พฤศจิกายน 4, 2022

การอภิปรายมากมายเกี่ยวกับความท้าทายทางเทคนิคและความสําคัญของการตกลงมาตรฐานที่เหมาะสมได้รับการคุ้มครองเมื่อสัปดาห์ที่แล้วที่ ENISA Trust Services Forum ในกรุงเบอร์ลิน เราจะก้าวไปข้างหน้าด้วยแผนการอันทะเยอทะยานในการเปิดตัวกระเป๋าเงินดิจิทัลที่ปลอดภัยทั่วทั้งสหภาพยุโรปได้อย่างไร Andrew Bud ซีอีโอของ iProov นําเสนอเกี่ยวกับลักษณะที่เปลี่ยนแปลงไปของสภาพแวดล้อมภัยคุกคามและความสําคัญของแนวทางที่เน้นผู้ใช้เป็นศูนย์กลางในการสร้างกระเป๋าเงินดิจิทัลซึ่งไม่เพียง แต่เข้าถึงได้และใช้งานง่าย แต่ยังปลอดภัย

กระเป๋าเงินดิจิทัลของสหภาพยุโรป 

มีรางวัลใหญ่สําหรับยุโรปและเศรษฐกิจยุโรปหากเราในฐานะอุตสาหกรรม ตัวตน ดิจิทัล ร่วมกับกลุ่มผู้บริโภคและผู้กําหนดนโยบายสามารถทํางานร่วมกันได้สําเร็จเพื่อสร้างเปิดตัวและนําแพลตฟอร์มที่สะดวกยิ่งขึ้นมาใช้เพื่อสนับสนุนธุรกรรมดิจิทัลที่ปลอดภัยและเชื่อถือได้ กระเป๋าเงินดิจิทัลมีประโยชน์มากมายและอาจเป็นวิธีการชําระเงินที่ปลอดภัย เพื่อลดขั้นตอนการเปลี่ยนเอกสารราชการ เช่น ใบขับขี่ และเพิ่มความเร็วในการเดินทางผ่านด่านตรวจชายแดนในสนามบินและท่าเรือ ตัวอย่างเช่น McKinsey ประมาณการว่าผู้ใช้บริการภาครัฐสามารถประหยัดเวลาได้มากถึง 110 พันล้านชั่วโมงโดยการปรับปรุงบริการของรัฐทางออนไลน์อย่างปลอดภัย

สหภาพยุโรปเป็นผู้นําโลกด้วยกรอบกฎหมายที่ทะเยอทะยานสําหรับระบบกระเป๋าเงินดิจิทัลของสหภาพยุโรป เรารู้สึกตื่นเต้นที่ได้เป็นส่วนหนึ่งของข้อเสนอ NOBID สําหรับการระดมทุนของคณะกรรมาธิการยุโรปสําหรับโครงการกระเป๋าเงินดิจิทัลนําร่อง ข้อเสนอ NOBID ได้รับการสนับสนุนอย่างดีอย่างมืออาชีพกับพันธมิตรที่มีประสบการณ์และกรณีการใช้งานที่น่าสนใจ (บริการชําระเงิน) อย่างไรก็ตาม รายงานการวิจัยที่เผยแพร่เมื่อเร็วๆ นี้ของเราเกี่ยวกับโครงการริเริ่ม EU Digital Wallet เน้นย้ําถึงความสําคัญของอุปสรรคที่ต้องทํา การลงทะเบียนขนาดใหญ่ การรับองค์กร และหลักฐานการใช้งานอย่างต่อเนื่องเป็นสิ่งสําคัญหากต้องตระหนักถึงประโยชน์

ที่สําคัญขนาดของรางวัลที่มีตลาดที่มีศักยภาพของผู้ใช้ 447 ล้านคนจะดึงดูดผู้โจมตีทางอาญาเช่นกัน 

ภัยคุกคามและบทบาทของไบโอเมตริกซ์ใบหน้า

เพื่อให้เป็นที่ยอมรับการลงทะเบียนจะต้องป้องกันการแอบอ้างการนําเสนอและการโจมตีแบบฉีดดิจิทัลอย่างเต็มรูปแบบซึ่งสอดคล้องกับรูปแบบต่างๆที่เราสังเกตเห็นผ่านความสามารถ iSOC ที่เป็นเอกลักษณ์ของเรา องค์กรต้องแน่ใจว่าผู้ใช้คือผู้ที่พวกเขาอ้างว่าเป็นและมีสิทธิ์เข้าถึงข้อมูลในกระเป๋าเงินว่าผู้ใช้เป็นบุคคลจริงและผู้ใช้กําลังตรวจสอบตัวเองแบบเรียลไทม์  

อาชญากรที่อยู่เบื้องหลังการโจมตีมีทรัพยากรที่ดี มีทักษะสูง และดําเนินการอย่างมีกลยุทธ์เมื่อพวกเขาระบุเป้าหมายที่มีมูลค่าสูง ประสบการณ์ของเราเองสอดคล้องกับคําแนะนําที่เราได้รับจากหน่วยงานความมั่นคงในยุโรปที่ให้คําแนะนําเกี่ยวกับการทดสอบและเรียนรู้กลยุทธ์ของผู้โจมตีอาชญากรที่จะโจมตีเป้าหมายเรียนรู้จากประสบการณ์จากนั้นนําการเรียนรู้นั้นไปปรับเทคนิคของพวกเขาก่อนที่จะโจมตีเป้าหมายต่อไป 

การจัดหา Deepfake ที่ซับซ้อนยังเป็นโอกาสทางธุรกิจที่น่าสนใจสําหรับผู้ที่มีความสามารถด้าน AI เมื่อเร็ว ๆ นี้ Europol ได้รายงานการเติบโตของ Deepfake ในฐานะบริการ โดยมีผู้คุกคามรายหนึ่งเสนอเงิน 16,000 ดอลลาร์สําหรับ Deepfake ซึ่งสันนิษฐานว่าใช้เพื่อวัตถุประสงค์ที่ผิดกฎหมายหรือเป็นอันตราย เรากําลังเห็นวิวัฒนาการของ Crime-As-A-Service ที่นี่

การรักษาความไว้วางใจและการเข้าถึงของผู้ใช้

วิธีที่เราจัดการกับภัยคุกคามไบโอเมตริกซ์มีความสําคัญหากเราต้องรักษาความไว้วางใจของผู้ใช้ในกระเป๋าเงินดิจิทัล และชุมชนนโยบายไซเบอร์มีบทบาทสําคัญในการทําให้แน่ใจว่าแนวทางของเราไม่เพียงแต่แข็งแกร่งทางเทคนิคและคล่องตัว แต่ยังเป็นไปตามหลักการออกแบบที่เน้นผู้ใช้เป็นศูนย์กลาง 

เป็นสิ่งสําคัญอย่างยิ่งที่เราใช้ความชาญฉลาดของวิธีการโจมตีที่เรามีและความเข้าใจของเราเกี่ยวกับผู้ใช้เราต้องตรวจสอบให้แน่ใจว่ากรอบนโยบายความปลอดภัยที่กําลังได้รับการพัฒนาไม่ว่าจะเป็นพระราชบัญญัติ AI, พระราชบัญญัติความยืดหยุ่นทางไซเบอร์หรือ NIS2 ถูกสร้างขึ้นตามความต้องการช่องโหว่และความสามารถของผู้ใช้ แนวทางที่สร้างขึ้นบนสมมติฐานที่ว่าการศึกษาผู้ใช้จะจัดการกับช่องว่างความสามารถจะล้มเหลว  

ที่ iProov เรากําลังสนับสนุนหลักการของแนวทางที่เน้นผู้ใช้เป็นศูนย์กลางในการออกแบบโซลูชัน ซึ่งได้รับแรงบันดาลใจจากงานในด้านนี้โดยศาสตราจารย์ Angela Strasse บริการตรวจสอบและยืนยันตัวตนต้องสร้างขึ้นจากหลักการง่ายๆ แต่สําคัญและเน้นผู้ใช้เป็นศูนย์กลาง  การปฏิบัติตาม WCAG 2.1 AA ควรเป็นข้อกําหนดขั้นต่ํา ไม่มีใครควรถูกกีดกัน - ไม่ว่าจะขึ้นอยู่กับความพิการหรือบนพื้นฐานที่พวกเขาไม่มีสมาร์ทโฟนหรือแท็บเล็ตรุ่นล่าสุด ผู้ใช้ไม่สามารถคาดหวังให้เผชิญกับความไม่สะดวกในการลงทะเบียนใหม่ทุกครั้งที่เปลี่ยนหรือเปลี่ยนอุปกรณ์  

เราจําเป็นต้องตระหนักว่า อุปกรณ์เป็นจุดอ่อนในห่วงโซ่ช่องโหว่ และหลีกเลี่ยงการพึ่งพาอุปกรณ์เพื่อความปลอดภัย สมาร์ทโฟนจํานวนมากที่ใช้งานประจําวันไม่ได้รับการสนับสนุนอีกต่อไปและผู้ใช้ไม่จําเป็นต้องติดตั้งแพตช์ความปลอดภัยล่าสุดที่มีอยู่  

นโยบายควรมุ่งหวังอะไรเพื่อให้บรรลุ?

  • การรวมผ่านตัวเลือกของผู้ใช้: ไม่มีการกําหนดหรือข้อกําหนดสําหรับฮาร์ดแวร์หรือเซ็นเซอร์อุปกรณ์พิเศษ ความสามารถในการตรวจสอบสิทธิ์อย่างปลอดภัยบนอุปกรณ์ใด ๆ ด้วยกล้องที่ผู้ใช้หันเข้าหา
  • การรวมผ่านการเข้าถึง: Device & agnosticism แพลตฟอร์มเพื่อรวมผู้ใช้ทั้งหมด rการตรวจสอบประสิทธิภาพและอคติที่แข็งแกร่ง การจัดส่งบนคลาวด์
  • เส้นทางทางเลือกที่แข็งแกร่ง: ตัวเลือกการลงทะเบียนที่ไม่ใช่ไบโอเมตริกซ์ต้องมีความปลอดภัยเท่าเทียมกัน... แม้ว่าความสะดวกสบายจะเสียสละ
  • การลดความเสี่ยงของอุปกรณ์: ไม่ต้องพึ่งพาอุปกรณ์ของผู้ใช้เพื่อความปลอดภัย ลดความเสี่ยงจากอุปกรณ์สังเคราะห์หรืออุปกรณ์ที่ถูกบุกรุก
  • การกู้คืนข้อมูลประจําตัว: ผู้ใช้ไม่จําเป็นต้องลงทะเบียนใหม่เมื่อมีการเปลี่ยนแปลงหรือเปลี่ยนอุปกรณ์
  • ความสมบูรณ์ของการยืนยัน: ใช้การประมวลผลที่ไม่สามารถเข้าถึงได้เพื่อป้องกันวิศวกรรมย้อนกลับโดยผู้โจมตี บรรเทาภัยคุกคามจากการโจมตีของฝ่ายตรงข้าม
  • ลดภาระความรับผิดชอบของผู้ใช้: การใช้อัลกอริธึมการตรวจจับใหม่ต้องไม่พึ่งพาหรือบังคับให้ผู้ใช้อัปเดตอุปกรณ์ส่วนตัวของตน
  • การตอบสนองแบบ Agile: ข่าวกรองภัยคุกคามอย่างต่อเนื่องเพื่อพัฒนาการป้องกัน

ในฐานะผู้ปฏิบัติงานเราต้องยอมรับหน้าที่ในการดูแลผู้ใช้และรับผิดชอบต่อความปลอดภัยของพวกเขาบนบ่าของเราทุกที่ที่ทําได้

นโยบายความปลอดภัยทางไซเบอร์ของ ENISA - การตรวจสอบใบหน้าด้วยไบโอเมตริกซ์