Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Open data: Сбербанк предлагает делиться данными клиентов

Сбербанк предложил бизнесу обмениваться клиентской информацией. Открыть друг другу данные смогут банки, маркетплейсы и телеком. Эксперты предупреждают в таких сценариях о рисках утечек и нарушении права на конфиденциальность.

На тему возможного обмена данными говорили на конференции “Финтех”, организованной “Ведомостями”. Сбербанк выступает за внедрение открытых интерфейсов (open API) в виде модели открытых данных.

“Open banking, о котором мы сейчас говорим, – это хорошая тема, но она уже уходящая, следующая тема – это open data”, — заявил первый зампред правления Александр Ведяхин.

Если поднимать вопрос об обмене данными, то нужно сразу делать его возможным всем со всеми, считает топ-менеджер.

У телекомов и маркетплейсов огромное количество клиентской информации, которая может быть полезна банкам и страховщикам. То же самое относится и к данным, собираемым финансовыми институтами. По мнению Сбербанка, open data позволят людям быстро и просто применять любые платежные инструменты на маркетплейсах.

Anti-Malware.ru попросил экспертов по информационной безопасности прокомментировать эту новость.

С коммерческой стороны это начинание имеет множество положительных моментов как для клиентов, так и для представителей бизнеса, говорит главный специалист отдела комплексных систем защиты информации компании “Газинформсервис” Дмитрий Овчинников.

Но с точки зрения информационной безопасности подобный обмен данными несет в себе определенные риски, продолжает эксперт.

Любые каналы обмена информации — это увеличение “поверхности” атаки и возможности утечки данных. Чем больше участников в подобном обмене, тем выше вероятность, что данные “утекут” за пределы организаций.

Но даже если добиться полностью защищенного обмена, все упирается в надежность хранения данных у конкретных участников бизнес-процесса.

И вот в таком случае, уровень максимальной защиты этих данных будет равен силе защиты самого слабого участника обмена. То есть сила всей цепи равна силе самого слабого звена этой цепи, объясняет эксперт.

Второй ключевой момент — право пользователя на конфиденциальность.

Подобный обмен должен быть согласован самим клиентом. Иначе получается, что бизнес имеет полную картину того, что из себя представляет личность. Он будет знать не только ее текущие расходы, доходы и траты, но вкусы и предпочтения.

И вот в таком разрезе защищать уже надо не пользовательские данные, а самих пользователей от вмешательства в их жизнь и влияния на нее.

Третий ключевой момент, продолжает эксперт, – ответственность участников бизнес-процессов за утечку консолидированных данных.

Одно дело, если утекли паспортные данные без привязки их к доходу. И совсем другое — когда цифровой слепок информации, который достаточно четко характеризует персону, попадает в несанкционированный доступ к злоумышленникам.

Чем больше людей имеет доступ к информации, чем выше сложность системы, тем более она требовательна в обслуживании. И тем выше цена ошибки и утечки данных.

Идея open data хороша для бизнеса и дальнейшего развития нашего рынка, заключает эксперт. Но вместе с этим она требует всесторонней защиты и очень бережного обращения.

“Сейчас данные – это актив. Раз данные чего-то стоят, ими не будут делиться просто так”, — комментирует идею open data Руслан Ложкин, руководитель службы информационной безопасности Абсолют Банка.

Здесь ключевой блокер — само понятие открытых данных, которое нужно ввести законодательно, а также определить, что не может являться открытыми данными. Без этого мы сразу сталкиваемся со множеством законов: персональные данные, коммерческая тайна, авторское право, информация ограниченного доступа и так далее.

Если данные были получены из общих баз знаний или из интернета, то это еще не открытые данные, а общедоступные, объясняет эксперт.

Нужно сформулировать требования к обработке и хранению открытых данных, полагает Ложкин.

Без законодательного определения открытых данных и определения в подведомственных структурах правил к обработке таких данных, концепция open data не имеет смысла, заключает глава службы безопасности Абсолют Банка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенатор пытается возобновить работу над регулированием ЦОД

Сенатор Артем Шейкин отправил в Минцифры письмо, в котором просит возобновить работу над законопроектом о регулировании рынка центров обработки данных (ЦОД).

Прежде всего речь идет о создании российской системы сертификации ЦОД. В настоящее время данные об объектах передаются для сертификации в Uptime Institute.

Документ оказался в распоряжении «Коммерсанта». Артем Шейкин просит объяснить причины прекращения работы над законопроектом, который включал поправки в закон «О связи», вводящие базовое регулирование сферы ЦОД.

Законопроект прошел первое чтение и был отправлен на доработку в 2022 году.

«Российские коммерческие ЦОД проходят западную сертификацию Uptime Institute и отправляют проектную документацию и другую чувствительную информацию в США. При этом нередки случаи, когда различные госорганы и структуры впоследствии размещают в таких коммерческих ЦОД и свое ИT-оборудование», — пишет Артем Шейкин.

По его мнению, такая ситуация создает существенную угрозу, поскольку повышает уязвимость важных инфраструктурных объектов от внешних кибератак.

В Минцифры изданию заявили, что российское законодательство прямо запрещает передачу данных о ЦОД за рубеж, и данное положение исполняется. Ведомство также подтвердило получение письма Артема Шейкина. Там заявили, что Минцифры работает над подготовкой законопроекта о регулировании рынка ЦОД ко второму чтению.

Представители отрасли, опрошенные изданием, в целом считают, что вопрос о создании отечественной системы регулирования и сертификации ЦОД будет полезным, поскольку зарубежные стандарты не учитывают весь набор требований. Отмечается, что альтернативный взгляд будет полезным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru