راه پرداخت
رسانه فناوری‌های مالی ایران

 پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشت‌ماه ۱۳۹۰ شروع کرده و اکنون پرمخاطب‌ترین رسانه ایران در زمینه فناوری‌های مالی، بانکداری و پرداخت و استارت‌آپ‌های فین‌تک است.

یادداشت

اهمیت احراز هویت دیجیتال در صنایع مالی و بانکی

نویسنده: راه پرداخت 0

حمید سلامت، کارشناس امنیت شرکت گسترش فناوری‌های نوین/ با ظهور فناوری‏‏‏‏‌های نوین، فضای برخط و اینترنت و نیز کم‌رنگ‌شدن و ازبین‌رفتن مرزهای سازمانی به‌ویژه در سال‌های اخیر، امنیت و حفاظت از داده‌ها، منابع و ارائه خدمات در فضای برخط ممکن نیست؛ مگر با شناسایی موجودیت‌ها و احراز هویت آنها. همین امر منجر به این شد که هویت دیجیتال و مدیریت هویت و دسترسی در فضای دیجیتال به یکی از سازه بلوک‌های اصلی در حوزه بانکداری دیجیتال و خدمات مبتنی بر فناوری‌های دیجیتال تبدیل شود.

افزایش جرائمی نظیر سرقت هویت و جعل هویت در فضای اینترنت و سوءاستفاده از هویت‌‏های به‌سرقت‌رفته باعث شده‌‏ نقش مدیریت هویت دیجیتال در امنیت سایبری، که به یکی از ارکان اصلی امنیت در صنایع مالی و بانکی تبدیل شده، بسیار پررنگ شود و بانک‌‏های مختلف را به سمت مدیریت هویت‏‌های دیجیتال هدایت کرده است. با توجه به اینکه خدمات و داده‌‏های مالی و بانکی از حساس‌ترین و مهم‌ترین داده‌های هر شخص و شرکتی هستند و دسترسی به این داده‌‏ها و خدمات نیازمند احراز هویت درست و قوی افراد متقاضی است، نقش هویت دیجیتال در ایجاد یک اکوسیستم بانکی امن، سالم و قابل‌ اعتماد مورد تأکید بانک‏‌های پیشرو جهان بوده و بسیاری از راهکارهای هویتی در خدمت صنایع مالی بوده است.

هویت دیجیتال چیست؟

هویت دیجیتال مجموعه‌‏ای از داده‏‏‌ها و خصیصه‏‏‌های دیجیتال و نمایانگر یک موجودیت در فضای دیجیتال است. اطلاعات هویتی موجودیت‏‌ها معمولاً در اعتبارنامه‏‏‌های سخت‌‏افزاری یا نرم‏‌افزاری ثبت می‏‏‌شوند تا در فرایند احراز هویت به کار گرفته شوند. اعتبارنامه یک شیء داده‎‌ای است که توسط ارائه‌دهنده اعتبارنامه ایجاد شده و بیانگر مجازبودن، نقش‌ها، حقوق، دسترسی‌های ممتاز و دیگر خصیصه‌های دارنده آن اعتبارنامه است. از جمله رسانه‏‏‌هایی که برای اعتبارنامه‌‏های بانکی استفاده می‏‏‌شوند می‌‏‏توان به کارت‏‏‌های ATM، توکن‏‏‌های سخت‌‏‏افزاری و اعتبارنامه‏‏‌های مورد استفاده در اپلیکیشن‏‏‌های موبایل اشاره کرد.

مدیریت هویت و مدیریت دسترسی ابتدا دو مفهوم و دو عرصه جدا از هم بودند که به‌صورت مجزا مدیریت می‏‌شدند. اما با توجه به اینکه این دو مفهوم در‏هم‏‌تنیده بوده و به یکدیگر وابستگی و نیازمندی دارند، به مفهومی واحد تبدیل شدند و مفهوم مدیریت هویت و دسترسی شکل گرفت. مدیریت هویت و دسترسی مجموعه‌ای از ابزارها، سیاست‌‏ها، فناوری‏‌ها و سیستم‌هایی است که سازمان‌‏ها از آنها برای ایمن‌‏سازی دسترسی به خدمات، منابع و داده‌‏های محافظت‌شده‌ خود استفاده مي‌کنند.

معماری مرجع برای مدیریت هویت و دسترسی

معماری مرجع پیشنهادی برای مدیریت هویت و دسترسی، مطابق شکل زیر است که از پنج مؤلفه اصلی مدیریت هویت، مدیریت اعتبارنامه، مدیریت دسترسی، حاکمیت و هم‌‏پیمان‌‏‏سازی تشکیل شده است. این معماری مرجع از مقایسه و برآیند معماری‏‌های مرجع موجود برای مدیریت هویت و دسترسی طراحی شده و برخلاف رویکرد لایه‏‌ای در آنها، رویکرد دوار-لایه‏‌ای در آن دیده شده تا پویایی درون آن و تعامل همه مؤلفه‌‏ها با یکدیگر نیز مصور شود.

بانک‏‏‌ها از دیرباز از پیشگامان به‌کارگیری مفاهیم و روش‌‏‏های احراز هویت بوده‌‏اند. در عصر اقتصاد دیجیتال و با فراگیرشدن خدمات دیجیتال و به‌تبع آن احراز هویت دیجیتال، بانک‏‏‌ها از پیشروان این حوزه بودند. در ایران نیز با فراگیری بانکداری دیجیتال و خدمات اینترنتی و موبایلی، روش‌‏‏های احراز هویت دیجیتال در بانک‏‏‌ها به کار گرفته شد. در دوران کرونا و پساکرونا رشد و ارتقای چشم‏گیری در این زمینه ایجاد شد و شرکت‏‏‌های مختلفی در حوزه احراز هویت دیجیتال و احراز هویت غیرحضوری پدید آمدند و امروز شاهد آن هستیم که احراز هویت، KYC و افتتاح حساب افراد به‌صورت کاملاً دیجیتال و غیرحضوری انجام می‌‏‏شود. پیش‏‌بینی می‏‏‌شود با گسترش بلاکچین در سال‏‏‌های آتی، راهکارهای هویتی مبتنی بر بلاک‏چین نیز جایگاه ویژه‌‏ای داشته باشد.

فرایندها و نیازمندی‌‏های مدیریت هویت و دسترسی

با توجه به معماری مرجع مدیریت هویت و دسترسی، پنج دسته فرایند را برای آن می‏‏‌توان در نظر گرفت:

  • فرایندهای مدیریت دسترسی: این فرایندها به افراد مجاز اجازه دسترسی به سیستم‏‌ها و داده‌‏‏‏های متناسب را می‌‏‏دهد و مشخص می‌‏‏کند که شخص، مجوز معتبر برای دسترسی یا تغییر چه داده‌‏ها و اطلاعاتی را دارد. در مدیریت دسترسی، حقوق متناسب با هر یک از موجودیت‏‏‌ها تبیین می‏‏‌شود. حقوق دسترسی مجموعه تمام مؤلفه‌های داده‏‌ای و خدمات است که در صورت احراز هویت کاربر در اختیار او قرار می‏‏‌گیرد. برای ‏‌مثال یک کارمند شعبه، یک مدیر بازاریابی و یک مشتری ویژه به چه اطلاعاتی می‌‏توانند دسترسی داشته باشند. دو فرایند اصلی در این دسته عبارت‌اند از:
  • 1. احراز هویت: دسترسی کاربران را تأیید می‌کند. وقتی کاربری می‌خواهد به سیستم متصل شود باید سیستم او را شناسایی کند. رمزهای عبور یکی از این روش‌‏هاست. روش‌های پیچیده‌‏تر می‌‏تواند پاسخ‌دادن به سؤالات، استفاده از اثرانگشت یا توکن امنیتی (Security Token) باشد.
  • 2. مجوزدهی: به اشخاص بر اساس نقشی که در سازمان دارند مجوز دسترسی داده می‏‌شود. هر بار که کاربر به سیستم متصل می‏‌شود، سیستم کنترل دسترسی، مجوزها و حقوق او را بررسی می‌‏کند تا درستی دسترسی‌‏ها قابل بررسی باشد. برای مثال در بانکداری شرکتی، مجوزدهی تعیین می‌‏‏کند چه کسانی حق ایجاد تراکنش دارند و چه کسانی باید امضا و تأیید کنند و چه کسانی باید از تراکنش مطلع شوند.
  • مدیریت هویت: فرایندهایی هستند که برای چرخه حیات موجودیت‏‏‏‌ها و هویت تعریف، ایجاد و نگهداری می‏‏‌کنند. در نظام بانکی، نقطه شروع ایجاد هویت افراد، معمولاً با درخواست افتتاح حساب و KYC آغاز می‏‏‌شود. ضمن اینکه با درگذشت فرد، هویت او تعلیق و حسابش مسدود می‌‏‏شود.
  • مدیریت اعتبارنامه: فرایندهایی هستند که برای هویت موجودیت‌‏‏‏ها، رسانه هویتی (سخت‏‏‌افزاری یا نرم‌‏افزاری) متناسب را ایجاد و از آن در طول چرخه حیات نگهداری می‌‏‏کنند. برای ‏مثال کارت‏‏‌های بانکی افراد، رسانه هویتی اشخاص و حساب‏‏‌های مرتبط با آنها هستند که چرخه عمر اعتبارنامه‌‏‏های آنها برابر تاریخ انقضای کارت است. همچنین در صورت مفقودشدن کارت لازم است اعتبارنامه‌‏ها بازنشانی و تجدید شوند.
  • فرایندهای حکمرانی و ممیزی: این فرایندها مباحث حاکمیتی اکوسیستم هویت دیجیتال را جاری می‌‏‏کنند. برای ‏مثال در ممیزی، برای تضمین پیروی از قوانین و تبعیت از سیاست‏‌های شرکت، اقدامات امنیتی و فعالیت‏‌های کاربران بازبینی می‏‌شود. کارشناسان امنیت اطلاعات با استفاده از فناوری‌‏‏های داده‌‏‏ای و تحلیل داده، لیست عملیات (Logs) و مستندات را تحلیل و بازبینی کرده و نتیجه این ممیزی‌‏ها را به‌صورت دوره‌‏ای منتشر می‏‌کنند. در نظام بانکی به‌کارگیری درست نظام‌‏‏ها و سیستم‌‏‏های هوشمند داده‌محور حکمرانی هویت دیجیتال، نقش بسیار مؤثری در مسائل حاکمیتی نظیر مبارزه با پول‌شویی ایفا خواهند کرد.
  • مدیریت هم‏‌پیمانی: این فرایندها رویکرد اکوسیستمی هویت دیجیتال را میسر می‏‏‌کنند. بدین ترتیب که با ایجاد اکوسیستمی از فراهم‏‌کنندگان خدمت و فراهم‏‌کنندگان هویت برمبنای اعتماد، امکان تبادل اعتبارنامه‌‏‏های هویتی و احراز هویت به‌صورت بخش ثالث را برقرار می‌‏‏سازند. در شبکه بانکی ایران، سامانه شتاب نمونه‌‏‏ای از یک هم‌‏پیمانی موفق است که بانک‌‏‏ها را قادر می‏‏‌سازد مشتریان سایر بانک‏‏‌ها را احراز هویت کرده و به آنها خدمات ارائه دهند.

نظارت بر احراز هویت و رفتارهای دسترسی کاربران

با نظارت بر رفتارهای کاربران هنگام دسترسی به خدمات، داده‏‌ها و اطلاعات، می‌توان تراکنش‏‌های غیرعادی، پیش‌بینی‌نشده و مشکوک را شناسایی کرد. سیاست‏‌های نظارتی شامل مواردی که باید تحت کنترل و پایش قرار گیرند، مدت زمان پایش و نیز اقدامات لازم در صورت مشاهده فعالیت‌های مشکوک باید از پیش تعریف شود.

ممکن است نظارت محدود به داده‌‏های خاص، کاربران یا نقش‏ه‌ای خاص باشد. همچنین می‏‌تواند در محدوده یک یا چند سیستم اجرا شود. علاوه بر این می‏‌تواند وابسته به رفتارهای خاص نظیر دانلود حجم زیاد داده یا دسترسی به داده‏‌ها در ساعات غیراداری باشد.

با گسترش فناوری‌‏‏های کلان‌داده و تحلیل داده، نظارت هوشمند و خودکار جایگزین روش‏‏‌های سنتی شده تا نظارت بر عملیات بانکی به شکل آنی، بلادرنگ و هوشمند باشد. نبود نظارت خودکار ریسک‌‏هایی را به دنبال دارد:

  • ریسک‌های قانونی: چنانچه سازمانی فاقد سازوکار مناسب برای نظارت باشد، احتمال نقض قوانین و مقررات را افزایش می‌‏دهد.
  • تشخیص و بازیابی ریسک: سازوکارهای ممیزی آخرین خط دفاع هستند و می‌‏توانند منشا انجام عملیات مخرب را تشخیص دهند. همچنین می‏‌توان از آن برای بهبود سیستم استفاده کرد.
  • تفکیک وظایف عادی و ممیزی: کاربرانی که اجازه دسترسی مدیر دارند، چه این دسترسی قانونی باشد و چه غیرقانونی، می‌توانند ممیزی را غیرفعال کنند تا از طریق آن فعالیت‏‌های مخربی را که انجام می‌‏دهند پنهان کنند. تیم ممیزی بهتر است مجزا از تیم اجرایی نظیر مدیران پایگاه داده و سرورها باشد.
  • ریسک عدم کفایت ابزارهای پیش‌فرض: معمولاً سیستم‏‌های پایگاه داده تجاری ابزارهای متعددی جهت وارسی و پایش امنیتی پایگاه داده ارائه می‌‏دهند. اما در برخی موارد این ابزارها با کاستی‏‌هایی همراه هستند. برای مثال، وقتی کاربران از طریق برنامه‌‏های کاربردی تحت وب به پایگاه داده دسترسی پیدا می‌‏کنند، هویت آنها در پایگاه داده مخفی می‌‏ماند و پایگاه داده همه فعالیت‌های آنها را به نام کاربری برنامه می‏‌شناسد؛ بنابراین درصورتی‌که یکی از کاربران تخلفی مرتکب شود، هویتش قابل‌ شناسایی نخواهد بود.

کاربردهای هویت دیجیتال

به‌صورت کلی هویت دیجیتال دو کاربرد اصلی دارد: تأمین امنیت و ارائه خدمت. برای تأمین امنیت در فضای بانکداری دیجیتال ضروری است موجودیت‏‏‌های حاضر در این فضا شناسایی و احراز هویت شوند تا دسترسی درست و خدمات مناسب در اختیار آنها قرار گیرد و از فعالیت‏‏‌های غیرمجاز آنها جلوگیری شود. از سوی دیگر، ارائه خدمات مختص هر فرد، تنها با احراز هویت درست او امکان‌‏پذیر می‏‏‌شود و احراز هویت کلید دروازه ارائه خدمات است. ضمن اینکه تحلیل‌‏‏های داده‌محور بخش‌‏‏های مربوط به مشتریان (نظیر CRM) و بخش‏‌های بازاریابی و توسعه محصول (علی‌الخصوص سفارشی‏‌سازی و شخصی‌‏‏سازی محصول) وابسته به این است که هویت افراد قابل‌ تشخیص و تمیز باشد تا از طریق شناسایی ارتباطات، تفاوت‏‏‌ها و شباهت‏‏‌های مشتریان مختلف بتوان محصولات هدفمند و متناسب با هر مشتری (یا دسته مشتریان) را طراحی کرده و توسعه داد. اگر هویت هر یک از فیلدهای داده قابل‌ تمیز نباشد و نتوان مشخص کرد چه داده‏‏‌هایی متعلق به کدام مشتری است، در این صورت داده‏‏‌ها بلااستفاده خواهند بود.

راه پرداخت

تحریریه راه پرداخت ۲۴ ساعت شبانه‌روز و هفت روز هفته تلاش می‌کنند شما را در جریان مهم‌ترین روندها و رویدادهای فناوری و نوآوری قرار دهند. راه پرداخت از دوم اردیبهشت ماه ۱۳۹۰ به صورت پیوسته در سپهر رسانه‌ای ایران فعالیت می‌کند.

مطالب پیشنهادی مطالب بیشتر از این نویسنده
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.