4 novembre 2022

La scorsa settimana, in occasione del Forum ENISA sui servizi fiduciari, si è discusso a lungo delle sfide tecniche e dell'importanza di concordare uno standard adeguato. Forum sui servizi fiduciari dell'ENISA a Berlino. Come possiamo portare avanti gli ambiziosi piani per il lancio di portafogli digitali sicuri in tutta l'UE? Andrew Bud, CEO di iProov, ha illustrato la natura in evoluzione dell'ambiente delle minacce e l'importanza di un approccio incentrato sull'utente per costruire un portafoglio digitale che non sia solo accessibile e facile da usare, ma anche sicuro.

Portafoglio digitale UE 

L'Europa e l'economia europea hanno a disposizione un grande premio se noi, come industria dell'identità digitale, insieme ai gruppi di consumatori e ai politici, saremo in grado di collaborare con successo per costruire, diffondere e adottare piattaforme più convenienti per supportare transazioni digitali sicure e affidabili. Un portafoglio digitale ha molti usi potenziali e potrebbe essere un modo per effettuare pagamenti sicuri, per facilitare il processo di sostituzione di documenti ufficiali, come la patente di guida, e per accelerare il viaggio attraverso i controlli di frontiera negli aeroporti e nei porti. Per esempio, McKinsey stima che gli utenti dei servizi governativi potrebbero risparmiare fino a 110 miliardi di ore grazie alla semplificazione dei servizi governativi online in modo sicuro.

L'UE sta guidando il mondo con un ambizioso quadro legislativo per un sistema di portafogli digitali dell'UE. Siamo entusiasti di far parte del NOBID per il finanziamento da parte della Commissione europea di un progetto pilota di portafoglio digitale. La proposta di NOBID è ben sostenuta, si avvale di partner esperti e di un caso d'uso interessante (servizi di pagamento). Tuttavia, il nostro rapporto di ricerca recentemente pubblicato sul portafoglio digitale dell'UE dell'UE evidenzia l'importanza degli ostacoli all'adozione. L'iscrizione su larga scala, l'adozione da parte dell'organizzazione e la prova di un utilizzo continuativo sono essenziali per realizzare i benefici.

In particolare, le dimensioni del premio, con un mercato potenziale di 447 milioni di utenti, attireranno anche gli aggressori criminali. 

La minaccia e il ruolo della biometria facciale

Per essere accettabile, l'iscrizione deve proteggere dall'intera gamma di attacchi di impersonificazione, presentazione e iniezione digitale. attacchi di iniezione digitalecoerente con i tipi di schemi che abbiamo osservato attraverso la nostra esclusiva capacità di capacità iSOC. Le organizzazioni devono essere certe che l'utente sia chi dice di essere e che abbia il diritto di accedere alle informazioni del portafoglio, che l'utente sia una persona reale e che si stia autenticando in tempo reale.

I criminali che compiono gli attacchi sono dotati di buone risorse, sono altamente qualificati e operano in modo strategico quando hanno individuato un obiettivo di grande valore. La nostra esperienza è in linea con i consigli ricevuti da un'agenzia di sicurezza europea che ci ha consigliato la strategia "test & learn" degli aggressori criminali, che attaccano un obiettivo, imparano dall'esperienza e poi fanno tesoro di questa esperienza per adattare la loro tecnica prima di attaccare l'obiettivo successivo. 

La fornitura di sofisticati deepfakes è un'opportunità commerciale interessante per chi possiede capacità di intelligenza artificiale. Europol ha recentemente riportato la crescita dei deepfakes come servizio, con un attore minaccioso che ha offerto 16.000 dollari per un deepfake presumibilmente da utilizzare per scopi illeciti o dannosi. Stiamo assistendo all'evoluzione del crimine come servizio.

Mantenere la fiducia e l'accessibilità degli utenti

Il modo in cui affrontiamo le minacce biometriche è importante se vogliamo mantenere la fiducia degli utenti nei portafogli digitali e la comunità delle politiche informatiche ha un ruolo cruciale da svolgere nel garantire che il nostro approccio non sia solo tecnicamente robusto e agile, ma che segua principi di progettazione incentrati sull'utente. 

È di fondamentale importanza utilizzare l'intelligenza dei metodi di attacco di cui disponiamo e la nostra comprensione degli utenti per garantire che il quadro delle politiche di sicurezza che viene sviluppato, che si tratti della legge sull'intelligenza artificiale, della legge sulla resilienza informatica o della NIS2, sia costruito intorno alle esigenze, alle vulnerabilità e alle capacità degli utenti. Un approccio basato sul presupposto che la formazione degli utenti possa colmare le lacune delle capacità è destinato a fallire.  

Noi di iProov sosteniamo il principio di un approccio alla progettazione di soluzioni incentrato sull'utente, ispirandoci al lavoro svolto in questo campo dalla professoressa Angela Strasse. I servizi di verifica e autenticazione dell'identità devono essere costruiti sulla base di alcuni semplici, ma fondamentali, principi incentrati sull'utente. La conformità alle WCAG 2.1 AA dovrebbe essere un requisito minimo. Nessuno deve essere escluso, sia che si tratti di disabilità, sia che si tratti di persone che non possiedono uno smartphone o un tablet di ultima generazione. Non si può pretendere che gli utenti debbano affrontare l'inconveniente di una nuova iscrizione ogni volta che cambiano o sostituiscono i loro dispositivi.

Dobbiamo riconoscere che i dispositivi sono un punto debole nella catena delle vulnerabilità ed evitare di fare affidamento su di essi per la sicurezza. Molti degli smartphone di uso quotidiano non sono più supportati e i loro utenti non installano necessariamente le ultime patch di sicurezza disponibili.  

Quali sono gli obiettivi della politica?

  • Inclusione per scelta dell'utente: Nessuna imposizione o richiesta di hardware o sensori speciali. Possibilità di autenticare in modo sicuro su qualsiasi dispositivo dotato di fotocamera rivolta verso l'utente.
  • Inclusione attraverso l'accessibilità: Agnosticismo dei dispositivi e delle piattaforme per includere tutti gli utenti;robusto monitoraggio delle prestazioni e dei pregiudizi; erogazione basata su cloud.
  • Percorsi di scelta robusti: L'opzione di iscrizione non biometrica deve essere altrettanto sicura... anche se la convenienza viene sacrificata.
  • Riduzione del rischio dei dispositivi: Nessuna dipendenza dai dispositivi degli utenti per la sicurezza. Mitigare il rischio di dispositivi sintetici o compromessi.
  • Recupero dell'identità: Agli utenti non dovrebbe essere richiesto di iscriversi nuovamente quando i dispositivi vengono cambiati o sostituiti.
  • Integrità della verifica: Utilizzare un'elaborazione inaccessibile per impedire il reverse engineering da parte degli aggressori. Mitigare la minaccia di attacchi avversari.
  • Sollevare gli utenti dall'onere della responsabilità: L'implementazione di nuovi algoritmi di rilevamento non deve dipendere o costringere l'utente ad aggiornare il proprio dispositivo personale.
  • Risposta agile: Informazioni continue sulle minacce per evolvere le difese.

Come operatori, dobbiamo accettare il dovere di prenderci cura degli utenti e assumerci la responsabilità della loro sicurezza, laddove possibile.

Politica di sicurezza informatica dell'ENISA - Verifica biometrica del volto