Когда-то я написал пост о проблемах с конфиденциальностью, которые могут возникнуть при применении блокчейна в таких сферах, как образование, здравоохранение и управление персоналом. Тем не менее, основанное на блокчейне решение там, где традиционные подходы работают плохо, может помочь и в обработке личных данных. Я имею в виду процедуру KYC (know your customer) и последние достижения, связанные с использованием в ней блокчейна.
Термин know your customer пришел из финансового сектора. Банкам нужно было идентифицировать своих клиентов, пресекать попытки махинаций и проверять кредитные истории. Для этого они разработали требования к документам и процедуру, которая фактически стала стандартом обработки заявок на кредит.
Позднее эта модель стала использоваться и в других сферах бизнеса. Если компания A хочет вести дела с компанией B, A запрашивает пакет документов, в том числе регистрационный номер, ИНН и номер счета B. Обычно подлинность таких документов проверяет третья сторона, из-за чего возникают бюрократические проволочки.
Как правило, проверка бумаг — в частности, телефонные звонки и запрос подтверждений — отнимает много времени и усилий. Это проблема. Чтобы ускорить процесс, некоторые клерки просто ставят штамп на документах, не проверяя их как следует. Это еще большая проблема.
Дальше — хуже: когда бюрократические проверки дают сбой, вводится… еще больше таких проверок. Возьмем, к примеру, банковский сектор. По данным опроса Thomson Reuters, в 2017 году на проведение процедур KYC требовалось в среднем 32 дня. Для сравнения, в 2016-м они занимали 28 дней.
Одно время считалось, что ситуацию исправят цифровые подписи. Однако они не избавляют от необходимости проверять подлинность документов в рамках процедур KYC. Кроме того, цифровую подпись можно подделать или украсть.
Блокчейн позволяет значительно ускорить проверку подлинности. Некоторое время назад архитекторы коммерческих блокчейн-проектов изобрели термин привилегированные узлы (privileged nodes). В нашем примере, когда компании A нужно подтвердить подлинность документов компании B, она отправляет запрос на сертификационный узел, владельцем которого является государство или уполномоченный представитель. Сертификационный узел проверяет согласие компании B на обработку запрашиваемых документов и их действительность и только затем возвращает их компании A.
Всю эту логику можно запрограммировать в смарт-контракте, адаптировав к нуждам компаний — участниц процедуры. Например, в нем можно прописать возврат полного пакета документов или только действительных документов, которые компания B согласилась предоставить. В последнем случае A может рискнуть и продолжить сотрудничество с B либо приостановить дальнейшие операции.
Гибкость смарт-контрактов дает бизнесу свободу выбора, что необходимо для процветания экономики. Так, компания B может отказаться предоставить определенный документ компании A, однако уведомить ее о том, что такой документ существует и проверен привилегированным узлом.
Этот подход применим и к сфере обработки персональных данных потребителей, где процесс управления идентификационной информацией находится между молотом и наковальней в лице мер по противодействию мошенничеству и Общего регламента по защите данных (GDPR). С одной стороны, смарт-контракт позволяет банку убедиться, что кредитная история конкретного клиента чиста и проверена компетентным органом, что необходимо для борьбы с жуликами. С другой стороны, организации не нужно хранить у себя информацию об этом.
Более того, в смарт-контрактах можно настроить срок действия согласия компании B на предоставление документов, по истечении которого компания A потеряет к ним доступ. Звучит прекрасно, не правда ли? На самом деле все не так радужно. Вам все равно нужно следить за тем, какая информация попадает в «блоки», передаваемые по блокчейн-сети. Даже в отсутствие самих документов распределенная база данных должна хранить некоторые их характеристики, такие как контрольные суммы, хэши и сроки действия. Доступность этой информации в распределенном реестре, наряду со сведениями о запросах и разрешениях, позволит проходить процедуры KYC не за несколько дней и даже месяцев, а за несколько часов или минут!
То, о чем я говорю, уже реализовано на практике. Корпорация IBM поддерживает коммерческую блокчейн-платформу Hyperledger с 2015 года и уже показала работающий прототип проекта KYC для ряда международных банков, в числе которых Deutsche Bank и HSBC. В сегменте B2C компания NEC активно продвигает решение по осуществлению KYС в один шаг, которое должно значительно упростить процедуру для заказчиков.
Чтобы все работало, как задумано, нужно уделять пристальное внимание собственно смарт-контракту, стоящему за подобным решением. Мы уже знаем, что пока культура составления смарт-контрактов далека от идеала, а одна ошибка в данном случае может разрушить саму идею безопасной автоматизации KYC.
Именно поэтому проверка кода смарт-контрактов лежит в основе нашего сервиса Kaspersky Blockchain Security. Наши эксперты по защите от вредоносного ПО выявляют известные уязвимости и конструктивные дефекты в смарт-контрактах, а также изучают их на предмет недокументированных функций. Они предоставляют подробный отчет о своих находках и рекомендации по их устранению.