Τα τραπεζικά ιδρύματα αντιμετωπίζουν μερικές από τις πιο αυστηρές και πολύπλοκες κανονιστικές απαιτήσεις, συμπεριλαμβανομένων των απαιτήσεων συμμόρφωσης με τις χρηματοπιστωτικές υπηρεσίες γύρω από τον έλεγχο ταυτότητας. Τόσο πολύ που η βιομηχανία χρηματοπιστωτικών υπηρεσιών θεωρείται ευρέως το πρότυπο από την άποψη της συμμόρφωσης. Για να συμμορφωθούν με τους ισχύοντες κανονισμούς και να αποτρέψουν επιθέσεις στον κυβερνοχώρο, τα χρηματοπιστωτικά ιδρύματα υιοθέτησαν πρώιμα λύσεις ελέγχου ταυτότητας δύο παραγόντων (2FA).

Και όμως, οι επιθέσεις στον κυβερνοχώρο συνεχίζουν να αυξάνονται – έως και 80% το 2020 – με τους φορείς απειλών να εισέρχονται σε αξιόπιστες ανταλλαγές δεδομένων.

Πώς είναι αυτό δυνατόν? Επειδή ο έλεγχος ταυτότητας μέσω κινητού εξακολουθεί να παραμένει ευάλωτος σε εξαγορές λογαριασμών, ηλεκτρονικό ψάρεμα (phishing), κακόβουλο λογισμικό, εναλλαγή SIM και επιθέσεις man-in-the-middle. Όπως αποδείχθηκε σε ένα πρόσφατο άρθρο του VICE , το μόνο που χρειάστηκε ήταν 16 $ για έναν white-hat χάκερ να ανακατευθύνει ένα μήνυμα κειμένου και να εισχωρήσει σε έναν διαδικτυακό λογαριασμό.

– Είναι τα σημερινά πρότυπα ελέγχου ταυτότητας στα τραπεζικά ιδρύματα σύμφωνα με τις υπάρχουσες απαιτήσεις συμμόρφωσης χρηματοοικονομικών υπηρεσιών; Ναί.

– Είναι αποτελεσματικά; Όχι.

Οι απαιτήσεις και οι κανονισμοί καλύπτουν την ανάγκη για ισχυρό έλεγχο ταυτότητας με υποστήριξη υλικού, αλλά η αναμονή για ρύθμιση είναι δαπανηρή-για συμμόρφωση, για κινδύνους, ακόμη και για ανάπτυξη.

Η εμπιστοσύνη και ο έλεγχος ταυτότητας χρήστη, είναι ο ακρογωνιαίος λίθος της επιτυχίας στις χρηματοπιστωτικές υπηρεσίες. Με την τρέχουσα διάβρωση της εμπιστοσύνης των καταναλωτών και τον αυξανόμενο φόβο απάτης, τα τραπεζικά ιδρύματα αναγκάζονται να στραφούν σε νέους τρόπους για να δείξουν εμπιστοσύνη. Πολύ πριν φτάσουν οι κανονισμοί, ο σύγχρονος ισχυρός έλεγχος ταυτότητας μπορεί να γίνει ανταγωνιστικός διαφοροποιητής.

Με σκάνδαλα όπως η Enron και η Worldcom στις αρχές της δεκαετίας του 2000 που πυροδότησαν τη δημιουργία του νόμου Sarbanes-Oxley, η παγκόσμια πανδημία-και η άνοδος της σε εξ αποστάσεως εργασία και επιθέσεις στον κυβερνοχώρο-είναι η τελευταία κρίση που προκάλεσε αλλαγές στη νομοθεσία. Και μάλιστα, μόλις τον περασμένο μήνα, το Εγχειρίδιο FFIEC ενημερώθηκε για πρώτη φορά μετά από 10 χρόνια για να αντικατοπτρίζει τις νέες οδηγίες ελέγχου ταυτότητας.

Ένα παράδειγμα αυτού είναι το PCI DSS. Το Πρότυπο Ασφάλειας Δεδομένων της Βιομηχανίας Πληρωμών Καρτών (PCI DSS) πήρε επίσημα θέση σχετικά με την απαίτηση MFA στην ενημέρωση του 2016, το PCI DSS 3.2 και τις επακόλουθες αναθεωρήσεις. Στο συμπλήρωμα πληροφοριών που σχετίζεται με το MFA , το οποίο έχει εντολή για την απαίτηση 8.2 και 8.3, το Συμβούλιο Προτύπων Ασφαλείας PCI καθορίζει τις ελάχιστες απαιτήσεις για έλεγχο ταυτότητας και κρυπτογραφικά διακριτικά (με βάση το NIST SP 800-164 και το NIST SP 800-157).

Με το PCI DSS 4.0 στο τελικό RFC το 2021, αναμένεται ότι οι αναθεωρημένες απαιτήσεις συμμόρφωσης των χρηματοπιστωτικών υπηρεσιών θα μοιάζουν περισσότερο με τις Οδηγίες ISTηφιακής Ταυτότητας NIST 800-63 , οι οποίες διαχωρίζουν την εξασφάλιση ταυτότητας από τη διασφάλιση ταυτότητας, καταργεί τα SMS ως εφάπαξ κωδικό πρόσβασης ( OTP) ελέγχου ταυτότητας και παρέχει ένα πλαίσιο για τον ποσοτικό προσδιορισμό της ασφάλειας ελέγχου ταυτότητας. Σύμφωνα με το NIST 800-63, οι τεχνολογίες που βασίζονται σε FIDO2 & FIDO U2F απονέμονται το υψηλότερο επίπεδο-Επιβεβαίωση ταυτότητας επιπέδου 3 (AAL3).

Η στροφή προς ισχυρό έλεγχο ταυτότητας συμβαίνει σε όλους τους τομείς στο ρυθμιστικό τοπίο. Στην ΕΕ, το προτεινόμενο πλαίσιο για την πιστοποίηση ψηφιακής ταυτότητας eIDAS (Ηλεκτρονική ταυτοποίηση, ταυτότητα και υπηρεσίες εμπιστοσύνης) είναι μια MFA που υποστηρίζεται από υλικό. Το σχέδιο κανονισμού για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) είναι επίσης πιθανό να αναφέρεται στο NIST. Και υπάρχει η επίθεση της εφοδιαστικής αλυσίδας στο SolarWinds που κατέληξε σε μια πρόσφατη εκτελεστική εντολή για τη βελτίωση της κυβερνοασφάλειας του έθνους . Με κάθε νέο κανονισμό, εισάγεται μεγαλύτερη σαφήνεια και προδιαγραφές σχετικά με τον έλεγχο ταυτότητας.

Θα έρθουν περισσότερες αλλαγές στα τραπεζικά ιδρύματα; Η απάντηση είναι, εμφατικά, ΝΑΙ. Με αυτόν τον ρυθμό, χωρίς προληπτική εστίαση στην ισχυρή πιστοποίηση ταυτότητας, οι επιχειρήσεις είναι πιθανό να μείνουν παίζοντας.

Το YubiKey είναι ένα κλειδί ασφαλείας υλικού κατασκευασμένο από την Yubico, το οποίο προσφέρει εύχρηστο έλεγχο ταυτότητας δύο παραγόντων, πολλαπλών παραγόντων και χωρίς κωδικό πρόσβασης, βοηθώντας χρηματοπιστωτικά ιδρύματα με απαιτήσεις συμμόρφωσης χρηματοοικονομικών υπηρεσιών (MFA) σε διάφορους κανονισμούς, πιστοποιήσεις και πλαίσια. Ένας πιστοποιητής συμμόρφωσης FIDO2 / WebAuthn / FIDO U2F, το YubiKey προσφέρει την ισχυρότερη άμυνα έναντι εξαγοράς λογαριασμών, ηλεκτρονικού ψαρέματος, κακόβουλου λογισμικού, εναλλαγής SIM και επιθέσεων στο μέσο.

Με το YubiKey, τα χρηματοπιστωτικά ιδρύματα μπορούν:

– να σταματήσουν τις υποκλοπές λογαριασμών και να αποτρέψουν τις επιθέσεις στο μέσο πιστοποίησης με ανώτερη κρυπτογραφική ασφάλεια υλικού

– να παρέχουν απαράμιλλη απλότητα στους χρήστες με 4 φορές ταχύτερες συνδέσεις που εξασφαλίζουν απόδειξη της φυσικής παρουσίας του χρήστη και κατοχής του κλειδιού

– να συμμορφωθούν με τους υπάρχοντες και αναδυόμενους κανονισμούς όπως το FFIEC, SOX, PSD2, PCI, FIPS και GDPR

Προσφέρετε εμπιστοσύνη στους χρήστες και κερδίστε την ηρεμία σας με μια αξιόπιστη λύση από έναν κορυφαίο κλάδο που πρωτοπορεί σε παγκόσμια πρότυπα ελέγχου ταυτότητας

Το YubiKey μπορεί να χρησιμοποιηθεί για τη διακοπή επιθέσεων ηλεκτρονικού “ψαρέματος” και την υποκλοπή λογαριασμών για διάφορες περιπτώσεις εσωτερικής χρήσης και τελικών πελατών, όπως προνομιούχοι χρήστες, εργαζόμενοι στο τηλεφωνικό κέντρο, υβριδικοί και απομακρυσμένοι εργαζόμενοι, τραπεζικές συναλλαγές μέσω διαδικτύου/κινητής τηλεφωνίας και για συναλλαγές υψηλής αξίας υψηλού κινδύνου. Για τον έλεγχο ταυτότητας, οι χρήστες απλώς αγγίζουν/αγγίζουν το κλειδί ασφαλείας τους σε κάθε είδους συσκευή, συμπεριλαμβανομένων κινητών τηλεφώνων και tablet.

Αντιμέτωποι με αυξανόμενες κυβερνοεπιθέσεις, ένα σταθερό υπόβαθρο ελέγχου ταυτότητας παρέχει πολύ περισσότερα από τη συμμόρφωση με τις κανονιστικές ρυθμίσεις των χρηματοπιστωτικών υπηρεσιών – παρέχει ανταγωνιστικό πλεονέκτημα.

Πηγή: Yubico / Jim Sandford