряд частных организаций, где проверят ваши персональные данные и привяжут их к онлайн-профилю. Одна из таких организаций банк Barclays. Пока схема не очень популярна, потому что регистрация в государственной системе идентификации дает доступ к ограниченному набору услуг, но, как утверждает глава управления информационных предложений Сара Манро, модель получит дальнейшее развитие.
Бельгийский сервис itsme[82], запущенный в 2017 году, пример совершенно другого подхода. Сервис стал итогом необычного сотрудничества бельгийских банков (Belfius, BNP Paribas, KBC/CBC, ING) и мобильных операторов (Orange, Proximus и Telenet). Чтобы им воспользоваться, нужно скачать приложение itsme и подтвердить свою личность (в Бельгии это нетрудно, так как у каждого есть электронная карта-идентификатор), после чего можно использовать его для входа на сайты участников программы. Первыми из них стали сайты по заполнению налоговых деклараций (разумеется!), но сейчас к программе присоединяются также страховые компании и розничные магазины. В скором времени пользователи смогут подписывать при помощи мобильного телефона официальные документы и получат надежный канал удаленного доступа ко множеству систем. Сочетание удостоверения личности, SIM-карты и мобильного приложения позволило создать очень безопасную и надежную среду для передачи данных. По правде говоря, я не понимаю, почему банки и мобильные операторы не организовали подобное сотрудничество лет десять назад!
Ведущие банки Канады (включая ВМО, CIBC, RBC, National Bank, Scotiabank и Toronto Dominion) входят в общегосударственный консорциум[83] по разработке продвинутой инфраструктуры цифровой идентификации, цель которой усилить безопасность и повысить удобство работы для всех участников рынка. Аналогично ситуации с сервисом itsme, клиент будет получать услугу с помощью мобильного приложения, но в канадской схеме заверенные персональные данные хранятся в совместно используемом реестре, построенном на основе блокчейн-сервиса от компании IBM (на технологии Hyperledger Fabric). Схема предусматривает «трехстороннюю привязку» (triple blinding), так что люди, полагающиеся на заверенные данные, и люди, предоставляющие их, не смогут ничего узнать друг о друге.
Австралийский банк СВА совместно с компанией Airtasker запустил пилотный сервис идентификации. Это очень важный шаг в условиях роста «гиг-экономики» (gig economy)[84], поскольку, предлагая клиентам платформы свою инфраструктуру для цифровой идентификации, банки автоматически становятся участниками транзакций. Airtasker австралийское интернет-сообщество, аналог американского TaskRabbit, где люди и предприятия ищут исполнителей для своих задач (например, «нужен человек для сборки мебели IKEA»). Если у вас есть профиль на сайте Airtasker, вы можете пройти верификацию, обратившись в СВА, после чего в вашем профиле появится соответствующий значок. Видя его, люди будут понимать, что банк знает, кто вы. Значок не раскрывает никакой персональной информации; потенциальным клиентам доступны только сведения о том, что вы умеете и каким временем располагаете. Этот простой способ подтверждения репутации удобен для заказчиков и удачно иллюстрирует главную отличительную черту грядущей «экономики сотрудничества» (collaborative economy): в ней репутация гораздо важнее любых персональных данных (да и риск фальсификации в случае с репутацией ниже). Для банков услуги цифровой идентификации очень перспективное направление, поскольку участники «экономики сотрудничества» не готовы создавать собственные инфраструктуры для идентификации, аутентификации и авторизации. И вопрос не только в технологиях. Еще в 2014 году стало известно, что британские банки планируют предложить услуги репозитория цифровых персональных данных (статья Салли Дэйвис «Banks want to keep your digital ID in their vaults» в издании Financial Times, 2 сентября 2014 года).