digitális bizalom

Beküldve:

Válaszúton van az identitáskezelés, mit tegyünk az jelszólopások ellen?

digitális identitáskezelés

A biztonsági előírásaikra büszke las vegasi kaszinók felhasználóinak adatait lopták el egyszerű trükkökkel hackerek, ami rávilágít az identitáskezelés digitális problémáira.

Hatalmas kibertámadások érték az MGM Resorts és Caesars kaszinóóriásokat, amelyek során a hackerek a szobakulcsoktól a játékgépekig minden online belépési adatot megszereztek. Sok közelmúltbeli incidenshez hasonlóan ez is figyelmeztetés, hogy javítani kell a digitális identitással kapcsolatos biztonságot, mert az átfogó támadás innen, a hamis profilokról indult.

Ennek a adatbiztonsági jogsértésnek az eredettörténete hasonló az utóbbi időben sokszor látottakhoz: a hackerek felhívták a kaszinókat az ügyfelek nevében, és a jelszavuk megújítását kérték, a válasz emailt azonban eltérítették, és így magukat valódi ügyfeleknek kiadva százszámra tudtak bejelentkezni a kaszinók rendszerébe.

Ugyanez a csoport állítólag számos más szektorban is végrehajtott hasonló támadásokat, beleértve a MGM riválisát, azCaesars Entertainment kaszinót, amely állítólag 15 millió dollárt fizetett azért, hogy napokkal az MGM támadás előtt visszaszerezze adatait.

Meghökkentő a tény, hogy a kaszinócégeket – amelyeknél a biztonságba fektetett befektetések központi szerepet játszanak – ilyen merészen feltörhettek. Sok hálózatban egy alapvető vakfoltot fedtek fel: kaszinócégek sem rendelkeznek hatékony eszközökkel annak bizonyítására, hogy a rendszerüket használó emberek biztosan azok-e, akiknek kiadják magukat.

Pedig az arcfelismerő technológiának köszönhetően egy ismert kártyacsalót gyorsan kiszúrnak és kikísérnek a kaszinóból. A digitális hálózat védelmét illetően azonban sok szerencsejáték-cég továbbra is a jelszavakra támaszkodik, amelyek az identitás- és hozzáférés-kezelés (IAM) gyenge láncszemének bizonyultak.

Az identitáskezelés sebezhető pontjai nyilvánosságra kerültek

Az MGM-támadás rávilágít arra, hogy az identitáskezelő rendszerek mennyire sebezhetőek a hackerekkel szemben, amikor a személyazonosság-ellenőrzés helyett a személyazonosság-hitelesítésre összpontosítanak. A megfelelő mennyiségű szociális tervezéssel a hacker manipulálni tudja a rendszert. A szervezeteknek a kiváltó okoknál kell küzdeniük ez ellen, megakadályozva, hogy ezek a hackerek bejelentkezzenek, mert ha ekkor nem tudják megállítani a számítógépes bûnözõt, mielõtt hozzáférne a hálózathoz, akkor eleve veszítettek.

Hagyományosan az identitás-hitelesítés a többtényezős hitelesítésre (MFA) támaszkodott, ami gyakran egy push értesítést vagy egy egyszer használatos kódot jelentett, amelyet a felhasználó telefonjára küldtek. Ennek ellenére még a többtényezős hitelesítés is sebezhetőnek bizonyult.

Néhány alapvető információ birtokában a hackerek felhívhatják a mobilszolgáltatót, és eljátszhatják a dühös ügyfelet, aki új telefont próbál aktiválni; rövid idő elteltével az áldozat telefonjában lévő összes információt átmásolhatják a sajátjukra, és már nyert ügyük is van. A közelmúltban számos kriptovaluta platform elleni támadást egy ilyen „SIM-feltörésre” vezettek vissza. A tolvajok állítólag becsapták a T-Mobile-t, hogy visszaállítsák a kriptoplatformok csődeljárását irányító tanácsadó cég egyik alkalmazottjának telefonját.

A rosszfiúk ma már mindenféle technológiai eszközzel fel vannak fegyverkezve, a Mesterséges Intelligenciától a személyiség hamisításokig, amelyek egy kelet-európai hackert egyetlen feltört okostelefonnal egy New York-i könyvelőnek tudnak kiadni. Eközben a vállalkozások megfizetik az árát, amiért nem használnak könnyen elérhető biztonsági technológikat az identitáskezelés biztonságuk korszerűsítésére.

digitális identitáskezelés

A biometrikus adatokon túl: a valódi ellenőrzés szükségessége

A jelszavak feltalálása óta eltelt 60 év alatt a hozzáférés-kezelés a lepecsételt cetlik biztonságától számos hitelesítési folyamattá fejlődött, mert a hackerek célja az online világban kezdettől a hitelesítő adatok ellopása és a velük való visszaélés. A push értesítések elterjedt eszközzé váltak, de túlzottan bízunk bennük.

Az olyan kiberbiztonságot szolgáló funkciók, mint az Apple Touch ID és a Face ID, népszerűsítették a biometrikus markerek használatát a hitelesítéshez. Amint azonban a SIM-kártya feltörések kapcsán is látható, minden adatuk elopásával a mobiltelefonok a hackerek hatékony eszközei is lehetnek, nem csak a digitális védelmi módszerek jó lehetőségei.

Az identitáskezelésben el kell felejtenünk a jelszót?

A hitelesítési kulcsok, amelyek egy fizikai tokenre támaszkodnak a titkosított ellenőrző kód létrehozásához, például egy papíron szereplő kód, amit az ügyfél kap meg, javítják az MFA-t olyan hitelesítési szabványokkal, mint például a Fast Identity Online (FIDO). A Google még egy lépéssel tovább ment, és olyan kulcsot hozott létre, amely ellenáll a kvantumdekódolásnak, hogy megvédje magát a kvantumszámítógépekkel felfegyverzett hackerekkel szemben.

Ez egy szép próbálkozás, de ezeknek a hitelesítési módszereknek a gyökerében még mindig vannak jelszavak. A felhasználó személyazonosságát egy eszközhöz – általában egy mobiltelefonhoz – kötik a tényleges, igazolt személyazonosságuk helyett, amelyet biometrikus adatokkal, államilag kibocsátott személyi igazolvánnyal vagy más megbízható dokumentumokkal igazolhatnának. Az idebtitáskezelésnek modernizálódnia kell, és a puszta hitelesítéstől a tényszerű személyazonosság-ellenőrzésig kellene jutnia, ez növelné a digitális bizalmat.

A jogsértések pénzügyi következményei

Az IAM korszerűsítése előzetes befektetést igényel, amelyet a cég költségvetésébe is be kell építeni, ami időbe, pénzbe és erőfeszítésbe kerül, de csak az adatszivárgások kárszámítását kell elvégeznünk, hogy megtudjuk, hogyan térül meg. Az MGM Resortsnak a jogsértés miatti bevételkiesése meghaladhatja a napi 8 millió dollárt, és természetesen a cég részvényei is jelentős esést mutattak, amikor a hír megjelent.

Ennek a folyamatnak az első lépése a biometrikus adatok és az ellenőrzött személyazonossági okmányok rögzítése a jogosult felhasználóktól, például alkalmazottaktól, partnerektől és ügyfelektől a nulladik napon a regisztráció vagy a fiók létrehozása során, hogy a későbbiekben azonosítani lehessen őket.

Az ellenőrzött hitelesítő okmányok – például digitális alkalmazotti azonosító kártyák, digitális útlevelek és digitális oktatási bizonyítványok – olyan metaadatokat tartalmaznak, amelyek kriptográfiailag igazolják, hogy ki adta ki, és a hamisítás könnyebben észlelhető. Sajnos a biometrikus adatokat ugyanúgy el lehet lopni, mint a jelszavakat, így ezeket az adatokat is védeni kell. A blokklánc bevált technológia a digitális javak védelmére, miért ne használhatnánk a vitathatatlanul legértékesebb eszköz védelmére, amely a mi személyazonosságunk?

Az blokkláncban az elosztott főkönyvvel együtt járó, megváltoztathatatlan auditnaplók biztosíthatják, hogy ha valami nem stimmel, a cég információbiztonsági emberei lássák, hogy ki milyen erőforrásokhoz, mikor és milyen módszerrel fér hozzá.

Ahelyett, hogy elfogadnák, hogy egy felhasználó telefonját ellopták, vagy a fiókját feltörték, láthatják, hogy az élő azonosítójukat („valódi” biometrikus adatok) használták-e a hozzáféréshez. Sokkal egyszerűbbé teszi annak megállapítását, hogy mi történt, és még azelőtt reagálhatunk, hogy a rendszerünk feltörésének robbanási sugara megnő.

A hitelesítés újragondolása a digitális korban

A legalapvetőbb tanulság, hogy a legtöbb módszer, ami ma megfelel az identitás-hitelesítésnek, a másolás és beillesztés. Ez nem a felhasználó biometrikus naplózása; csak jelszó másolására és beillesztésére használják az alkalmazásban. Végső soron ez csak időtakarékos intézkedés, nem pedig biztonság.

Még a legtöbb jelszó nélküli hitelesítés is rendelkezik valahol beépített felhasználónévvel és jelszóval. A rossz szereplők továbbra is ellophatják ezt a felhasználónevet és jelszót. Amíg visszaállítják a jelszót, klehetőségük van a belépésre, mert a személyazonosság-ellenőrzés gyökere a jelszó maradt.

Vállalati internet: Tarr.hu

Beküldve:

Ezért fontos a digitális bizalom a céged iránt

digitális bizalom

A digitális térben az ügyfelek számára mára az egyik legfontosabb kérdés a digitális bizalom, hogy mennyire bízhatnak az adott cégben. A cégre bízhatják-e vásárláskor a bankkártya adataikat, regisztráció során a személyes adatokat, ki fog hozzáférni a személyes fiókjukhoz, és így tovább.

Ha csak egy átlagos webshopot nézünk, az egyre jobb Mesterséges Intelligenciával működő fordítóprogamoknak köszönhetően ma már egy honlap nyelvezete alapján is nehéz eldönteni, hogy magyar, lengyel, kínai vagy vietnami székhellyel működik-e, ahonnan rendelünk. Ezért fontosak számunkra a céges digitális kommunikáció során a beépített bizlami architektúrák, és a digitális bizalmi technológiák, amelyek alapján értékeljük egy cég digitális identitását. A digitális bizalomtechnológiák tehát lehetővé teszik a szervezetek számára, hogy kiépítsék, bővítsék és fenntartsák az érdekelt felek bizalmát adataik, valamint digitálisan támogatott termékeik és szolgáltatásaik felhasználásában. Mindez egyre fontosabb lesz, hiszen a digitális személyiségünk egyre inkább része a valódi személyiségünknek. 

Így épül a digitális bizalom

A digitális bizalmi technológiák a cégen belüli munka során megoldják a szervezetek számára a technológiai és adatkockázatok kezelését, az innováció felgyorsítását és az eszközök védelmét. Mi több, az adatok és a technológia irányításában való bizalom kiépítése növelheti a szervezeti teljesítményt és, ahogy fent írtunk róla,  javíthatja az ügyfélkapcsolatokat. Az alapul szolgáló technológiák közé tartoznak a zéró bizalmi architektúrák (ZTA), a digitális személyazonossági rendszerek és az adatvédelmi tervezés. Más technológiák azáltal segítik a bizalom kiépítését, hogy a Mesterséges Intelligencia tervezésébe beépítik a megmagyarázhatóság, az átláthatóság, a biztonság és az elfogultság minimalizálásának elveit.

Cégen belül fontos a ZTA

A Zero Trust architektúrát az hívta életre, hogy a cégek többsége ma már nem saját gépén, saját szerverein tárolja az adatok többségét, hanem “házon kívül” különféle felhőalapú adatároló rendszerekben. Ez tehát egy kritikus biztonsági intézkedés, mivel a vállalatok növelik a hálózatukon belüli végpontok számát, és felhőalapú alkalmazásokkal és szerverekkel bővítik infrastruktúrájukat. A Zero Trust hálózat lényegében határok nélkül – helytől függetlenül minden felhasználóra és eszközre egyformán alkalmazza ugyanazokat a biztonsági elveket. A felhőalapú technológiák haszna többek között persze éppen az is, hogy bárhol, bármikor hozzáférhetünk az adatokhoz, és végezhetjük a munkát, de ki kell fejleszteni azokat a biztonsági kapukat, amelyek kevésbé akadályozzák az ilyen típusú munkavégzést, mégis működnek biztonságtechnikai szempontból.

A digitális bizalom és a digitális identitás kérdése a cég belső munkáját tekintve is rendkívül fontos, hiszen szine minden adatot digitálisan tárolunk, és egy külső behatolás után rossz esetben nulláról kell újraépíteni a céges adatok rendszerét. A McKinsey 2022-ben a technológiai rugalmasságról készített felmérése több mint 50 vezető szervezet kiberbiztonsági szintjét értékelte Észak-Amerikában, Európában és más fejlett piacokon. A válaszadók 10 százaléka jelezte, hogy kénytelen volt már a nulláról újjáépíteni a rendszerét (például valamilyen katasztrofális digitális összeomlás miatt), 2 százalékuk pedig elmondta, hogy már megkísérelte a nulláról való helyreállítást, de nem járt sikerrel.

A digitális bizalom úgy épül, hogy a kormányzatok is feljesztik a digitális személyazonosító rendszereket

A digitális vagy elektronikus azonosító (eID) rendszerek használata egyre növekvő tendencia az online környezetekben, mind az állami, mind a magánszektorban. A közszférában az eID ökoszisztéma az állampolgárok e-kormányzatának bevezetése a hajtóereje, míg a magánszektor (bankok, utazási cégek stb.) szintén érdekeltek a civil identitáshoz erősen kötődő biztonságos megoldások iránt. Az Európai Unióban az elmúlt néhány évben hosszú távú stratégiát dolgoztak ki, amelynek eredményeként nemrégiben (először 2014-ben) fogadták el az elektronikus azonosításról és bizalmi szolgáltatásokról (eIDAS) szóló rendeletet. Ez a szöveg meghatározza azokat a fő elveket, amelyek a közeljövőben a digitális identitások tagállamokban történő megvalósítását és használatát fogják vezérelni. Míg a rendelet hatálya csak az állami e-szolgáltatásokra vonatkozik, a cél egyértelműen az, hogy globális szakpolitikai keretet állítsanak fel az elektronikus személyazonosító okmányok köz- és magánszektorban történő elterjedésének érdekében.

Az Európai Unióban a digitális bizalom és identitás kérdésével foglalkozik azóta a 2022-es NIS2 irányelv, amely fokozott kiberbiztonsági kockázatértékeléseket ír elő, valamint a 2023-as adatkezelési törvény, amely a biztonságos adatmegosztás ösztönzését célozza, és az adatvédelmi mérnöki munkát kiemelten fontossá teszi az EU-ban.

Az elektronikus identitáskezelő rendszer (eIDMS) alapvetően lehetővé teszi a felhasználó azonosítását és hitelesítését az online szolgáltatásokhoz különféle hitelesítési eszközök (a bejelentkezéstől/jelszótól a smart kártyákig) használatával. A hitelesítést követően a felhasználó attribútumkészlethez (polgári személyazonosító, születési dátum, lakcím stb.) kapcsolódik, és használhatja a szolgáltatást.

A mai eIDMS-ek különféle megközelítéseket alkalmaznak a műszaki és szervezeti architektúrák meghatározására, hogy bizalmi kapcsolatokat hozzon létre a következő entitások között:

  • a felhasználók,
  • az Identity Provider (IDP), vagyis a felhasználók eID-jének kezeléséért felelős cég vagy szervezet, amely megbízható harmadik fél számára közvetíti és hitelesíti az adatokat
  • a szolgáltatást nyújtó szolgáltatók (SP-k) számára

Magyarán a digitális bizalom építése és a biztonság miatt a felhasználók és a cég közé belép egy hiteles biztonsági cég, vagy akár kormányzati fél, amelyik egyrészt akár tárolja a személyes adatokat, másrészt hitelesíti a cég felé azokat, ez az Identity Provider . Ennek az architektúrának az alapköveként az IDP befolyásos szerepet tölt be az adatvédelem kezelésében: egy olyan kontinuumhoz tartozik, ahol az egyik szélsőségen az IDP csak a kiadást és a visszavonást kezeli (például amikor az eID-t ellopottnak nyilvánítják), a másik szélsőségben pedig mindent tud a felhasználók tranzakcióiról, mivel minden alkalommal felkérik a felhasználói attribútumok érvényesítésére.

digitális bizalom

Mégsem épül mindig gyorsan a cégeknél a digitális bizalom

Míg a bizalmi architektúrába és a digitális identitással kapcsolatos vállalkozásokba történő beruházások 2018 és 2022 között mintegy ötszörösére nőttek, és a területet ismerő szakemberek iránti kereslet jelentősen megnőtt, a kép mégis vegyes a cégeknél.

A fentiek alapján minden cégben kiemelt fontosságot kellene tulajdonítani a digitális bizalom kiépítésének. A digitális bizalomtechnológiák elfogadását azonban számos tényező akadályozza, többek között a céges digitális rendszerek integrációs kihívásai, a szervezetek ellenállása, az erről a területről való tudásdeficit vagy a tehetség hiánya. Valamint az, hogy a digitális bizalomtechnológiákat csak korlátozottan tekintik az céges értékteremtés kritikus összetevőjének. Az átfogó, bizalomközpontú kockázati gondolkodásmód és képességek kiépítése felülről lefelé irányuló döntéseket, és a céges tevékenységek több területét érintő tudatos változtatásokat igényel, a stratégiától a technológián át odáig, hogy a felhasználók elfogadják és értékeljék a technológiát.

Vállalati internet: Tarr.hu

Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.