Бывший глава ACSC МакГиббон взрывает призывы узаконить скребки экрана
«Совершенно неверное сообщение».
Высокопоставленный австралийский бывший царь кибербезопасности Аластер МакГиббон ввязался во все более жаркие дебаты по поводу использования скребков для экранов финтех-фирмами, предупреждая, что любое ослабление мер безопасности в условиях открытого банкинга создаст мгновенный список целей для хакеров.
Резко оценивая негативные последствия, которые может привести к снижению существующих стандартов безопасности данных, новая фирма CyberCX , специализирующаяся на киберзащите MacGibbon, предупреждает, что в случае появления «менее строгих правил» «любые нарушения данных подорвут доверие потребителей» в предстоящем открытии. банковский режим.
Комментарии содержатся в представлении CyberCX в сенатский комитет по финансовым технологиям и технологиям регулирования и, скорее всего, будут способствовать тому, чтобы защитники прав потребителей и финансовых юристов вообще запретили проверку экрана правительством.
Ожесточенные дебаты разгорелись вокруг сохранения технологии очистки экрана как инструмента миграции клиентов, не в последнюю очередь потому, что обычно от потребителей требуется передавать свои имена пользователей и пароли третьим сторонам для доступа к своим учетным записям.
Практика уже запрещена в Великобритании и Европе.
«В то время, когда мы должны стремиться привить людям более глубокое понимание важности онлайн-безопасности, призывать людей раскрывать свои пароли - это совершенно неверное сообщение», - говорится в сообщении CyberCX.
«Мы обеспокоены тем, что« очистка экрана »узаконивает и заставляет потребителей передавать свои пароли третьим лицам».
Публичное вступление CyberCX в дебаты является значительным, не в последнюю очередь потому, что компания объединяет дюжину австралийских провайдеров услуг кибербезопасности под руководством бывшего исполнительного директора Optus Business Джона Пайтаридиса.
МакГиббон, возглавлявший Австралийский центр кибербезопасности и до прошлого года являвшийся государственным советником по кибербезопасности, является главным руководителем компании по стратегии.
Группа, состоящая в основном из небольших финтех-фирм, настойчиво подталкивает правительство к легитимизации практики скрининга экранов, заявляя, что большая часть зарождающихся финтех-секторов и технологий-регтех станет практически нежизнеспособной, если эта практика будет запрещена из-за затрат на соблюдение требований в размере от 50 000 до 100 000 долларов США.
В соответствии со стандартами, принятыми в настоящее время Австралийской комиссией по конкуренции и защите прав потребителей, организации, которые хотят участвовать в Open Banking, должны быть аккредитованы регулирующим органом и соблюдать ряд стандартов безопасности и защиты данных.
Многие мелкие финтеки считают, что уровень соответствия установлен слишком высоким для Право на получение потребительских данных, и утверждают, что обналиченные крупные сотрудники будут использовать строгие стандарты, чтобы исключить более мелких и более инновационных конкурентов.
Банк Содружества был выбран для критики некоторыми фирмами, потому что он выпускает предупреждения своим клиентам о том, что они хранят пароли и учетные данные в секрете, когда он обнаруживает скребки экрана, включая предупреждение клиентов о возможной ответственности за мошенничество в случае компрометации.
По этому вопросу достигнут ощутимый консенсус, так как подход к предупреждению клиентов вызвал резкие обвинения в лицемерии из-за того, что когда-то схемы кредитных карт находились рядом с банками, включая American Express .
В частности, American Express требует, чтобы потребители, которые покупают свои счета через поставщиков, использующих скребки для экрана, были освобождены от убытков в соответствии с добровольным кодом электронных платежей Австралийской комиссии по ценным бумагам и инвестициям, который кодифицирует ответственность.
«Мы считаем нецелесообразным, чтобы потребители несли ответственность перед своим банком за использование услуг RegTech, особенно когда эти банки используют эти банки для привлечения новых клиентов», - говорится в сообщении Amex.
Несмотря на то, что CyberCX не покупается на отраслевые проблемы, компания резко предупреждает, что последствия снижения стандартов безопасности могут сорвать весь проект открытого банковского обслуживания, если клиенты потеряют доверие к участникам в случае их компрометации.
Важное предостережение: нельзя допускать развития двухуровневой системы безопасности, особенно той, в которой «финансовые организации отказались бы от Open Banking в пользу продолжения« скрининга экрана », если только расходы, связанные с выполнением ACCC правила сокращены ».
«Похоже, есть предложение, что ACCC может создать более одного уровня аккредитации по мере развития режима CDR. CyberCX не хотел бы видеть менее обременительную версию правил ACCC для размещения
небольших или начинающих финансовых организаций », - говорится в сообщении.
«Если бы некоторые финансовые организации смогли получить аккредитацию по менее строгим правилам, это создало бы стимул для злоумышленников ориентироваться на эти организации. Как указывалось ранее, любые нарушения данных могут подорвать доверие потребителей и инициативу ».
Обеспечение безопасности
Обнадеживает то, что, как отмечают г-н МакГиббон и Паитаридис, аргумент об управлении расходами на соблюдение требований безопасности и очистку экрана не является бинарным уравнением.
Пара считает, что правительство может пойти навстречу нуждающимся в финансах финтехам и по-прежнему поддерживать режим безопасности золотого стандарта, по сути, расширяя кредитную линию для предприятий, которым необходимо довести себя до нуля, чтобы пройти проверку в ACCC.
«Вместо того, чтобы прибегать к« очистке экрана »или размыванию правил, правительству было бы предпочтительнее помочь небольшим и начинающим финансовым организациям достичь самых строгих стандартов информационной безопасности и защиты конфиденциальности», - утверждает CyberCX.
«Этого можно достичь путем создания схемы займа или ваучера.
«Ссуды могут быть предложены квалифицированным небольшим и начинающим финансовым организациям, чтобы инвестировать в укрепление их позиций в области кибербезопасности и соблюдение правил ACCC», - сказал CyberCX - без малейшего намека на иронию, что правительство будет кредитовать рынок необеспеченного кредитования. ,
«Они могут быть погашены, как только организация преодолеет указанный порог дохода. В качестве альтернативы можно создать ваучерную схему, при которой правительство покрывает часть расходов по достижению более сильного положения в области кибербезопасности ».
Кто знает, может, предприимчивый крупный банк мог бы обозначить кредиты правительства как кибер-облигации ... ну, может, нет.