Известный австралийский бывший царь кибербезопасности Аластер Макгиббон ввязался во все более жаркие дебаты по поводу использования скребков экрана финтех-фирмами, предупреждая, что любое ослабление контроля безопасности в рамках открытого банковского дела создаст мгновенный список целей для хакеров.
В грубой оценке негативных последствий снижения существующих стандартов безопасности данных новая фирма по кибербезопасности MacGibbon CyberCX предупреждает, что если возникнет толчок к “менее строгим правилам”, то “любые нарушения данных подорвут доверие потребителей и доверие” к предстоящему открытому банковскому режиму.
Эти комментарии содержатся в представлении CyberCX в Сенатский Специальный комитет по финансовым технологиям и регулирующим технологиям и, вероятно, усилят толчок со стороны защитников прав потребителей и финансовых юристов к тому, чтобы соскоб экрана был полностью запрещен правительством.
Ожесточенные дебаты разгорелись вокруг сохранения технологии очистки экрана в качестве инструмента миграции клиентов, не в последнюю очередь потому, что она обычно требует, чтобы потребители передавали свои имена пользователей и пароли третьим лицам для доступа к своим учетным записям.
Эта практика уже запрещена в Великобритании и Европе.
“Мы обеспокоены тем, что «соскабливание экрана» узаконивает и заставляет потребителей привыкать передавать свои пароли третьим лицам.”
Публичное участие CyberCX в дебатах имеет большое значение, не в последнюю очередь потому, что компания объединяет дюжину австралийских поставщиков услуг кибербезопасности под руководством бывшего исполнительного директора Optus Business Джона Пайтаридиса.
Макгиббон, возглавлявший Австралийский центр кибербезопасности и до прошлого года являвшийся Национальным советником правительства по кибербезопасности, является главным стратегом фирмы.
Группа в основном небольших финтех-фирм настойчиво подталкивает правительство узаконить практику соскабливания экранов, заявляя, что большая часть зарождающихся финтех-и регтех-секторов станет практически нежизнеспособной, если эта практика будет запрещена из-за затрат на соблюдение требований в размере от 50 000 до 100 000 долларов.
В соответствии со стандартами, которые в настоящее время устанавливает Австралийская комиссия по конкуренции и защите прав потребителей, организации, желающие участвовать в открытом банковском деле, должны быть аккредитованы регулятором и соблюдать целый ряд стандартов безопасности и защиты данных.
Многие мелкие финтехи считают, что планка соответствия была установлена слишком высоко для прав потребителей данных, и утверждают, что обналиченные крупные компании будут использовать строгие стандарты, чтобы закрыть более мелких и инновационных конкурентов.
Банк Содружества был выделен для критики некоторыми фирмами, потому что он выдает предупреждения своим клиентам о том, что они сохраняют пароли и учетные данные конфиденциальными, когда он обнаруживает скребки экрана, включая предупреждение клиентов о потенциальной ответственности за мошенничество в случае компромисса.
По этому вопросу существует ощутимо мало консенсуса, поскольку подход предупреждения клиентов вызвал резкие обвинения в лицемерии со стороны некогда близких к банкам схем кредитных карт, включая American Express.
В частности, American Express хочет, чтобы потребители, которые покупают свои счета через поставщиков, использующих скребки экрана, были возмещены от убытков в соответствии с кодексом добровольных электронных платежей Австралийской Комиссии по ценным бумагам и инвестициям, который кодифицирует ответственность.
“Мы считаем неуместным, чтобы потребители несли ответственность со стороны своего банка за использование услуг RegTech, особенно когда эти услуги RegTech используются этими банками для приобретения новых клиентов”, — говорится в заявлении Amex.
В то время как CyberCX не покупается на секторальную грязь, фирма резко предупреждает, что последствия снижения стандартов безопасности могут сорвать весь проект открытого банковского обслуживания, если клиенты потеряют доверие к участникам в случае их компрометации.
Главное предостережение заключается в том, что не следует допускать развития двухуровневой системы безопасности, особенно такой, в которой “финансовые организации отказались бы от открытого банковского обслуживания в пользу продолжения участия в «очистке экрана», если только не будут сокращены расходы, связанные с соблюдением правил ACCC.”
“Существует также предположение, что ACCC может создать более одного уровня аккредитации по мере созревания режима CDR. CyberCX не хотела бы видеть менее обременительную версию правил ACCC для размещения небольших или начинающих финансовых организаций”,-говорится в заявлении фирмы.
“Если бы некоторые финансовые организации смогли получить аккредитацию с помощью менее строгих правил, это создало бы стимул для злоумышленников нацелиться на эти организации. Как уже говорилось ранее, любые нарушения данных подорвут доверие потребителей и доверие к этой инициативе.”
Имея кредит безопасности
Обнадеживает то, что аргумент о контроле стоимости соблюдения требований безопасности и очистки экрана не является бинарным уравнением, замечают господа Макгиббон и Пайтаридис.
Пара считает, что правительство может пойти навстречу стесненным в средствах финтехам на полпути и все же сохранить режим безопасности золотого стандарта, по сути, предоставив кредитную линию предприятиям, которые должны привести себя в порядок, чтобы пройти проверку в ACCC.
“Вместо того чтобы прибегать к «соскабливанию экрана» или размыванию правил, было бы предпочтительнее, чтобы правительство помогало малым и начинающим финансовым организациям достигать самых строгих стандартов информационной безопасности и защиты частной жизни», — утверждает CyberCX.
“Это может быть достигнуто путем создания либо кредитной, либо ваучерной схемы.
“Кредиты могут быть предложены квалифицированным малым и начинающим финансовым организациям, чтобы инвестировать в укрепление их позиций кибербезопасности и соблюдение правил ACCC”,-сказал CyberCX – без малейшего намека на иронию в том, что правительство будет кредитовать рынок необеспеченного кредитования.
“Они могут быть погашены, как только организация преодолеет определенный порог дохода. В качестве альтернативы можно было бы создать ваучерную схему, при которой правительство покрывало бы часть расходов на достижение более сильной позиции в области кибербезопасности.”
Кто знает, может быть, предприимчивый крупный банк мог бы по-белому обозначить кредиты правительству как кибер-облигации … Ну, может быть, и нет.
