Tháng Mười Một 4, 2022
Rất nhiều cuộc thảo luận Giới thiệu các thách thức kỹ thuật và tầm quan trọng của việc đồng ý Giới thiệu tiêu chuẩn phù hợp đã được đề cập vào tuần trước tại Diễn đàn Dịch vụ Ủy thác ENISA ở Berlin. Làm thế nào chúng ta có thể tiến lên phía trước với các kế hoạch đầy tham vọng để ra mắt ví kỹ thuật số an toàn trên toàn EU? Giám đốc điều hành của iProov, Andrew Bud, đã trình bày Giới thiệu bản chất phát triển của môi trường đe dọa và tầm quan trọng của cách tiếp cận lấy người dùng làm trung tâm để xây dựng một ví kỹ thuật số không chỉ có thể truy cập và dễ sử dụng mà còn an toàn.
Ví kỹ thuật số EU
Có một Giải thưởng lớn dành cho châu Âu và nền kinh tế châu Âu nếu chúng ta, với tư cách là ngành Danh tính Kỹ thuật số, cùng với các nhóm người tiêu dùng và các nhà hoạch định chính sách, có thể hợp tác thành công để xây dựng, triển khai và áp dụng các nền tảng thuận tiện hơn để hỗ trợ các giao dịch kỹ thuật số an toàn và đáng tin cậy. Ví kỹ thuật số có nhiều ứng dụng tiềm năng và có thể là một cách để thực hiện thanh toán an toàn, để giảm bớt quá trình thay thế các tài liệu chính thức, chẳng hạn như giấy phép lái xe và tăng tốc hành trình thông qua kiểm tra Biên giới tại các sân bay và cảng. Ví dụ, McKinsey ước tính rằng người dùng các dịch vụ của Chính phủ có thể tiết kiệm tới 110 tỷ giờ bằng cách hợp lý hóa các dịch vụ của Chính phủ trực tuyến một cách an toàn.
EU đang dẫn đầu thế giới với một khuôn khổ pháp lý đầy tham vọng cho phép một hệ thống Ví kỹ thuật số của EU. Chúng tôi rất vui mừng được trở thành một phần của đề xuất NOBID Giới thiệu tài trợ của Ủy ban Châu Âu cho chương trình ví kỹ thuật số thí điểm. Đề xuất NOBID được hỗ trợ tốt, chuyên nghiệp với các đối tác giàu kinh nghiệm và trường hợp sử dụng hấp dẫn (dịch vụ thanh toán). Tuy nhiên, Báo cáo nghiên cứu được công bố gần đây của chúng tôi Giới thiệu sáng kiến Ví kỹ thuật số của EU nhấn mạnh tầm quan trọng của các rào cản cần thực hiện. Ghi danh quy mô lớn, tiếp nhận tổ chức và bằng chứng Giới thiệu việc sử dụng liên tục là điều cần thiết nếu muốn nhận ra lợi ích.
Quan trọng, quy mô của Giải thưởng, với thị trường tiềm năng 447 triệu người dùng, cũng sẽ thu hút những kẻ tấn công tội phạm.
Mối đe dọa và vai trò của sinh trắc học khuôn mặt
Để có thể chấp nhận được, việc đăng ký phải bảo vệ chống lại toàn bộ các cuộc tấn công mạo danh, trình bày và tiêm kỹ thuật số, phù hợp với các loại mẫu mà chúng tôi đã quan sát được thông qua khả năng iSOC độc đáo của chúng tôi. Các tổ chức phải chắc chắn rằng người dùng là người mà họ tuyên bố là và họ có quyền truy cập thông tin trên ví, rằng người dùng là người thật và người dùng đang tự Xác thực trong thời gian thực.
Tội phạm đằng sau các cuộc tấn công có nguồn lực tốt, có tay nghề cao và hoạt động chiến lược khi chúng đã xác định được mục tiêu được đánh giá cao. Kinh nghiệm của chúng tôi phù hợp với lời khuyên mà chúng tôi nhận được từ một cơ quan an ninh châu Âu đã tư vấn Giới thiệu chiến lược thử nghiệm và học hỏi của những kẻ tấn công tội phạm, những kẻ sẽ tấn công mục tiêu, học hỏi kinh nghiệm và sau đó học hỏi để điều chỉnh kỹ thuật của họ trước khi tấn công mục tiêu tiếp theo của họ.
Cung cấp deepfake tinh vi cũng là một cơ hội kinh doanh hấp dẫn cho những người có khả năng AI. Europol gần đây đã Báo cáo sự phát triển của deepfake như một dịch vụ, với một tác nhân đe dọa cung cấp 16.000 đô la cho một deepfake có lẽ được sử dụng cho các mục đích bất hợp pháp hoặc có hại. Chúng ta đang thấy ở đây sự phát triển của Crime-As-A-Service.
Duy trì niềm tin và khả năng truy cập của người dùng
Cách chúng tôi giải quyết các mối đe dọa sinh trắc học rất quan trọng nếu chúng tôi muốn duy trì niềm tin của người dùng vào ví kỹ thuật số và cộng đồng chính sách mạng có vai trò quan trọng trong việc đảm bảo rằng cách tiếp cận của chúng tôi không chỉ mạnh mẽ và nhanh nhẹn Giới thiệu mặt kỹ thuật mà còn tuân theo các nguyên tắc thiết kế lấy người dùng làm trung tâm.
Điều cực kỳ quan trọng là chúng tôi sử dụng trí thông minh của các phương pháp tấn công mà chúng tôi có và sự hiểu biết của chúng tôi Giới thiệu người dùng, chúng tôi phải đảm bảo rằng khung chính sách bảo mật đang được phát triển, cho dù đó là Đạo luật AI, Đạo luật phục hồi mạng hoặc NIS2 được xây dựng xung quanh nhu cầu, lỗ hổng và khả năng của người dùng. Một cách tiếp cận được xây dựng dựa trên giả định rằng giáo dục người dùng sẽ giải quyết các lỗ hổng Giới thiệu khả năng sẽ thất bại.
Tại iProov, chúng tôi đang đấu tranh cho nguyên tắc tiếp cận lấy người dùng làm trung tâm để thiết kế Giải pháp, lấy cảm hứng từ công việc trong lĩnh vực này của Giáo sư Angela Strasse. Các dịch vụ xác minh và Xác thực ID phải được xây dựng dựa trên một số nguyên tắc đơn giản nhưng quan trọng, lấy người dùng làm trung tâm. Tuân thủ WCAG 2.1 AA phải là yêu cầu tối thiểu. Không ai nên bị loại trừ - cho dù đó là dựa trên khuyết tật hay trên cơ sở họ không có điện thoại thông minh hoặc máy tính bảng mới nhất. Người dùng không thể phải đối mặt với sự bất tiện của việc đăng ký lại bất cứ khi nào họ thay đổi hoặc thay thế thiết bị của mình.
Chúng ta cần nhận ra rằng các thiết bị là một điểm yếu trong chuỗi lỗ hổng và tránh dựa vào chúng để bảo mật. Nhiều điện thoại thông minh sử dụng hàng ngày không còn được hỗ trợ và người dùng của họ không nhất thiết phải cài đặt các bản vá bảo mật mới nhất có sẵn.
Chính sách cần hướng tới điều gì?
- Bao gồm thông qua lựa chọn của người dùng: Không áp đặt hoặc yêu cầu đối với phần cứng hoặc cảm biến thiết bị đặc biệt. Khả năng Xác thực an toàn trên mọi thiết bị có camera hướng tới người dùng.
- Bao gồm thông qua khả năng tiếp cận: Device &; nền tảng bất khả tri để bao gồm tất cả người dùng; rhiệu suất mạnh mẽ và giám sát thiên vị; Phân phối dựa trên đám mây.
- Lộ trình lựa chọn mạnh mẽ: Tùy chọn đăng ký phi sinh trắc học phải được bảo mật như nhau... ngay cả khi sự tiện lợi bị hy sinh.
- Giảm thiểu rủi ro thiết bị: Không phụ thuộc vào thiết bị của người dùng để bảo mật. Giảm thiểu rủi ro từ các thiết bị tổng hợp hoặc bị xâm phạm.
- Khôi phục danh tính: Người dùng không cần phải đăng ký lại khi thiết bị bị thay đổi hoặc thay thế.
- Tính toàn vẹn của xác minh: Sử dụng xử lý không thể truy cập để ngăn chặn kỹ thuật đảo ngược của kẻ tấn công. Giảm thiểu mối đe dọa của các cuộc tấn công đối thủ.
- Giảm bớt gánh nặng trách nhiệm cho người dùng: Việc triển khai các thuật toán phát hiện mới không được dựa vào hoặc buộc người dùng cập nhật thiết bị cá nhân của họ.
- Phản ứng nhanh: Thông tin Giới thiệu mối đe dọa đang diễn ra để phát triển hệ thống phòng thủ.
Là nhà khai thác, chúng tôi phải chấp nhận nghĩa vụ chăm sóc người dùng và chịu trách nhiệm Giới thiệu bảo mật của họ trên vai chúng tôi bất cứ khi nào có thể.