راه پرداخت
رسانه فناوری‌های مالی ایران

اهمیت احراز هویت دیجیتال در صنایع مالی و بانکی

حمید سلامت، کارشناس امنیت شرکت گسترش فناوری‌های نوین/ با ظهور فناوری‏‏‏‏‌های نوین، فضای برخط و اینترنت و نیز کم‌رنگ‌شدن و ازبین‌رفتن مرزهای سازمانی به‌ویژه در سال‌های اخیر، امنیت و حفاظت از داده‌ها، منابع و ارائه خدمات در فضای برخط ممکن نیست؛ مگر با شناسایی موجودیت‌ها و احراز هویت آنها. همین امر منجر به این شد که هویت دیجیتال و مدیریت هویت و دسترسی در فضای دیجیتال به یکی از سازه بلوک‌های اصلی در حوزه بانکداری دیجیتال و خدمات مبتنی بر فناوری‌های دیجیتال تبدیل شود.

افزایش جرائمی نظیر سرقت هویت و جعل هویت در فضای اینترنت و سوءاستفاده از هویت‌‏های به‌سرقت‌رفته باعث شده‌‏ نقش مدیریت هویت دیجیتال در امنیت سایبری، که به یکی از ارکان اصلی امنیت در صنایع مالی و بانکی تبدیل شده، بسیار پررنگ شود و بانک‌‏های مختلف را به سمت مدیریت هویت‏‌های دیجیتال هدایت کرده است. با توجه به اینکه خدمات و داده‌‏های مالی و بانکی از حساس‌ترین و مهم‌ترین داده‌های هر شخص و شرکتی هستند و دسترسی به این داده‌‏ها و خدمات نیازمند احراز هویت درست و قوی افراد متقاضی است، نقش هویت دیجیتال در ایجاد یک اکوسیستم بانکی امن، سالم و قابل‌ اعتماد مورد تأکید بانک‏‌های پیشرو جهان بوده و بسیاری از راهکارهای هویتی در خدمت صنایع مالی بوده است.


هویت دیجیتال چیست؟


هویت دیجیتال مجموعه‌‏ای از داده‏‏‌ها و خصیصه‏‏‌های دیجیتال و نمایانگر یک موجودیت در فضای دیجیتال است. اطلاعات هویتی موجودیت‏‌ها معمولاً در اعتبارنامه‏‏‌های سخت‌‏افزاری یا نرم‏‌افزاری ثبت می‏‏‌شوند تا در فرایند احراز هویت به کار گرفته شوند. اعتبارنامه یک شیء داده‎‌ای است که توسط ارائه‌دهنده اعتبارنامه ایجاد شده و بیانگر مجازبودن، نقش‌ها، حقوق، دسترسی‌های ممتاز و دیگر خصیصه‌های دارنده آن اعتبارنامه است. از جمله رسانه‏‏‌هایی که برای اعتبارنامه‌‏های بانکی استفاده می‏‏‌شوند می‌‏‏توان به کارت‏‏‌های ATM، توکن‏‏‌های سخت‌‏‏افزاری و اعتبارنامه‏‏‌های مورد استفاده در اپلیکیشن‏‏‌های موبایل اشاره کرد.

مدیریت هویت و مدیریت دسترسی ابتدا دو مفهوم و دو عرصه جدا از هم بودند که به‌صورت مجزا مدیریت می‏‌شدند. اما با توجه به اینکه این دو مفهوم در‏هم‏‌تنیده بوده و به یکدیگر وابستگی و نیازمندی دارند، به مفهومی واحد تبدیل شدند و مفهوم مدیریت هویت و دسترسی شکل گرفت. مدیریت هویت و دسترسی مجموعه‌ای از ابزارها، سیاست‌‏ها، فناوری‏‌ها و سیستم‌هایی است که سازمان‌‏ها از آنها برای ایمن‌‏سازی دسترسی به خدمات، منابع و داده‌‏های محافظت‌شده‌ خود استفاده مي‌کنند.


معماری مرجع برای مدیریت هویت و دسترسی


معماری مرجع پیشنهادی برای مدیریت هویت و دسترسی، مطابق شکل زیر است که از پنج مؤلفه اصلی مدیریت هویت، مدیریت اعتبارنامه، مدیریت دسترسی، حاکمیت و هم‌‏پیمان‌‏‏سازی تشکیل شده است. این معماری مرجع از مقایسه و برآیند معماری‏‌های مرجع موجود برای مدیریت هویت و دسترسی طراحی شده و برخلاف رویکرد لایه‏‌ای در آنها، رویکرد دوار-لایه‏‌ای در آن دیده شده تا پویایی درون آن و تعامل همه مؤلفه‌‏ها با یکدیگر نیز مصور شود.

بانک‏‏‌ها از دیرباز از پیشگامان به‌کارگیری مفاهیم و روش‌‏‏های احراز هویت بوده‌‏اند. در عصر اقتصاد دیجیتال و با فراگیرشدن خدمات دیجیتال و به‌تبع آن احراز هویت دیجیتال، بانک‏‏‌ها از پیشروان این حوزه بودند. در ایران نیز با فراگیری بانکداری دیجیتال و خدمات اینترنتی و موبایلی، روش‌‏‏های احراز هویت دیجیتال در بانک‏‏‌ها به کار گرفته شد. در دوران کرونا و پساکرونا رشد و ارتقای چشم‏گیری در این زمینه ایجاد شد و شرکت‏‏‌های مختلفی در حوزه احراز هویت دیجیتال و احراز هویت غیرحضوری پدید آمدند و امروز شاهد آن هستیم که احراز هویت، KYC و افتتاح حساب افراد به‌صورت کاملاً دیجیتال و غیرحضوری انجام می‌‏‏شود. پیش‏‌بینی می‏‏‌شود با گسترش بلاکچین در سال‏‏‌های آتی، راهکارهای هویتی مبتنی بر بلاک‏چین نیز جایگاه ویژه‌‏ای داشته باشد.


فرایندها و نیازمندی‌‏های مدیریت هویت و دسترسی


با توجه به معماری مرجع مدیریت هویت و دسترسی، پنج دسته فرایند را برای آن می‏‏‌توان در نظر گرفت:

  • فرایندهای مدیریت دسترسی: این فرایندها به افراد مجاز اجازه دسترسی به سیستم‏‌ها و داده‌‏‏‏های متناسب را می‌‏‏دهد و مشخص می‌‏‏کند که شخص، مجوز معتبر برای دسترسی یا تغییر چه داده‌‏ها و اطلاعاتی را دارد. در مدیریت دسترسی، حقوق متناسب با هر یک از موجودیت‏‏‌ها تبیین می‏‏‌شود. حقوق دسترسی مجموعه تمام مؤلفه‌های داده‏‌ای و خدمات است که در صورت احراز هویت کاربر در اختیار او قرار می‏‏‌گیرد. برای ‏‌مثال یک کارمند شعبه، یک مدیر بازاریابی و یک مشتری ویژه به چه اطلاعاتی می‌‏توانند دسترسی داشته باشند. دو فرایند اصلی در این دسته عبارت‌اند از:
  • 1. احراز هویت: دسترسی کاربران را تأیید می‌کند. وقتی کاربری می‌خواهد به سیستم متصل شود باید سیستم او را شناسایی کند. رمزهای عبور یکی از این روش‌‏هاست. روش‌های پیچیده‌‏تر می‌‏تواند پاسخ‌دادن به سؤالات، استفاده از اثرانگشت یا توکن امنیتی (Security Token) باشد.
  • 2. مجوزدهی: به اشخاص بر اساس نقشی که در سازمان دارند مجوز دسترسی داده می‏‌شود. هر بار که کاربر به سیستم متصل می‏‌شود، سیستم کنترل دسترسی، مجوزها و حقوق او را بررسی می‌‏کند تا درستی دسترسی‌‏ها قابل بررسی باشد. برای مثال در بانکداری شرکتی، مجوزدهی تعیین می‌‏‏کند چه کسانی حق ایجاد تراکنش دارند و چه کسانی باید امضا و تأیید کنند و چه کسانی باید از تراکنش مطلع شوند.
  • مدیریت هویت: فرایندهایی هستند که برای چرخه حیات موجودیت‏‏‏‌ها و هویت تعریف، ایجاد و نگهداری می‏‏‌کنند. در نظام بانکی، نقطه شروع ایجاد هویت افراد، معمولاً با درخواست افتتاح حساب و KYC آغاز می‏‏‌شود. ضمن اینکه با درگذشت فرد، هویت او تعلیق و حسابش مسدود می‌‏‏شود.
  • مدیریت اعتبارنامه: فرایندهایی هستند که برای هویت موجودیت‌‏‏‏ها، رسانه هویتی (سخت‏‏‌افزاری یا نرم‌‏افزاری) متناسب را ایجاد و از آن در طول چرخه حیات نگهداری می‌‏‏کنند. برای ‏مثال کارت‏‏‌های بانکی افراد، رسانه هویتی اشخاص و حساب‏‏‌های مرتبط با آنها هستند که چرخه عمر اعتبارنامه‌‏‏های آنها برابر تاریخ انقضای کارت است. همچنین در صورت مفقودشدن کارت لازم است اعتبارنامه‌‏ها بازنشانی و تجدید شوند.
  • فرایندهای حکمرانی و ممیزی: این فرایندها مباحث حاکمیتی اکوسیستم هویت دیجیتال را جاری می‌‏‏کنند. برای ‏مثال در ممیزی، برای تضمین پیروی از قوانین و تبعیت از سیاست‏‌های شرکت، اقدامات امنیتی و فعالیت‏‌های کاربران بازبینی می‏‌شود. کارشناسان امنیت اطلاعات با استفاده از فناوری‌‏‏های داده‌‏‏ای و تحلیل داده، لیست عملیات (Logs) و مستندات را تحلیل و بازبینی کرده و نتیجه این ممیزی‌‏ها را به‌صورت دوره‌‏ای منتشر می‏‌کنند. در نظام بانکی به‌کارگیری درست نظام‌‏‏ها و سیستم‌‏‏های هوشمند داده‌محور حکمرانی هویت دیجیتال، نقش بسیار مؤثری در مسائل حاکمیتی نظیر مبارزه با پول‌شویی ایفا خواهند کرد.
  • مدیریت هم‏‌پیمانی: این فرایندها رویکرد اکوسیستمی هویت دیجیتال را میسر می‏‏‌کنند. بدین ترتیب که با ایجاد اکوسیستمی از فراهم‏‌کنندگان خدمت و فراهم‏‌کنندگان هویت برمبنای اعتماد، امکان تبادل اعتبارنامه‌‏‏های هویتی و احراز هویت به‌صورت بخش ثالث را برقرار می‌‏‏سازند. در شبکه بانکی ایران، سامانه شتاب نمونه‌‏‏ای از یک هم‌‏پیمانی موفق است که بانک‌‏‏ها را قادر می‏‏‌سازد مشتریان سایر بانک‏‏‌ها را احراز هویت کرده و به آنها خدمات ارائه دهند.

نظارت بر احراز هویت و رفتارهای دسترسی کاربران


با نظارت بر رفتارهای کاربران هنگام دسترسی به خدمات، داده‏‌ها و اطلاعات، می‌توان تراکنش‏‌های غیرعادی، پیش‌بینی‌نشده و مشکوک را شناسایی کرد. سیاست‏‌های نظارتی شامل مواردی که باید تحت کنترل و پایش قرار گیرند، مدت زمان پایش و نیز اقدامات لازم در صورت مشاهده فعالیت‌های مشکوک باید از پیش تعریف شود.

ممکن است نظارت محدود به داده‌‏های خاص، کاربران یا نقش‏ه‌ای خاص باشد. همچنین می‏‌تواند در محدوده یک یا چند سیستم اجرا شود. علاوه بر این می‏‌تواند وابسته به رفتارهای خاص نظیر دانلود حجم زیاد داده یا دسترسی به داده‏‌ها در ساعات غیراداری باشد.

با گسترش فناوری‌‏‏های کلان‌داده و تحلیل داده، نظارت هوشمند و خودکار جایگزین روش‏‏‌های سنتی شده تا نظارت بر عملیات بانکی به شکل آنی، بلادرنگ و هوشمند باشد. نبود نظارت خودکار ریسک‌‏هایی را به دنبال دارد:

  • ریسک‌های قانونی: چنانچه سازمانی فاقد سازوکار مناسب برای نظارت باشد، احتمال نقض قوانین و مقررات را افزایش می‌‏دهد.
  • تشخیص و بازیابی ریسک: سازوکارهای ممیزی آخرین خط دفاع هستند و می‌‏توانند منشا انجام عملیات مخرب را تشخیص دهند. همچنین می‏‌توان از آن برای بهبود سیستم استفاده کرد.
  • تفکیک وظایف عادی و ممیزی: کاربرانی که اجازه دسترسی مدیر دارند، چه این دسترسی قانونی باشد و چه غیرقانونی، می‌توانند ممیزی را غیرفعال کنند تا از طریق آن فعالیت‏‌های مخربی را که انجام می‌‏دهند پنهان کنند. تیم ممیزی بهتر است مجزا از تیم اجرایی نظیر مدیران پایگاه داده و سرورها باشد.
  • ریسک عدم کفایت ابزارهای پیش‌فرض: معمولاً سیستم‏‌های پایگاه داده تجاری ابزارهای متعددی جهت وارسی و پایش امنیتی پایگاه داده ارائه می‌‏دهند. اما در برخی موارد این ابزارها با کاستی‏‌هایی همراه هستند. برای مثال، وقتی کاربران از طریق برنامه‌‏های کاربردی تحت وب به پایگاه داده دسترسی پیدا می‌‏کنند، هویت آنها در پایگاه داده مخفی می‌‏ماند و پایگاه داده همه فعالیت‌های آنها را به نام کاربری برنامه می‏‌شناسد؛ بنابراین درصورتی‌که یکی از کاربران تخلفی مرتکب شود، هویتش قابل‌ شناسایی نخواهد بود.

کاربردهای هویت دیجیتال


به‌صورت کلی هویت دیجیتال دو کاربرد اصلی دارد: تأمین امنیت و ارائه خدمت. برای تأمین امنیت در فضای بانکداری دیجیتال ضروری است موجودیت‏‏‌های حاضر در این فضا شناسایی و احراز هویت شوند تا دسترسی درست و خدمات مناسب در اختیار آنها قرار گیرد و از فعالیت‏‏‌های غیرمجاز آنها جلوگیری شود. از سوی دیگر، ارائه خدمات مختص هر فرد، تنها با احراز هویت درست او امکان‌‏پذیر می‏‏‌شود و احراز هویت کلید دروازه ارائه خدمات است. ضمن اینکه تحلیل‌‏‏های داده‌محور بخش‌‏‏های مربوط به مشتریان (نظیر CRM) و بخش‏‌های بازاریابی و توسعه محصول (علی‌الخصوص سفارشی‏‌سازی و شخصی‌‏‏سازی محصول) وابسته به این است که هویت افراد قابل‌ تشخیص و تمیز باشد تا از طریق شناسایی ارتباطات، تفاوت‏‏‌ها و شباهت‏‏‌های مشتریان مختلف بتوان محصولات هدفمند و متناسب با هر مشتری (یا دسته مشتریان) را طراحی کرده و توسعه داد. اگر هویت هر یک از فیلدهای داده قابل‌ تمیز نباشد و نتوان مشخص کرد چه داده‏‏‌هایی متعلق به کدام مشتری است، در این صورت داده‏‏‌ها بلااستفاده خواهند بود.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.