Австралийские банки бросили ручную гранату под давлением федерального правительства, чтобы создать режим права на потребительские данные для поддержки открытых банковских и оспариваемых счетов в коммунальных службах, предупреждая, что текущие предположения о конфиденциальности и безопасности пронизаны заниженными рисками и дырами кибер-мошенничества.
В ободренном откате Казначейству Австралийская банковская ассоциация (ABA) использовала представление о законах, чтобы напрямую оспорить ключевые предположения о безопасности и рисках, содержащиеся в Оценке влияния конфиденциальности (PIA) для предлагаемого Права на потребительские данные, которое остается в законодательном подвешенном состоянии перед выборами.
Главная критика банков заключается в том, что Казначейство рассматривает риски безопасности, связанные с передаваемыми потребительскими данными, через розовые очки. Они утверждают, что хакеры и киберпреступники, которые уже регулярно нападают на банки и платежные схемы, могут и будут делать все, чтобы получить данные, предназначенные для Аккредитованных получателей данных (ADR).
Ссылаясь на понижение рейтинга PIA в оценке “вероятности того, что третье лицо, выдающее себя за аккредитованного получателя данных, получит доступ к информации о согласии физического лица” с «возможного» до «маловероятного», банки прямо ставят под сомнение безопасность реформ.
“Точка зрения АБА заключается в том, что это не учитывает намерения мошеннических и преступных субъектов и киберпреступников, которые стремятся действовать с использованием незаконных средств и которые могут быть трудны для обеспечения соблюдения австралийских законов, когда они находятся за границей или иным образом трудны для идентификации, учитывая среду, в которой они работают, в основном через Интернет”, — говорится в представлении АБА.
“Это подтверждается данными, представленными Управлением Австралийского комиссара по информации (OAIC), показывающими, что самой большой причиной нарушений данных являются злонамеренные преступные атаки, такие как кража личной информации или взлом, фишинг и другие подобные события.”
Далее в сообщении говорится, что общий кибер -, криминальный и приватный риск PIA просто слишком оптимистичен и не отражает того, что происходит сейчас. В частности, банки хотят, чтобы риски PIA были пересмотрены с учетом конкретных технических рекомендаций и тестирования, а также предстоящего пилотного проекта, который должен стартовать 1 июля.
“ABA определила аспекты PIA, в которых отраслевой опыт предполагает более высокую вероятность риска”, — говорится в документе ABA.
“По мере совершенствования PIA ABA предлагает пересмотреть эти оценки рисков с учетом разработанных Правил и Стандартов, а также результатов потребительского тестирования и пилотной программы.”
Отношения между банками, правительством и бюрократией по поводу сроков внедрения CDR и open banking стали существенно более проблематичными непосредственно перед Рождеством, когда было тихо обнаружено, что дата начала была перенесена с июля 2019 года на февраль 2020 года.
Тем временем банки – по крайней мере, те, кто действительно готов – будут тестировать систему с помощью пилота, чтобы точно настроить механику.
Понятно, что банки в частном порядке предупреждали, что график открытых банковских операций был настолько опасно коротким, что он, по сути, вызвал серьезные риски и непреднамеренные последствия в уравнении из-за спешки, необходимой для его запуска.
В то же время стимулирующее законодательство также все еще должно быть принято, и лейбористы, как ожидается, вышвырнут законы в высокую траву путем передачи законодательства в комитет, что затормозит принятие закона до тех пор, пока после выборов он не сможет прийти к власти.
Уже сильно пострадавшие от Королевской комиссии за неправомерные действия в сфере финансовых услуг отношения банков с склонным к саморазрушению Коалиционным правительством не были улучшены оптикой назначения бывшего премьер-министра лейбористов Квинсленда Анны Блай – шаг, который может оказаться пророческим, если лейбористы будут избраны на федеральном уровне в этом году.
В то же время список неотложных исправлений ABA, направленных на снижение рисков конфиденциальности для потребителей и, по логике вещей, риска потерь от мошенничества для них самих, обширен.
К числу маркированных как слишком низкий риск относятся:
“PIA, по-видимому, не рассматривала сценарий, когда киберпреступник пытается вмешаться в веб-сайт получателя данных, чтобы веб-сайт направил потребителя на поддельный веб-сайт владельца данных”, — предупреждает представление ABA.
Он также предупреждает, что мало что можно сделать для защиты потребительских данных, хранящихся в АДР, которые продолжают сталкиваться с проблемой, которая затрагивает все сектора, которые будут охвачены правом на потребительские данные.
Но есть и некоторые вопиющие упущения в ответном ударе АБА.
Главным из них является отсутствие обсуждения того, какую роль цифровые идентификационные данные могут или будут играть как в режиме CDR, так и в режиме открытого банковского обслуживания для защиты данных таким же образом, как они могут обеспечивать безопасность транзакций.
Банки также ждут, чтобы увидеть, будет ли оппозиция стремиться политизировать принятие цифрового удостоверения личности, выпущенного правительством – в настоящее время разрабатываемого Агентством цифровой трансформации и находящегося на стадии частного бета – тестирования-будет превращено в мишень таким же образом, как предыдущая карта доступа была сбита во время избирательной кампании 2007 года.
Лейбористы еще не раскрыли свою руку ни на цифровую идентичность, ни на право потребительских данных, сохраняя свои возможности открытыми до выборов. Но кто считает дни?