Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Для финансовых рынков это означает перемещение всех операций в устройство связи, через которое решаются и проблемы идентификации. Как следствие, традиционным банкам, вероятно, придется сфокусироваться на хранении денег клиентов и осуществлении расчетов, а интерфейсы отдать FinTech-компаниям (вышеупомянутая PSD2 уже лишила банки монополии на управление деньгами клиентов: предоставлять API для третьих сторон становится для них не правом, а обязанностью). Это приведет к постепенному отказу от неоцифрованных услуг (что пока сдерживается юридическими коллизиями) и увеличению объема операций, происходящих вне контроля пользователя, таких как автоплатежи за продукты и услуги, сбор информации в «фоновом режиме» для целей управления персональными финансами (PFM). В результате банк либо сам становится ИТ-компанией, либо превращается в back office для FinTech-компаний.
Параллельно будут расти число ошибочных действий (в т. ч. совершенных «по инерции») и возможности для манипулирования (пример: автовозобновление подписки и других услуг, если пользователь специально не заявил об отказе от них). Так, знаменитый «мгновенный обвал» (Flash Crash) американского фондового рынка 6 мая 2010 г. (снижение стоимости ценных бумаг на $1 трлн в рамках одной торговой сессии) с высокой степенью вероятности стал результатом «гонки вооружений» производителей систем для высокочастотного трейдинга[260].
Вообще формирование вокруг человека своего рода цифрового «кокона» дает простор для манипуляций в просто невообразимых масштабах. То, как мы распознаем мир, – результат веры как в данные, предоставляемые разнообразными устройствами, так и в системы их дистрибуции. Социальные сети и VDA уже сейчас активно фильтруют медиа и контент согласно своим внутренним алгоритмам. В недалеком будущем то, на что обращают внимание миллиарды людей (а при использовании VR/AR очков – и то, что они вообще видят), будет контролировать небольшая группа владельцев социальных сетей и производителей ботов и VDA.
«Все вокруг нас напоминает о нашем отречении от нашей собственной власти в пользу технологий… В конце концов мы можем прийти к ощущению того, что мы вообще уже ничего не решаем и не можем ни на что повлиять, – те или иные вещи просто происходят с нами.
Жизнь станет намного проще, не так ли? Идти следом гораздо легче, чем прокладывать дорогу самому… Сможем ли мы свободно принимать решения, не основанные на логике и алгоритмах? Сможем ли мы по-прежнему совершать глупые поступки: превышать скорость, напиваться, есть вредную еду? Или свобода воли перестанет существовать?
В одном можно быть уверенным: технологии и их крупнейшие провайдеры сделают все возможное, чтобы склонить нас к повиновению и отречению, случайно или преднамеренно»[261].
Предиктивная аналитика[262], первоначально призванная помочь с сортировкой и пониманием потока информации для обеспечения принятия обоснованных решений, теперь фактически превращается в способ склонить человека к выполнению действий, ведущих к выгоде финансового института.
Отклонения от рекомендованного финансового поведения будут пресекаться с помощью кредитных (социальных) рейтингов (см. выше). Таким образом, Homo Connected создает основу для реализации бизнес-модели Behavioral Finance[263], которая начиналась с идеи необходимости учета особенностей психологии брокеров и инвесторов, но теперь «пошла в народ» и легла в основу многих типов розничных сделок: от POS-кредитов до «финансовых пирамид».
11.4. Ликвидация частной жизни в силу экспоненциального роста регистрирующих устройств
Неприкосновенность частной жизни чем дальше, тем больше становится роскошью, которую могут позволить себе только богатые.
Кэти О’Нил,математик, автор книг по науке о данных, включая «Оружие математического уничтожения» (Weapons of Math Destruction)Все больше информации выносится в публичное пространство посредством социальных сетей и облачных технологий, которые, несмотря на все заверения, не гарантируют защищенность данных клиентов: отсюда попытки создать гибридные облака (hybrid cloud), сочетающие в себе преимущества публичных (снижение расходов на ИТ-инфраструктуру и стоимости хранения данных) и частных (защита критической информации от несанкционированного доступа) облаков. Размывается само понятие privacy[264] как неприкосновенности частной жизни (честному человеку не стоит бояться Большого брата[265]). Можно даже говорить о фактической ликвидации частной жизни в силу экспоненциального роста регистрирующих устройств. Скоринг все более основывается не на сопоставлении данных клиента с параметрической моделью, а на оценке всех данных о клиенте, до которых можно «дотянуться», и построении вероятностной модели его действий, хотя при этом зачастую игнорируется старое римское правило: post hoc, поп est propter hoc[266].
Реализация на практике вышеупомянутой PSD2 может вступить в противоречие с Генеральным регламентом о защите персональных данных (GDPR)[267]. Под персональными данными GDPR понимает любую информацию о пользователе, которая позволяет так или иначе идентифицировать его, включая cookies и IP-адрес. В отдельную категорию «особых персональных данных» выносятся расовая, конфессиональная, политическая/партийная принадлежность, биометрические и генетические данные, медицинская информация, сексуальная ориентация и т. д.
GDPR в принципе схож с российским Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» [52]. Оба документа предусматривают:
– прозрачность процедуры сбора персональных данных: данные можно собирать только на законных основаниях, с согласия их владельцев, объясняя при этом, как планируется их использовать;
– ограничения по использованию персональных данных: их нельзя собирать и хранить в иных целях, нежели те, на которые было получено согласие их владельца. При этом объем собираемых данных, сроки их хранения и методы обработки должны строго соответствовать заявленным целям;
– право гражданина на управление своими персональными данными (гражданин вправе запросить у оператора, какими именно сведениями о нем тот располагает) и возможность отзыва согласия на их использование (вплоть до требования все удалить);
– безопасность использования персональных данных: раскрывать их третьим лицам без согласия владельцев запрещено, оператор обязан обеспечить надежное хранение данных и несет ответственность за их утечки.
Но GDPR идет дальше: вводится понятие организации-контролера, которая проверяет корректность исполнения всего процесса сбора, обработки и хранения персональных данных. GDPR также определяет право на перенос данных (т. е. их передачу между операторами персональных данных по запросу пользователя) и требует уведомлять регулирующие органы об утечках в течение 72 часов после обнаружения – с отчетом о рисках для физических лиц и списком предпринятых мер по их снижению. За этим будет особо следить European Data Protection Board[268]. При этом, в отличие от России, штраф за хотя бы одно нарушение составляет минимум 2 % от оборота компании либо 10 млн евро.
Помимо обработки персональных данных, в GDPR используется понятие мониторинга поведения субъектов данных, которое распространяет действие GDPR на организации, созданные за пределами ЕС, если они (в качестве контролеров или операторов) контролируют поведение жителей ЕС (в той мере, в которой такое поведение имеет место в ЕС). Мониторинг может включать: отслеживание