Пароли уже давно не защищают банковские аккаунты и онлайн-кошельки. Уязвимой стала знаменитая двухфакторная аутентификация (2FA). К 2021 году, согласно официальному отчету Cybersecurity Ventures «Киберпреступность», цифровое мошенничество и хакерские атаки обойдутся миру в $6 трлн — по сравнению с $3 трлн в 2015-ом. Эту проблему может решить блокчейн. До конца года канадская компания SecureKey намерена запустить децентрализованный сервис идентификации — Verified.Me. Свою личность можно будет подтвердить прямо в мобильном приложении, установленном на смартфоне. В интервью «Инвест-Форсайт» основатель SecureKey Грег Вольфон (Greg Wolfond) рассказал, почему его проект поддержали ведущие банки Канады и как блокчейн меняет цифровую идентификацию.
— Как возникла компания SecureKey?
— Мы основали SecureKey, потому что видели существенный недостаток идентификации онлайн, лично и по телефону. Слишком легко создать фальшивую водительскую лицензию или ответить на чьи-либо вопросы, основанные на знаниях. Система нарушена. Все больше людей становятся жертвами мошенничества. Это мотивирует нас задавать вопросы о том, как решить проблему идентичности с большей безопасностью и меньшими разногласиями.
— Какой продукт вы выпустили первым, когда основали компанию?
— Первой стала SecureKey Concierge — сеть аутентификации следующего поколения. Она соединяет людей с важнейшими онлайн-сервисами, используя их надежные банковские учетные данные. Сейчас SecureKey Concierge связывает граждан Канады с онлайн-услугами более 80 правительственных учреждений — от заполнения налоговых деклараций онлайн до бронирования кемпинга в одном из национальных парков страны. SecureKey Concierge позволяет безопасно регистрироваться в этих онлайн-сервисах, используя учетные данные доверенных партнеров по регистрации.
— В цифровой экономике современная централизованная система идентификации считается несовершенной. С 2017 года в США, например, зафиксировано более 1300 нарушений идентификационных данных. Из-за этого около 175 млн документов, удостоверяющих личность, были скомпрометированы в соответствии с индексом угрозы X-Force 2018 IBM X-Force. У вас есть аналогичная статистика по Канаде?
— Канада, безусловно, имеет свою справедливую долю сценариев по утечке данных. Одно из основных публично зарегистрированных нарушений затронуло более 10 млн канадцев, но это всего лишь небольшой кусочек пирога — организации сообщили в среднем о 455 атаках в прошлом году. Очевидно, что проблема не зависит от географии — сегодня нарушения данных не связаны границами. Наша цифровая экономика становится все более распространенной, и мы как профессионалы в области безопасности и конфиденциальности должны задавать вопрос не о том, как можно уменьшить количество нарушений данных в США или Канаде, а, скорее, спрашивать себя: «Как мы можем создать усиленный доступ к системам, чтобы уменьшить ущерб, нанесенный этими нарушениями?»
— Что такое цифровая идентификация, основанная на блокчейне? Как бы вы объяснили это понятие шестилетнему ребенку?
— Я бы сказал ребенку, что данные похожи на ваши вещи — игрушки и велосипед. Есть места, где вы можете оставить их в безопасности, и места, в которых их могут украсть. Мы используем технологию распределенных баз данных (блокчейн), чтобы помочь вам делиться своими вещами (вашими данными) с теми людьми, с которыми вы хотите поделиться. Вы можете сказать «да» и каждый раз давать свое согласие. Никто не в праве переместить ваши вещи в другие места, где их можно украсть. Они остаются в безопасности (например, в вашем банке), пока вы не согласитесь поделиться ими.
— Зачем менять более или менее успешные способы идентификации? В чем заключаются недостатки знаменитой биометрии и двухфакторной аутентификации (2FA), которую называют «серебряной пулей» в сфере безопасности?
— 2FA (метод аутентификации, при котором нужно предоставить два средства идентификации — пароль и уникальный код, сгенерированный специальным мобильным приложением для проверки подлинности — ред.) — отличный шаг вперед, но он не решает проблемы, стоящие перед цифровой идентичностью. Даже с 2FA потребители по-прежнему сталкиваются с проблемными моментами и открываются мошенникам, когда подтверждают личность. Методы мошенничества становятся все изощреннее. Об этом свидетельствует постоянно растущее число и серьезность нарушений данных во всем мире. Попытки (от DDoS-атак до WannaCry и Heartbleed) проникнуть в нашу личную жизнь становятся все более последовательными и продуманными. Наше решение должно реализовать три разных типа факторов: то, что у вас есть (например, телефон), то, что вы знаете (например, банковский логин), и кто вы (биометрия).
— Сколько времени ушло на разработку Verified.Me? Каким образом достигается его простота?
— Наши продукты обеспечивают технологию, которая надежно соединяет потребителей с онлайновыми службами. Целостная конфиденциальность с самого начала встроена в наши решения — будь то существующая служба SecureKey Concierge или будущая экосистема цифровой идентификации на основе блокчейна — Verified.Me. Разработка безопасных платформ — особенно таких, как Verified.Me — занимает время. Мы активно участвуем в переговорах с инвесторами, экспертами и специалистами с 2015 года, чтобы обеспечить Verified.Me выход на рынок с учетом каждой точки зрения. Наша сложная система безопасности и конфиденциальность разработаны одними из величайших умов мира (над Verified.Me компания работает совместно с IBM Corp — ред.).
— У вас есть конкурентное преимущество в коммерческом развертывании. Семь крупных кредиторов, включая банк Торонто-Доминион и Королевский банк Канады, инвестировали в проект 30 млн канадских долларов ($24 млн). Как вам удалось получить такую мощную поддержку?
— Думаю, ответ довольно прост: управление рисками. Мошенничество — огромная проблема на канадском (и мировом) рынке, с которой должны бороться все финансовые учреждения. Более безопасная цифровая проверка подлинности — естественный шаг для банков, которые продолжают обеспечивать лучшую защиту своих клиентов. Они поняли, что экосистема, где телекоммуникационные компании, банки и правительства работают вместе над повышением безопасности и уменьшением мошенничества, — важная вещь для всех: потребителей, предприятий и правительств.
— Какие организации намерены использовать ваш будущий продукт?
— Множество организаций участвуют в разработке Verified.Me. Это инвесторы, новаторы, коллаборационисты и консультанты по вопросам политики — BMO, CIBC, Desjardins, National Bank of Canada, RBC, Scotiabank, Sun Life Financial, TD, Intel, Levio, Notarius, Digital ID & Authentication Council of Canada (DIACC), etc.
— У вас есть конкуренты? Что вы думаете об американской блокчейн-платформе цифровой идентификации Civic? Чем отличаются ваши решения от ее разработок?
— Многие компании разработали различные методы решения сегодняшних проблем цифровой идентичности. Но для обеспечения надежной защиты любой подход требует сотрудничества с различными сторонами. Мы много работали над созданием своей экосистемы. Наше самое большое отличие — глубокое сотрудничество и партнерство. Мы смогли привлечь крупные финансовые учреждения, государственные службы и другие институты, потому что невозможно построить безопасную и доступную цифровую идентификацию в одиночку.
— Только один вопрос: в чем заключается ваша коммерческая стратегия в долгосрочной перспективе?
— Мы планируем запустить Verified.Me в Канаде в 2018 году. Здесь мы наладили плодотворные отношения с крупными финансовыми институтами, телекоммуникационными компаниями, правительством и пр. Такие организации, как DIACC и Global Privacy и Security by Design, установили глобальные стандарты конфиденциальности и идентификации, чтобы сделать канадский ландшафт естественным местом для создания Verified.Me. Однако проблемы с цифровой идентичностью существуют не только в Канаде, они влияют на всех потребителей. Поэтому мы активно работаем в ряде стран и после запуска в Канаде намерены привлечь другие рынки.
— Какое будущее, по вашему мнению, ждет отрасль цифровой идентификации?
— Думаю, будущее наступит, когда межотраслевые организации осознают ценность сотрудничества и ради социального блага присоединятся к платформам для разработки безопасных решений. Работа в независимых силосах (silo — изолированная точка в системе, где данные хранятся и отделены от других частей архитектуры; ИТ-специалисты часто говорят о силосах негативно, потому что свободный поток данных важен в большинстве корпоративных систем — ред.) не подходит для эпохи цифровых технологий — и уже не считается стабильной.
Беседовала Ольга Гриневич
Фото представлено SecureKey