Банк 4.0: Новая финансовая реальность - Бретт Кинг
Шрифт:
Интервал:
Закладка:
Для таких перемен нужны политическая воля и решительность. К счастью, многие политические лидеры уже готовы решать эту задачу.
Нет сомнений, что будущее банкинга тесно переплетено с будущим идентификации личности. Цифровая личность (digital identity) – ключевой ресурс новой экономики, и банкам, как и другим организациям, придется разрабатывать стратегии цифровой идентификации. Но какими они должны быть? И что произойдет, если банки не обзаведутся подобными стратегиями?
Все мы читали статьи в различных изданиях и блогах, слушали выступления на конференциях и отмечали твиты, в которых говорилось о ключевой роли цифровой личности в новой экономике. Не все авторы дают внятное определение цифровой личности, но все они полагают, что без инфраструктуры для установления личности в цифровой среде невозможно в полной мере реализовать потенциал роста и воспользоваться всеми возможностями новой онлайн-экономики. Я целиком разделяю их опасения и абсолютно уверен, что без грамотно выстроенной инфраструктуры мы просто не сможем двигаться вперед.
Если называть вещи своими именами, удаленное установление личности – критически важная составляющая инфраструктуры будущего. Но как она будет работать? Кто будет за нее отвечать? Мне есть что сказать по этому поводу. Я работаю в данной сфере много лет и даже внес определенный скромный интеллектуальный вклад в ее развитие. В компании Consult Hyperion мы с коллегами разработали довольно удачную модель цифровой личности, которая прошла испытания и показала себя полезной в ряде областей. Как показано на рисунке 1, модель трехдоменной личности (three domain identity, 3DID) описывает цифровую личность как мостик между реальным и виртуальным мирами и предлагает понятную схему привязки к каждому из этих миров. В первом приближении достаточно знать, что эти привязки чрезвычайно асимметричны: чтобы привязать цифровой образ к чему-либо в реальном мире, требуется много времени, усилий и затрат, а привязать цифровой образ к чему-либо в виртуальном мире можно быстро и недорого. Всё сводится к набору шифров и ключей и управлению ими (см. раздел «Модель цифровой личности» в книге «Управление цифровой личностью»[78] под редакцией вашего покорного слуги).
Рисунок 1. Модель трехдоменной личности
Есть много организаций, которые могли бы формировать эти привязки, можно было бы даже создать специализированные институциональные механизмы – и есть достаточные основания включить в их число банки, которые могли бы возглавить процесс. Несколько лет назад я написал книгу «Личность – это новые деньги»[79], где разобрал некоторые вопросы инфраструктуры для идентификации и предложил ряд усовершенствований, которые сделают эту инфраструктуру более адекватной в условиях современного мира, а также объяснил, почему банки – самые подходящие организации для создания и обслуживания систем цифровой идентификации.
На мой взгляд, приведенные в книге доводы в целом по-прежнему верны. Недавно мне напомнил о них друг, столкнувшийся с проблемой взлома аккаунта Facebook. Он был крайне раздражен тем, как много усилий пришлось приложить, чтобы достучаться до представителей Facebook и заставить их хоть что-нибудь предпринять. Я ответил, что в принципе у него и не было никаких оснований ожидать от Facebook чего-то иного. Закон не обязывает Facebook решать подобные проблемы[80]. А вот банки – это регулируемые государством финансовые организации, и если бы они предоставляли услуги идентификации, то были бы по закону обязаны гарантировать защиту вашей информации. Если к вашему банковскому счету получат доступ воры, вы вправе ожидать от банка ответных действий по определенной процедуре: установить подлинного владельца банковского счета, вернуть ему контроль над счетом и предоставить соответствующую компенсацию, если окажется, что проблема возникла по вине банка.
Мне нравится такая картина будущего. Обратимся к ситуации вне финансовой сферы, чтобы было понятно, что я имею в виду. Богатый контекст для изучения разных концепций цифровой личности дают сайты знакомств, так что возьмем их как пример. Представьте, что я захожу на сайт знакомств и создаю аккаунт. В качестве логина мне предлагают использовать банковский счет и затем перенаправляют на сайт моего банка, где я прохожу стандартную процедуру двухфакторной аутентификации, чтобы подтвердить свою личность. Затем банк направляет на сайт знакомств криптографический токен, сообщающий, что я старше 18 лет, живу в Джерси и могу оплатить услуги сайта. В этом примере мои реальные личные данные надежно хранятся в банке, но привязываются к виртуальному профилю, которым я могу пользоваться для общения онлайн. Таким образом, мой аватар для знакомств в интернете не содержит персональной информации, идентифицирующей личность пользователя (personally identifiable information, PII), но если я под этим аватаром сделаю что-нибудь нехорошее, то сайт знакомств передаст данные токена в полицию, полицейские увидят, что токен направлен банком Barclays, а банк сообщит им, что аватар принадлежит Дэйву Бёрчу[81]. На мой взгляд, весьма разумное распределение обязанностей. Вместе с тем, когда преступники взломают сайт знакомств (рано или поздно это произойдет), им достанется лишь бессмысленный токен – они не будут знать, кому он принадлежит, и мой банк им этого не расскажет.
Одна из главных привлекательных черт подобного решения (уверен, не только я так думаю) состоит в том, что оно дает основания надеяться на решение неизбежных проблем. Что-нибудь плохое рано или поздно случается. Важно то, какие структуры, механизмы и процессы помогут решить проблему. Я предполагаю, что на случай захвата мошенниками моего банковского счета и использования моих данных для создания фальшивого аккаунта на сайте знакомств у моего банка есть механизмы отзыва токена и информирования об этом меня и сайта знакомств без раскрытия моих персональных данных. Этот момент очень важен, поскольку идентифицирующие личность сведения – нечто вроде ядовитых отходов, с которыми не будет связываться ни одна компания, если есть хоть какой-то шанс этого избежать. Новый Общий регламент по защите данных (General Data Protection Regulation, GDPR) предусматривает астрономические штрафы за раскрытие персональных данных без согласия субъекта данных. А потому нужно продумать полный цикл обращения с персональными данными, ведь будет глупо выстроить инфраструктуру, которая защищает их в обычной ситуации, но раскрывает при сбое системы или при восстановлении после сбоя.