В цифровом мире бизнес одновременно может дотянуться до огромного количества потенциальных клиентов. Обратная сторона медали — компании не знают, с кем взаимодействуют по ту сторону экрана. И в ряде случаев это сопряжено с рисками — от нарушения законодательных требований до ущерба от действий мошенников.
Чтобы избежать этого, бизнес из разных сфер вынужден собирать данные и убеждаться в их подлинности. Кто сталкивался с этим, знает, что в настоящий момент это непростой процесс. Плюс ужесточается ответственность за утечки. Поговорили со Светланой Беловой, CEO ООО «Системы управления идентификацией» (торговая марка IDX) — платформы идентификации и удостоверения личности, верификации документов — о том, какие сложности сегодня есть у компаний в работе с персональными данными и как их преодолеть.
Светлана Белова, CEO ООО «Системы управления идентификацией» (IDX)
— В январе этого года Госдума в первом чтении приняла законопроекты об оборотных штрафах и уголовной ответственности за утечку персональных данных. Ожидается, что закон вступит в силу, несмотря на критику со стороны бизнеса. На ваш взгляд, справедлива ли предусмотренная ответственность и поможет ли это защитить граждан?
— Оборотные штрафы могут быть одной из мер противодействия. На территории Евросоюза действует GDPR (General Data Protection Regulation) — закон, который предписывает всем компаниям мира, обрабатывающим данные жителей ЕС, обеспечить их конфиденциальность и безопасность. То есть он применяется в отношении компаний, которые находятся даже за пределами объединения. В зависимости от типа нарушения придется заплатить штраф, размер которого может достигать €20 млн. Такие суммы и правда мотивируют бизнес быть более щепетильным в обращении с персональными данными.
Так что введение оборотных штрафов в нашей стране считаю правильной мерой, хоть и жесткой. Компаниям придется тратить большие деньги на внедрение разных средств защиты. Фаерволы, антивирусы, шифрование каналов доступа — все это дорогое удовольствие, и для небольшого бизнеса окажется тяжким бременем. Причем даже если компания не собирает данные клиентов, но у нее есть сотрудники, она тоже попадает под действие закона и в случае утечек будет нести ответственность.
При этом надо иметь в виду, что множество утечек происходит не потому, что системные администраторы не предприняли надлежащих мер для защиты данных (влезть в хорошо защищенную систему в общем-то довольно сложно), а потому, что в компаниях всегда находятся недобросовестные сотрудники, которые эти самые данные сливают.
А в сети всегда найдутся покупатели таких данных, готовые использовать их в мошеннических схемах. В эпоху бурного развития искусственного интеллекта на данные высокий спрос — его ведь надо чем-то «кормить». Легальная продажа данных могла бы в том числе помочь в борьбе с утечками.
— Объясните идею.
— В нынешней системе коммерческого оборота персональных данных субъекты таких данных просто отсутствуют. Есть бизнес, есть государство. Бизнес данные собирает и в дальнейшем извлекает из них выгоду: анализирует, что и кому прорекламировать и продать. Государство, в свою очередь, регулирует оборот данных в соответствии с законом, использует данные для реализации своих функций и рассчитывает применять для обучения ИИ (государственное озеро данных).
Было бы честно, если бы, во-первых, граждане могли осознанно контролировать, с каким бизнесом и какими данными делиться (государственный реестр согласий не решает задачи информирования и контроля, поскольку реализует эту функцию для ограниченного набора информационных ресурсов), чтобы получать релевантные рекламные сообщения и скидки, одобрение кредитов, во-вторых, имели за это вознаграждение.
В цифровом мире данные — ценнейший ресурс, и безвозмездно «забирать» его у владельцев как будто не очень правильно.
— Вернемся к штрафам. Вы сказали, что это одна из мер по борьбе с утечками. Какие предложения в этой области есть еще?
— Роскомнадзор предложил крупному бизнесу, мобильным операторам в том числе, создать безопасную и защищенную инфраструктуру хранения и обработки данных, которой мог бы пользоваться малый и средний бизнес. Однако у этой инициативы создания так называемых «уполномоченных операторов ПД» есть недостатки: для крупного бизнеса это дополнительная ответственность, и он не очень этому рад, поскольку такая деятельность не окажется высокомаржинальной; также непонятно, что будет с данными вот этих маленьких бизнесов, когда они окажутся в распоряжении других больших компаний. В общем, пока задумка очень сырая, и не факт, что бизнес смирится с принятием закона.
Ведутся также специальные разработки. Например, Национальный технологический центр цифровой криптографии (НТЦ ЦК) реализовал экспериментальный образец платформы цифрового доверия для подтверждения персональных данных (ПЦД ПД). Ее главный принцип — в том, что персональные данные не передаются в интернет-сервисы, которые их запрашивают, и не собираются в централизованном хранилище, а лишь подтверждаются в доверенных эталонных источниках. Проект мог бы действительно способствовать снижению риска утечек, но сейчас никак не развивается.
И, честно говоря, других новых решений, которые предотвращали бы утечки, на рынке пока нет.
— Регуляторы предписывают бизнесу не только тщательно охранять персональные данные, но и уделять особое внимание проверке отдельных лиц для борьбы с мошенничеством. Например, микрофинансовые организации должны усилить проверку заемщиков при выдаче онлайн-займов. Какие еще подобные требования бизнес должен знать?
— Центробанк постоянно совершенствует требования к идентификации заемщиков и качеству технических средств для предупреждения мошенничества подмены личности. Согласно последней редакции Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке (БС СОФР), при выдаче онлайн-займа микрофинансовая организация должна провести не менее пяти мероприятий, направленных на достоверную идентификацию потенциального заемщика: проверить действительность документа, удостоверяющего личность получателя финансовой услуги; проверить предоставленные им сведения; проверить принадлежность банковского счета получателю услуги — всего в документе 10 разных проверок, все они перечислены в пункте 5.8.
Если говорить о бизнесе из других сфер, например, электронной коммерции, то при доставке товаров из-за рубежа компании должны предоставить таможенному органу паспортные данные и ИНН покупателя. По ИНН легко проверить, что, когда и на какую сумму заказал конкретный человек. ИНН необходим для начисления таможенных пошлин, если вес или стоимость товара превышают определенную норму. Данные должны быть достоверными — в противном случае посылка не пройдет таможню.
Еще один пример из этой же сферы — сайты компаний, торгующих табачными изделиями или электронными сигаретами. Сейчас в России запрещена дистанционная продажа подобных товаров, но тем не менее продавцы обязаны проверять возраст посетителей своих сайтов.
В целом у бизнеса два основных мотива для проверок ПД: выполнение требований регулятора и реализация корпоративных процедур риск-менеджмента. И вторая мотивация сейчас доминирует на фоне разгула мошенничества. Именно за такими проверками приходят в IDX.
Значительная часть наших заказчиков удостоверяет данные для того, чтобы снизить риски своего бизнеса: проверить контрагента, чтобы избежать краж, мошеннических действий; сделать скоринг благонадежности соискателя при приеме на работу и так далее.
— Для идентификации нужен доступ к актуальным и достоверным данным. Есть ли у бизнеса сложности с этим?
— У государства ограниченный набор инструментов, который позволяет бизнесу проверять данные. Казалось бы, существует единая система идентификации и аутентификации (ЕСИА) — то, чем мы пользуемся на портале «Госуслуги». Но получить информацию оттуда без согласия пользователя невозможно. И бизнес охотно бы подключался к ЕСИА и запрашивал согласие, чтобы решить свою задачу риск-менеджмента, но доступ в систему ограничен регламентом ЕСИА.
И разные компании из-за этого попадают в нелепые ситуации. Приведу пример. Какое-то время назад, когда только внедрялась телемедицина, вышел закон, в котором была предусмотрена необходимость идентификации обеих сторон: врача и пациента. Но как эту идентификацию провести, с использованием каких источников данных, представителям медицины никто не объяснил и доступ в ЕСИА не дал, поэтому они были вынуждены прибегать ко всяким ухищрениям.
Кстати, попробовать взаимодействовать с ЕСИА в режиме эксперимента можно в «цифровых песочницах». Но позволить себе это могут только большие компании, у которых есть достаточно ресурсов для того, чтобы такие проекты реализовывать.
Некоторое время назад появился цифровой профиль гражданина (ЦПГ), в котором тоже собираются данные о человеке, причем в большем объеме и даже лучше, чем в ЕСИА, за счет принудительного обновления данных по мере их изменения. Но, опять же, к ЦПГ могут подключиться не все, например, банки и мобильные операторы.
В общем, большому количеству компаний в России доступ в государственные системы заказан.
— Почему у нас такой ограниченный круг компаний, которые имеют доступ к госсистемам?
— Возможно, это связано с инфраструктурными ограничениями ГИС. Еще вопрос доверия: неизвестно, кто будет подключаться к ЕСИА и в каких целях использовать данные граждан. С банками все понятно — на них есть управа в лице Центробанка, который регулирует их деятельность. Операторы связи тоже живут в жестких ограничениях закона «О связи», закона «О персональных данных», регламентов Роскомнадзора, правоохранительных органов и так далее.
А вот взять торговлю в рассрочку. Кто будет следить, какие данные продавцы памперсов или украшений выгружают и что потом с ними делают? И если инфраструктурные ограничения в нынешнее время можно легко преодолеть, то вопрос доверия остается открытым.
— И как тогда быть?
— Например, приходить к нам со своей задачей. У IDX несколько десятков различных источников данных, плюс собственные разработки, которые постоянно совершенствуются. Все это позволяет нам с высокой точностью определять, действительно ли человек, который обратился к нашему бизнес-заказчику, является тем, за кого себя выдает.
И все это мы умеем проверять в режиме реального времени, что позволяет компаниям встраивать наши проверки в свои бизнес-процессы, не ухудшая конверсию. Сейчас время отклика в нашей системе составляет не более пяти секунд, тогда как в государственных системах SLA допускает задержку до пяти дней. Это дает возможность нашим клиентам обрабатывать большие объемы информации в потоковом режиме. То есть не за каждым отдельным запросом ходить, проверять через веб, а через защищенный программный интерфейс можно запустить целый поток обращений.
— Если говорить о высокой точности, о каких показателях идет речь?
— Ретро-тесты показывают, что IDX позволяет снизить количество случаев мошенничества подмены личности на 98% при минимальном уровне ложных срабатываний, то есть мы не даем бизнесу в ходе проверки терять «хороших» клиентов.
Благодаря тому, что у нас много источников актуальных данных, мы можем оптимизировать процедуру регистрации на сайте — это заметно ускоряет загрузку данных клиента в информационную систему бизнеса и в среднем повышает конверсию на 30%, ведь чем проще человеку зарегистрироваться на сайте, тем вероятнее он сделает покупку или закажет услугу. Причем для автозаполнения мы предоставляем уже проверенные данные.
— Если компания пока не пользуется услугами подобных сервисов, как обычно происходит проверка данных клиентов, контрагентов, сотрудников?
— Как правило, в таких компаниях есть специально обученный человек, который осуществляет проверку «ручками». Источником данных для него могут выступать телеграм-боты вроде «Глаза Бога», системы поиска по соцсетям. Такой специалист-«профайлер» изучает доступные источники и делает заключение — оценку.
Мне кажется, таких специалистов по безопасности в основном нанимают компании, где нет большого потока данных для проверки.
Ведь ручной поиск и анализ информации занимает много времени, плюс в таком случае оценка получается субъективной. На потенциального клиента или сотрудника могут несправедливо поставить клеймо неблагонадежного. Поэтому волей-неволей компании приходят к нам.
На сегодняшний день мы осуществляем широкий спектр проверок, особенно много у нас клиентов среди микрофинансовых организаций, которым мы помогаем соответствовать требованиям БС СОФР.
— У потенциальных пользователей может возникнуть вопрос, насколько IDX безопасен и легален. Что скажете?
— IDX входит в реестр операторов персональных данных. Мы обеспечиваем третий уровень защищенности, у нас есть лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензия ФСБ на работу с системами криптографической защиты информации.
Мы работаем только с легальными источниками. Наши партнеры — операторы сотовой связи, бюро кредитных историй, финансовые организации. Мы обращаемся к госреестрам, не используем «серые» схемы проверок и слитую информацию. Мы на рынке уже шесть лет, и многие заказчики с нами почти с самого начала.
Хотите уберечь свой бизнес от мошенников и недобросовестных клиентов, не оказаться объектом внимания регулятора, узнать все о своем клиенте из достоверных источников, не нарушив границы приватности, — вам в IDX.
Фото на обложке: Freepik
Реклама
ООО «СУИ»
erid: F7NfYUJCUneLuWeswajU
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
ВОЗМОЖНОСТИ
12 октября 2024
14 октября 2024
14 октября 2024
14 октября 2024
15 октября 2024