4 November 2022
Banyak diskusi mengenai tantangan teknis dan pentingnya menyepakati standar yang tepat dibahas minggu lalu di Forum Layanan Perwalian ENISA di Berlin. Bagaimana kita dapat melangkah maju dengan rencana ambisius untuk meluncurkan dompet digital yang aman di seluruh Uni Eropa? CEO iProov, Andrew Bud, mempresentasikan Tentang iProov sifat lingkungan ancaman yang terus berkembang dan pentingnya pendekatan yang berpusat pada pengguna untuk membangun dompet digital yang tidak hanya dapat diakses dan mudah digunakan, tetapi juga aman.
Dompet Digital Uni Eropa
Ada hadiah besar yang tersedia untuk Eropa dan ekonomi Eropa jika kita, sebagai industri Identitas Digital, bersama dengan kelompok konsumen dan pembuat kebijakan, dapat berkolaborasi dengan sukses untuk membangun, meluncurkan, dan mengadopsi platform yang lebih nyaman untuk mendukung transaksi digital yang aman dan tepercaya. Dompet digital memiliki banyak kegunaan potensial dan dapat menjadi cara untuk melakukan pembayaran yang aman, memudahkan proses penggantian dokumen resmi, seperti SIM, dan mempercepat Perjalanan dan Pariwisata melalui pemeriksaan Lintas Batas dan Customs di bandara dan pelabuhan. Sebagai contoh, McKinsey memperkirakan bahwa pengguna layanan Lembaga Pemerintahan dapat menghemat waktu sebanyak 110 miliar jam dengan merampingkan layanan Lembaga Pemerintahan secara online dengan aman.
Uni Eropa memimpin dunia dengan kerangka kerja legislatif yang ambisius dan memungkinkan untuk sistem Dompet Digital Uni Eropa. Kami sangat senang menjadi bagian dari NOBID untuk pendanaan Komisi Eropa untuk skema dompet digital percontohan. Proposal NOBID didukung dengan baik, secara profesional dengan mitra yang berpengalaman, dan kasus penggunaan yang menarik (layanan pembayaran). Namun, laporan penelitian kami yang baru-baru ini diterbitkan Tentang iProov Dompet Digital Uni Eropa menyoroti pentingnya hambatan yang harus dihadapi. Pendaftaran berskala besar, penerimaan organisasi, dan bukti penggunaan yang berkelanjutan sangat penting jika manfaatnya ingin direalisasikan.
Secara kritis, besarnya hadiah, dengan potensi pasar 447 juta pengguna, akan menarik para penyerang kriminal juga.
Ancaman dan Peran Biometrik Wajah
Agar dapat diterima, pendaftaran harus melindungi dari berbagai macam peniruan, presentasi, dan serangan injeksi digitalyang konsisten dengan jenis pola yang telah kami amati melalui Kemampuan iSOC kami yang unik. Organisasi harus yakin bahwa pengguna adalah orang yang mereka klaim dan bahwa mereka memiliki hak untuk mengakses informasi di dompet, bahwa pengguna adalah orang yang nyata, dan bahwa pengguna mengautentikasi diri mereka secara real-time.
Penjahat yang berada di balik serangan memiliki sumber daya yang baik, sangat terampil, dan beroperasi secara strategis ketika mereka telah mengidentifikasi target yang sangat berharga. Pengalaman kami sendiri konsisten dengan saran yang kami terima dari badan keamanan Eropa yang menyarankan strategi uji & pelajari penyerang kriminal, yang akan menyerang sebuah target, belajar dari pengalaman tersebut dan kemudian menggunakan pembelajaran itu untuk menyesuaikan teknik mereka sebelum menyerang target berikutnya.
Memasok deepfake yang canggih juga merupakan peluang bisnis yang menarik bagi mereka yang memiliki kemampuan AI. Europol baru-baru ini melaporkan pertumbuhan deepfake sebagai sebuah layanan, dengan satu pelaku ancaman menawarkan $16.000 untuk sebuah deepfake yang mungkin akan digunakan untuk tujuan yang melanggar hukum atau berbahaya. Di sini kita melihat evolusi kejahatan sebagai layanan.
Menjaga Kepercayaan dan Aksesibilitas Pengguna
Cara kita mengatasi ancaman biometrik sangat penting jika kita ingin mempertahankan kepercayaan pengguna terhadap dompet digital, dan komunitas kebijakan siber memiliki peran penting untuk memastikan bahwa pendekatan kita tidak hanya kuat secara teknis dan tangkas, tetapi juga mengikuti prinsip-prinsip desain yang berpusat pada pengguna.
Sangatlah penting bagi kita untuk menggunakan kecerdasan metode serangan yang kita miliki dan pemahaman kita Tentang iProov pengguna yang kita miliki untuk memastikan bahwa kerangka kerja kebijakan keamanan yang sedang dikembangkan, apakah itu AI Act, Cyber Resilience Act atau NIS2 dibangun berdasarkan kebutuhan, kerentanan, dan kemampuan pengguna. Pendekatan yang dibangun dengan asumsi bahwa pendidikan pengguna akan mengatasi kesenjangan kemampuan akan gagal.
Di iProov, kami memperjuangkan prinsip pendekatan yang berpusat pada pengguna untuk desain Solusi, terinspirasi oleh karya di bidang ini oleh Profesor Angela Strasse. Layanan verifikasi & otentikasi ID harus dibangun di sekitar beberapa prinsip yang sederhana, namun penting, dan berpusat pada pengguna. Kepatuhan terhadap WCAG 2.1 AA harus menjadi persyaratan minimum. Tidak seorang pun boleh dikecualikan - apakah itu berdasarkan disabilitas, atau atas dasar mereka tidak memiliki ponsel cerdas atau tablet terbaru. Pengguna tidak dapat diharapkan untuk menghadapi ketidaknyamanan dalam pendaftaran ulang setiap kali mereka mengubah atau mengganti perangkat mereka.
Kita perlu menyadari bahwa perangkat adalah titik lemah dalam rantai kerentanan dan menghindari ketergantungan pada perangkat untuk keamanan. Banyak ponsel pintar yang digunakan sehari-hari tidak lagi didukung dan penggunanya belum tentu menginstal patch keamanan terbaru yang tersedia.
Apa yang Harus Dicapai oleh Kebijakan tersebut?
- Inklusi melalui pilihan pengguna: Tidak ada pemaksaan atau persyaratan untuk perangkat keras atau sensor perangkat khusus. Kemampuan untuk mengautentikasi secara aman pada perangkat apa pun dengan kamera yang menghadap ke pengguna.
- Inklusi melalui aksesibilitas: Agnostisisme perangkat & platform untuk menyertakan semua pengguna;kinerja yangkuat dan pemantauan bias; pengiriman berbasis cloud.
- Jalur pilihan yang kuat: Opsi pendaftaran non-biometrik harus sama amannya... meskipun kenyamanan dikorbankan.
- Mitigasi risiko perangkat: Tidak bergantung pada perangkat pengguna untuk keamanan. Mengurangi risiko dari perangkat sintetis atau perangkat yang disusupi.
- Pemulihan identitas: Pengguna seharusnya tidak perlu mendaftar ulang ketika perangkat diubah atau diganti.
- Integritas verifikasi: Gunakan pemrosesan yang tidak dapat diakses untuk mencegah rekayasa balik oleh penyerang. Mengurangi ancaman serangan pihak lawan.
- Meringankan beban tanggung jawab pengguna: Implementasi algoritme deteksi baru tidak boleh bergantung pada atau memaksa pengguna untuk memperbarui perangkat pribadi mereka.
- Respons yang gesit: Intelijen ancaman yang sedang berlangsung untuk mengembangkan pertahanan.
Sebagai operator, kita harus menerima tugas untuk merawat pengguna dan sedapat mungkin bertanggung jawab atas keamanan mereka.