Крупнейшие банки Австралии стремились посеять идею о том, что данные клиентов подвергаются опасности, как только они выходят из их рук, в качестве причины, по которой правительство и регулирующие органы должны осторожно подходить к открытому банковскому делу.
На прошлой неделе правительство объявило, что открытый банкинг поступит в Австралию постепенно с июля 2019 года.
Он обещает предоставить клиентам больший контроль над их финансовыми данными, включая возможность передачи данных между банками и другими финансовыми игроками, такими как производители бухгалтерского программного обеспечения и финтехи.
Переход Австралии к открытому банковскому делу до сих пор отражал другие рынки, такие как Европа и Великобритания, поскольку каждая схема представляет собой баланс конкурирующих требований.
На очень простом уровне банки до сих пор пытались ограничить сферу действия правил и то, как быстро они вводятся, в то время как финтехи и другие, стремящиеся разрушить банки, хотят как можно быстрее внести масштабные изменения.
Правительство нашло баланс по этому конкретному вопросу — широкая применимость по 27 категориям финансовых продуктов, хотя и с постепенным внедрением.
Но банки также стремятся играть на проблемах кибербезопасности, которые, по их мнению, могут проявиться в открытом банковском мире.
В частности, они стремились продемонстрировать, что существует своего рода асимметрия между их собственными возможностями информационной безопасности по сравнению с финтехами и другими, которые хотят получить доступ к своим клиентским данным.
“Данные клиентов, а также информация, созданная как часть банковских записей, являются конфиденциальными;с ними необходимо обращаться соответствующим образом”, — говорится в заявлении NAB, представленном в прошлом году в open banking review.
“Наше внимание должно быть сосредоточено на том, чтобы [открытый банкинг] осуществлялся надлежащим образом и чтобы скорость не ставилась выше безопасности”, — снова заявил на прошлой неделе главный операционный директор NAB Энтони Кэхилл.
Westpac сообщила в прошлогоднем обзоре open banking review, что “в контексте банковских и финансовых услуг клиенты ожидают, что информация, хранящаяся в банке, будет храниться конфиденциально и соответствовать самым строгим стандартам безопасности данных”.
“Расширение доступа третьих лиц к данным и перемещение данных из системы безопасности банковского уровня третьим лицам с менее строгими системами безопасности, контроля и процессов (в том числе в отношении безопасного хранения данных) может представлять нежелательные риски для клиента”,-говорится в сообщении Westpac [pdf].
АНЗ также вмешался, утверждая, что режим конфиденциальности, применимый к участникам открытых банковских операций, “не так строг, как стандарты безопасности данных, которые в настоящее время применяются к банкам”.
В нем говорилось, что эти стандарты устанавливают “повышенный уровень безопасности, которым в настоящее время пользуются клиенты банков, когда их данные хранятся в банке”.
Сам обзор высветил общее отсутствие “консенсуса в отношении стандартов, которым должны соответствовать аккредитованные организации” для обработки банковских данных.
“Некоторые утверждали, что рост киберпреступности и чувствительный характер банковских данных означают, что аккредитованные организации должны соответствовать стандартам безопасности, соизмеримым со стандартами банков”, — говорится в обзоре.
“Другие полагали, что требование от небольших участников соблюдать стандарты безопасности банков будет существенным барьером для входа в систему.»
Действительно ли существует асимметрия инфосек?
Крис Майкл, временный технический руководитель британской организации по внедрению открытых банковских систем (OBIE), сказал ITnews, что позиции инфосеков австралийских банков и финтехов, возможно, не так далеки друг от друга, как это делают банки.
“Существует довольно много паники вокруг финтехов [вокруг того, знают ли они о безопасности и как защитить данные клиентов», — сказал Майкл в кулуарах конференции Ping Identity Identify в Сиднее на прошлой неделе.
“Некоторые финтехи, вероятно, делают [infosec] лучше, чем банки, а другие могут быть более рискованными — время покажет.
“Но я думаю, что это миф, что банки блестяще справляются с безопасностью. Банки постоянно взламываются.”
Майкл сказал, что опасения банков не были полностью беспочвенными, но он также отметил, что безопасный обмен банковскими данными — это давняя проблема, а не та, которая внезапно материализуется с приходом открытого банковского дела.
“Сегодня существуют всевозможные [существующие] модели, такие как соскабливание экрана, когда клиенты передают свои банковские учетные данные третьим лицам, и эти третьи лица затем имеют почти неограниченный доступ к банковскому счету”,-сказал он.
“Проблема [безопасного обмена данными] существует и сейчас.
“Безопасные API, используемые в открытом банковском деле, где данные безопасно передаются с явного согласия [клиента] и только между регулируемыми сторонами, — это гораздо лучшее место, чем то, что мы имеем сейчас.”
Открытые банковские схемы в Великобритании и Европе также выигрывают от общего регламента ЕС по защите данных (GDPR), который вступает в силу в конце этого месяца.
В результате аргументы об асимметрии между позициями банков в области информационной безопасности и других третьих сторон могут быть менее выражены в Великобритании и Европе, учитывая, что все стороны должны придерживаться одних и тех же минимальных стандартов защиты и обработки данных.
“Если у вас есть что-то вроде GDPR, то это создает огромную защиту для клиентов», — сказал Майкл.
Зеленые в настоящее время выдвигают предложение об обновлении австралийских законов о конфиденциальности до уровня GDPR. Переход Австралии к открытому банковскому делу может добавить веса толчку зеленых.
Майкл, безусловно, поддерживает правила, подобные GDPR, за пределами Европейского Союза.
“Я думаю, что GDPR должен быть глобальным регулированием”, — сказал он.
Открытые вопросы
Открытый банкинг в Великобритании считается образцом для австралийской схемы.
Австралийский обзор открытых банковских операций указал на использование британских стандартов в качестве основы для местных стандартов, и австралийские банки также умоляли правительство и регулирующие органы извлечь уроки из опыта Великобритании.
Что касается данных и безопасности, то можно извлечь уроки из того, как были созданы стандарты, но некоторые проблемы в области безопасности остаются.
Например, в открытых банковских схемах во всем мире широко принято, что участники должны быть аккредитованы.
Прошлогодний открытый банковский обзор федерального казначейства выявил “различные мнения относительно того, кто должен выполнять роль аккредитации — некоторые выступали за процесс, возглавляемый регулятором, а другие предлагали отраслевую программу аккредитации”.
Кто это делает, важно, потому что остаются открытыми вопросы о том, насколько технически способным должен быть орган по надзору за аккредитацией, чтобы обеспечить соблюдение участниками схемы соответствующих стандартов безопасности и данных.
“По всей Европе нет ясности — и я понятия не имею о ситуации в Австралии, — как регулирующие органы собираются аккредитовывать и оценивать, правильно ли поступают третьи стороны с точки зрения безопасности”, — сказал Майкл.
В то время как подобные вопросы прорабатываются, есть некоторые активы и стандарты, на которые Австралия может опереться, чтобы начать свой путь.
OBIE создала “центральную платформу доверия и идентификации, которая действует как каталог доверенных лиц, третьих лиц и приложений” в открытой банковской экосистеме Великобритании.
“Доверенные удостоверения” хранятся в технологической платформе поставщиком Ping Identity.
Ping и Фонд OpenID также являются соавторами британской модели безопасности открытых банковских операций.
В феврале Ping заявила, что ее генеральный директор и члены группы CTO встретились с австралийской “командой обзора открытых банковских операций, чтобы передать наш опыт работы на платформе открытых банковских операций Великобритании”.
Защита данных и разработка стандартов для австралийской открытой банковской схемы будут осуществляться под руководством CSIRO Data61, в то время как Управление Австралийского комиссара по информации (OAIC) будет осуществлять надзор за защитой конфиденциальности. АССС также возьмет на себя регулирующую надзорную роль.
Формирование австралийской модели
Майкл отметил, что Австралия и другие юрисдикции, возможно, захотят повторить модель сотрудничества, используемую в Великобритании, чтобы собрать воедино стандарты.
“Я видел, что многие другие рынки были очень сильно движимы традиционной платежной индустрией — людьми, которые уже заинтересованы в сохранении статус-кво”, — сказал он.
“Если они являются людьми, управляющими стандартами, то это не особенно полезно, потому что они не обязательно принесут вам желаемые рыночные результаты.
“Одна из вещей, которые мы сделали, — это уделили много внимания и усилий тому, чтобы привлечь финтехов и другие стороны.
“Важно, чтобы они участвовали в разработке этих стандартов, а не просто создавали их, а затем передавали.”
Майкл сказал, что опыт Великобритании показал, что можно разрабатывать стандарты, не поддаваясь эгоизму вкладчиков.
“Соберите людей вместе и апеллируйте к тому факту, что большинство людей, будь то банк или финтех, хотят поступать правильно”, — посоветовал он.
В то время как организация может хотеть защитить свои собственные интересы, Майкл сказал, что люди могут преодолеть такого рода влияния.
“Вы склонны считать, что разумное выходит на первый план, — сказал он.
ОБИ управляет большой средой совместной работы, построенной на слиянии Atlassian.
“У нас есть несколько раундов обзора спецификаций, и мы заставляем людей [предоставлять] обратную связь перед другими людьми — они не могут делать это за закрытыми дверями”, — сказал он.
“Просто быть очень открытым и прозрачным помогает ускорить принятие решений. Вы не всегда можете заставить всех согласиться, но вы можете получить разумный консенсус, потому что вы были очень открыты, и всех слушают.”
