Безопасность vs Приватность: в поисках справедливого баланса | блог JuicyScore — Global Device Risk Analytics Bureau

Сколько времени вы сегодня не были в сети?

С 2007 года человечество встало на путь интернет-зависимости. Словами «We have reinvented the phone», прозвучавшими на презентации первого iPhone 12 лет назад, по сути ознаменовалось начало нового мира. Вместе с возможностью неограниченного и постоянного интернет-соединения изменилось не только отношение к информации, но и вся индустрия предоставления услуг. Начался сервисный бум, в котором переизобретается само понятие услуги. Сегодня все происходит онлайн: каждая, хоть немного уважающая себя компания, должна иметь добротный и функциональный веб-сайт, в идеале дополненный мобильным приложением. Развитие Wi-Fi-сетей, улучшение соединения и увеличение его скорости только способствуют непрерывному онлайн-контакту с клиентами.

Но дивный новый мир влечет за собой новые проблемы, с которыми ежедневно сталкиваются как пользователи, так и представители бизнеса. Например, находясь в сети считанные минуты, данные о пользователе открыты и доступны гораздо более длительное время. Как следствие, пользователей стала беспокоить Приватность. Бизнес же, а в частности — финансовые институты, выйдя из зоны комфорта офисов, стали поднимать уровень своей Безопасности.

И, казалось бы, эти две вещи должны были просто улучшить жизнь обоих. Но в погоне за собственным комфортом обнаружилось, что Безопасность финансовых организаций и Приватность пользователей далеко не всегда соответствуют, а зачастую и противоречат друг другу.

Как же так?

 

Для начала попробуем разобраться, что же мы вкладываем в понятие Безопасность.

Сегодня финансовые услуги близки, как никогда. Сначала открывались офисы, которые можно было найти практически везде, на каждом углу даже самого сонного района. За ними стали развиваться личные кабинеты и полноценные онлайн-банки. Сейчас в онлайне провести любую финансовую операцию позволяют постоянно улучшающиеся приложения. Простые же операции с каждым годом и новыми фичами смартфонов становятся еще более интуитивными и не требующими усилий. «Банкинг — это просто!», уверяют нас, а кто не имеет хотя бы одного мобильного приложения — тот за бортом современности (а на самом деле, просто усложняет себе жизнь).

В итоге сформировалась иллюзия, что кредиты (как одна из основных оказываемых услуг) максимально доступны для клиента. Протяни руку — и ты уже можешь дотянуться до «отпуска», «машины», «смартфона» или еще какого-то блага, которое бросается на нас с рекламы. Активный, агрессивный и красивый маркетинг требует и получает внимание даже спящего клиента. А за ширмой ярких роликов и картинок скрывается охота за данными пользователя. Сегодня для того, чтобы успешно «предложить» кредит, кредиторы бросаются во все тяжкие, собирая любые возможные данные вне зависимости от того, на сколько они нужны. С каждой заявки система получает необходимую информацию. Каждый опросник дополняет профиль новыми персональными и чувствительными данными, которые ложатся в основу аналитики и риск-политик, иногда даже становятся отдельным источником дохода. Но всегда — источником дополнительных рисков как для организации, так и для владельца данных.

Для сбора данных существуют громоздкие опросники, анкеты и формы. Весь собранный и накопленный объем информации нуждается в хранилищах, что увеличивает нагрузку на сервера, повышает операционные расходы, или толкает на аутсорсные решения. Как требовательный ребенок, за которым нужен глаз да глаз, безопасность данных снова требует расходов и ограничений. В результате, рано или поздно отношение к данным становится либо прагматичным, либо избыточно осторожным. Данные становятся самой охраняемой и недоступной частью бизнеса, скрываясь за многими замками.

Усложняют процессы сами методы хранения и обеспечения безопасности. Один из распространенных способов — это хеширование. Данные деперсонализируются, преобразуются в буквенно-числовой код и хранятся в хешированном виде. Но вот только этот способ, казалось бы, удобный и надежный, может привести к ущербу для данных и бизнеса. Во-первых, алгоритмы деперсонализации (сколь бы продуманным они ни были) имеют шанс ошибки — например, разные данные получат идентичное сочетание букв и цифр, в результате внося ошибку в тщательно охраняемые персональные данные. Во-вторых, даже для захешированных данных всегда остается возможность обратного преобразования. И для раскрытия этого кода не нужно быть Тьюрингом. Немного склонности к математике и машинного времени — и данные снова персональны.

В результате вопреки всем стараниям, базы данных даже самых успешных и защищенных компаний страдают от взломов и утечек. Вчерашние громкие скандалы с Marriott, Facebook и Google+ сегодня могут смениться новыми. И не важно, кто это будет, важно, что данные — как ни старайся — остаются товаром на черном рынке, а дальше — увы, было бы желание…

* * *

Публичность подобных скандалов несет огромные репутационные риски, нивелируя любые удобства и блага, отпугивая публику. Пользователям становится понятно: если персональные данные нельзя доверить бизнесам и IT-компаниям, то пора озаботиться своей Приватностью самостоятельно.

Человек по природе своей собственник. Защита своих персональных данных и ревностное отношение к чувствительной информации — это лишь некоторые обостренные проявления, особенно бросающиеся в глаза в XXI веке. В результате у человека накапливается негатив и формируется защитный механизм и жажда Приватности: нелюбовь к лишним вопросам, подозрительность к интернету и огромные усилия, чтобы сделать свое пребывание в сети максимально незаметным для третьих лиц. Истории и «утки» про «обратную сторону» интернет-существования только ухудшают настроение масс. Простое недоверие к открытому интернету обрастает действиями, для защиты все средства идут в ход. Мой дом — моя крепость — моя приватность. И за последний десяток лет взлетают и исчезают сотни частных браузеров, файерволов, анонимайзеров, VPN’ов и прочих сервисов, делающих присутствие в сети приватным, а чаще создающих такое впечатление; или тот же TOR-браузер, который теоретические позволяет скрывать действия в сети, а по факту может дать возможность на практике ознакомиться с уголовным кодексом.

Однако приватность неожиданно обернулась преградой. И речь, конечно, не о том, что, запрещая геолокацию на телефоне, пользователю становится трудно вызвать такси или заказать суши. Финансовые организации начинают рассматривать клиента еще на этапе его перехода на сайт. И тут на страницу «заваливаются» гости без каких-либо данных о себе. Возведенная крепость, излишняя приватность автоматически превращает потенциального клиента в рискованного в глазах финансовой машины, стремящейся к «чистоте» и открытости. Организации боятся, да и просто не хотят рисковать и доверять пользователю, закрытому от них без каких-либо «понятных» причин и успокаивающих систему маркеров. И «иммунитет» срабатывает, давая отказ на этапе заявки. А это прямые потери для бизнеса.

* * *

Вот и парадокс. Чтобы сохранить свои персональные данные, пользователи стремятся к Приватности. Чтобы обезопасить собираемые данные, организации повышают Безопасность. Каждый хочет для себя условий получше, но из-за существующей системы выходит непонимание нужд друг друга. Главным образом из-за того, что в определенный момент данные приходится собирать.

Мы в Juicy Score уже несколько лет успешно используем, развиваем и внедряем решение, работающее на альтернативных данных, позволяющее отказаться от персональной и чувствительной информации. Во многих случаях, собираемых нами неперсональных данных достаточно, чтобы принимать решение по заявкам на кредит или страховой полис. А значит начинать диалог с клиентом с анкеты уже не нужно.

Но это только начало.

В любом новом мире рано или поздно возникает свод законов, или хотя бы кодекс поведения (даже у Джека Воробья… капитана Джека Воробья — был кодекс). Поэтому мы предлагаем вам посмотреть наши тезисы, которые, на наш взгляд, помогут наладить взаимопонимание между заявителем и кредитором и отказаться от бесполезного накопительства персональных и чувствительных данных, которые в XXI веке во многих случаях можно считать излишними.

1) Персональные Данные

  • Сократить использование персональных данных до действительно необходимого минимума, находя альтернативные решения или упрощая систему принятия решений и риск-политики;
  • Перестать копить, хранить и передавать персональные данные без значимой необходимости и без уведомления пользователя, освобождая ресурсы и разгружая бизнес-процессы;
  • Развивать, поддерживать и переходить на использование альтернативных данных, не интересных для мошенников и не несущих риски для пользователей.

2) Чувствительная информация (например, располагаемый уровень дохода или иные социо-демографические данные — данные, не несущие материальной угрозы для человека, но способные нанести социальный урон)

  • Сформировать общепринятое определение и составить список таких данных, признав их статус;
  • Урегулировать использование (хотя бы на уровне джентельменского соглашения или кодекса этического поведения для онлайн бизнесов), чтобы не создавать дискомфортных ситуаций для клиентов и не рисковать данными, по-прежнему важными для них.

3) Баланс Безопасности & Приватности

  • Стремиться к нахождению баланса между необходимой безопасностью бизнесов и комфортной приватностью пользователей;
  • Поддерживать и регулировать баланс в динамично меняющемся онлайн-мире, реагируя на изменения в деятельности обоих групп;
  • Выйти на новый уровень дружелюбного сервиса, где уважение приватности не всегда противоречит безопасности, и выработать понимание, что ради безопасности можно выйти из приватности.

Да, эти предложения — далеко не решение громоздкого комплекса проблем системы, отлаженной, регулируемой и прижившейся. Но с этих шагов, маленьких, но очень важных, можно начать трансформировать бизнес, а вместе с ним и создать новый подход к безопасности, где персональные данные больше не будут составлять слабое звено. Главное — это начать и помнить, что эта цель, которую можно достигнуть только совместными усилиями.

Мы готовы помочь на пути к этой трансформации, и приглашаем вас попробовать наш сервис, о возможностях и преимуществах которого, мы с удовольствием вам расскажем.

Узнайте, как работает наш сервис!

Ваши JT