`

СПЕЦИАЛЬНІ
ПАРТНЕРИ
ПРОЕКТА

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Михайло Петряєв

Верифікація персональних даних. Що важливо знати

+11
голос

Зі стрімким розвитком технологій все більше приватної інформації можна знайти в інтернеті. Вже сьогодні в мережі можна робити безліч операцій пов’язаних з персональними даними – від комунікації до серйозних операцій з фінансами тощо.

На жаль й кібершахрайство розвивається лавиноподібно - ми вже звикли до афер у стилі «продавець/покупець» або «банк/клієнт», проте це може перерости і в значно серйознішу проблему. Сьогодні, отримавши доступ до e-mail, чи аккаунту у соцмережах, можна досить легко увійти у безліч аккаунтів, що є прив’язаними до їх аутентифікаційних сценаріїв.

Злодії, які займаються викраденням даних, зазвичай, отримують персональну інформацію, таку як паролі, номери ID, кредитних карток та ін. Наразі у більшості випадків для верифікації використовуються дані кредитних файлів фінансових установ. Таким чином перевіряється збіг отриманих даних від користувача з даними у базі credit profiles. Ім'я та прізвище, дата народження й адреса реєстрації – саме ті дані, за якими реєструються у фінансових установах, онлайн-казино, криптобіржах тощо. Отримані дані використовуються хакерами від імені жертви з метою заволодіння коштами або бонусами (bonus hunters).

Окрім цього, викрадена конфіденційна інформація може бути використана й для інших незаконних цілей – отримання кредитів, здійснення онлайн-покупок або для отримання доступу до медичних та фінансових відомостей жертви. Вкрадені особисті дані можуть також стати серйозною загрозою для бізнесу, надаючи шахраям доступ до конфіденційних даних компанії через скомпрометований особистий запис користувача.

Для запобігання втратам інформації компанії використовують десятки, або навіть сотні різних методик, починаючи з навчання персоналу безпечному користуванню мережею і закінчуючи спеціалізованим програмним забезпеченням, що покликане ускладнити шахраям доступ до усього, що належить компанії.

Але, чим більшим є пул використовуваних технологій, тим більша ймовірність того, що кілька з них увійдуть у конфлікт одне з одним, що може надати шахраям шанс скористатися цим конфліктом для проникнення в системи. Особливо нагальною ця проблема є для мультинаціональних компаній, де кожна з країн вимагає окремого набору безпекових рішень для операцій, що пов’язані з особистими даними клієнтів.

Якщо уважно дивитися на безпекові кейси провідних компаній, можна побачити два основні сценарії роботи з верифікацією даних. Перший з них направлений на широку взаємодію з реєстрами (державними, банківськими тощо). Другий – на глибшу взаємодію з особою. Обидва методи мають свої недоліки. Перший оперативніший, але має декілька умовних вад: він або потребує декількох документів для верифікації, щоб зменшити можливість їх підробки, або має суттєвий шанс на допущення шахрая у мережу з використанням якісних підробок документів. Другий метод дає кращий результат, але потребує багато часу та залучення додаткового персоналу, що буде здійснювати опитування клієнта, опираючись на технологію аутентифікації на базі знань (наприклад даних, пов’язаних з його кредитною історією). Але час у нашому світі то є гроші. І робити процес ідентифікації клієнта задовгим або надважким часто означає втратити клієнта.

Є рішення, які забезпечують перевірку користувачів на відповідність актуальним, багатоюрисдикційним вимогам одразу на декількох рівнях. Наприклад, IDComply - система від GeoComply, одної з найбільших міжнародних компаній-розробників рішень для забезпечення кібербезпеки і попередження цифрового шахрайства, яка до речі має український R&D-офіс. За час проєктування цього рішення було випробувано безліч сценаріїв і знайдено підхід для якісного верифікування користувача за допомогою не тільки загальнодоступних даних (таких як ім’я, прізвище, дата народження, адреса, номер карти соціального страхування) але й на більш глибоких рівнях перевірки, пов’язаних з багатьма супутніми реєстрами.

Сьогодні IDComply надає можливість верифікації персональних даних користувачів одразу в декількох реєстрах, включно зі списками померлих та реєстрами судових рішень; розпізнає та вміє верифікувати найбільш вживані документи (паспорт, посвідчення водія, ID-картка); перевіряє IP та email-адреси на наявність у списках high risk profiles. До того ж система підтримує верифікацію за допомогою Digital ID та має додаткову можливість аутентифікації користувача на базі контрольних питань з кредитної історії персони. Також сервіс може верифікувати людину через базу телефонних номерів, надаючи безпековим підрозділам інформацію про підозрілу активність у режимі реального часу.

Важливо й те, що IDComply дозволяє налаштувати багаторазовий моніторинг у режимі реального часу – адже навіть коли всі перевірки пройдені, ніхто не застрахований від того, що через деякий час особа може з’явитися в якомусь з реєстрів.
Дуже часто зловмисники використовують дані людини якої вже немає в живих для того, щоб пройти верифікацію, оскільки дані реальні. IDComply може діагностувати і таке шахрайство.

Система також може розпізнавати та верифікувати дійсність документів, що засвідчують особу (права, паспорт), проводячи перевірку таких документів на наявність та відповідність голограми, якість фотокартки, barcode та навіть на присутність найменших слідів редагування.

Тож, щоб забезпечити продуктивну роботу з аутентифікацією, необхідно використовувати комплексний підхід, найбільш сучасне програмного забезпечення та постійне оновлення верифікаційних даних.

Як протидіяти DDoS та цілеспрямованим атакам на інфраструктуру

+11
голос

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT