כיצד יכולים ארגונים שמספקים שירותים פיננסיים לאפשר למשתמשים מהימנים להשלים עסקאות בקלות, ועדיין לעצור נוכלים שמנסים לבצע פעילות פלילית? מזה למעלה מ-30 שנים, טורדת שאלה זו את מוחם של מומחי האבטחה המבריקים ביותר, ומנקודת המבט של המוסדות הפיננסיים, היא רלוונטית כיום - כאשר ההיקפים של גניבת הזהות, זליגת הנתונים וההונאות מגיעים לשיאים של כל הזמנים - יותר מאי פעם.
השפעת המוצרים לצרכנים פרטיים על עולם המחשוב הארגוני
עם זאת, מעולם לא היה קשה יותר למצוא את התשובה. צרכנים מקיימים תקשורת עם הבנקים בכל מקום בעולם, בערוצים רבים, שונים ומגוונים - מאתרי האינטרנט של הבנקים, מכשירי בנק אוטומטיים, שבבים שמותקנים בחנויות עם קוד סודי, ועד קניות באינטרנט, טלפון ואפילו סניפים פיזיים. הנוכלים אורבים לכל הזדמנות לעשות שימוש לרעה באמצעי הזיהוי בכל אחת מנקודות המגע האלה, בין באמצעות תוכנות זדוניות - תרמיות Phishing או הונאות בכרטיסים - ובין באמצעות איומים מתפתחים אחרים.
אבטחה של עסקאות הופכת למשימה מורכבת עוד יותר נוכח ההשפעות של מוצרי המיחשוב המיועדים לצרכנים פרטיים על עולם המיחשוב הארגוני (Consumerization of IT), והשימוש הגובר במכשירים ניידים שהוא חלק בלתי נפרד ממגמה זו. כשיושבים באוטובוס או ברכבת אפשר לראות נוסעים עובדים במרץ במחשב iPad או בטלפון החכם שלהם, בודקים את המצב של חשבון הבנק, רוכשים כרטיסי טיסה או מזמינים כרטיסים לתיאטרון. כששואלים אותם עד כמה בטוח לבצע עסקאות בצורה כזו, הם בדרך כלל מושכים בכתפיים. מרבית האנשים גם אינם מודעים להשלכות של הונאה פיננסית, ומאמינים שהבנק או חברת האשראי ישיבו לחשבונם כל סכום שנגנב מהם כתוצאה מהונאה.
במוסדות פיננסיים מתקשים בדרך כלל לאחד את הסיכונים המפוזרים בין נקודות מגע שונות עם הלקוחות. כך למשל, אם נוכל גונב כרטיס אשראי ומנסה למשוך בעזרתו כסף ממכשיר בנק אוטומטי, לאחר מכן רוכש מכשיר טלוויזיה במערכת קופה (Point Of Sale) של חנות פיזית, ולבסוף מנסה להעביר כספים במקוון, רבים מהבנקים יתייחסו לכל אחת מפעולות אלה כאל אירוע נפרד, משום שלכל אחד מהערוצים יש מערכות שונות ואנשי צוות משלו. הדבר פוגע פגיעה משמעותית ביכולת לגלות שימוש אסור.
צרכנים מעדיפים נוחות על אבטחה - האם זה מחויב המציאות?
כעובדה, הצרכנים מעדיפים כיום כמה שפחות נקודות חיכוך בבואם לבצע עסקאות מקוונות. הזמן הוא הגורם החשוב ביותר, והם מוכנים לגלות סובלנות למידה מסוימת בלבד של אי נוחות - במיוחד בפעילויות הכרוכות בפחות סיכונים. הסובלנות שמגלים האנשים עומדת בפרופורציה לרמת הסיכון של התהליך - אנשים אינם מוכנים לגלות אותה מידה של סובלנות בכל הנסיבות. כך למשל, בבנקאות מקוונת מוכנים הלקוחות לגלות סובלנות לתהליך של שימוש ברכיב חומרה/תוכנה (PKI token) כדי לבצע תשלומים לגורם חדש, אך מגלים מידה פחותה של סובלנות בתשלום חוזר לאותו גורם, או כשהם מבקשים רק לבדוק יתרה.
באופן דומה, בקשה לאימות זהות מתקבלת במידה רבה יותר של סובלנות כשרוכשים תכשיט יקר מאשר כשרוכשים רק מצרכים במכולת. במצב האידיאלי אמורה עסקה שכרוכה בסיכונים מועטים להתבצע באופן מיידי וללא בעיות, בדיוק כמו תשלום במזומן. בעסקאות שכרוכות בסיכונים רבים יותר על הבנקים להשתמש באבטחה בצורה פרופורציונלית, בהתאם למידת הסיכון. לקוחות מבינים זאת ונהנים בפועל מיתרונות האבטחה.
הלקוחות דורשים אותנטיקציה שמתאימה לאורח החיים
עם זאת, לכל לקוח העדפות משלו, ובמקרים שבהם נחוצה אבטחה ברמה גבוהה יותר, מעדיפים הלקוחות שזהותם תאומת בדרך שמתאימה לאורח החיים שלהם. כך למשל, משתמשים בטלפונים חכמים ובמחשבי לוח עשויים להעדיף שימוש בהתקן תוכנה, על מנת לקבל סיסמה חד פעמית, במקום להזדקק להתקן חומרה נפרד. לחילופין, משתמש שאינו מצויד בטלפון חכם אך מרבה לקנות באינטרנט ולבצע פעולות באתר הבנק מאותו מחשב, עשוי להעדיף אמצעי שמזהה את המחשב, למשל באמצעות תוכנת גישה, וכך מזהה גם את המשתמש.
על מנת להעניק גישה למשתמשים מהימנים ולחסום את הנוכלים, על המוסדות הפיננסיים לאזן בו-זמנית בין נוחות, עלות ואבטחה - תוך שמירה על שביעות הרצון של הלקוחות וביטחון כספם. דרישות אלה יוצרות דילמה משמעותית: מצד אחד, על המוסדות לספק שירותים של פעולות פיננסיות תוך רמה מינימלית של חיכוך. מצד שני, עליהם לאמת את הזהות של הפונה לפני שמוענקת לו גישה - בדרך כלל באמצעות סיסמה ואמצעי זיהוי נוסף.
גילוי "רב שכבות" של הונאות ואימות הזהות על בסיס סיכונים
כדי להבחין ביעילות בין ה-'טובים' ל-'רעים', על המוסדות הפיננסיים ליישם אסטרטגיה רבת, שכבות, לגילוי הונאות, תוך שילוב בין אימות זהות על בסיס סיכונים לבין מספר שיטות שונות לאימות זהות על מנת להתאים את האבטחה, בצורה פרופורציונלית, לרמת הסיכון של הפעולה שמבצע המשתמש. הניתוח המתוחכם של הסיכונים מבוסס על פריטים רבים דוגמת המיקום של המשתמש, המכשיר שעמו ניגשים לאינטרנט, שווי העסקה או סוג הסחורות שרוכשים. בדרך כלל, רק מספר מועט של עסקאות נחשב לבעל סיכון גבוה, והפיתרון האידיאלי הוא לזהות את הפעילויות האלה ולהגביר את רמת האבטחה הנדרשת לביצוען, בצורה נוחה ככל האפשר. פיתרון כזה מסייע למנוע, בזמן אמת, הונאות בשירותים המסופקים לצרכנים - מבלי לגרום חוסר-נוחות למשתמשים הלגיטימיים, ברוב המכריע של הפעילויות.
פיתרון מתקדם לאימות זהות יוצר תהליך מסתגל לניתוח סיכונים על מנת להעריך את הפוטנציאל להונאות בכל כניסה מקוונת ובכל עסקה. הטכנולוגיה מספקת מגוון שיטות לאימות זהות לפי שני גורמים ועל בסיס סיכונים - הכל על מנת להבטיח אימות זהות בערוצים מרובים וללא חיכוך. כך יכולים, למשל, המוסדות הפיננסיים לבחון מגוון רחב של נתונים שנאספים באופן אוטומטי לגבי כל כניסה או עסקה. הם יכולים גם לחשב דירוג סיכונים על מנת לקבוע איזה פעולה יש לבצע לגבי עסקה נתונה. הם יכולים לקבוע סף סבילות על מנת להתאים את ההשפעה על המשתמשים הלגיטימיים, והם נהנים גם מגמישות בקביעת התגובה לדירוג בהתאם למדיניות ולסבילות לסיכונים.
פתרונות לאימות זהות המשלבים בין שימוש קל לבין אבטחה חזקה
גישה זו מחוללת מהפכה באימות הזהות ובמניעת הונאות, תוך שיפור הנוחות. ניקח כדוגמה לקוח שמבקר בלונדון במהלך האולימפיאדה. במלון הוא משתמש בכרטיס האשראי עם שבב ומכשיר להזנה של קוד סודי על מנת שהכרטיס יאושר לביצוע רכישות במהלך השהייה. בחדר שבמלון יכול הלקוח לבצע תשלומים באתר הבנק בעזרת המחשב הנישא. בערב יכול הלקוח לבצע רכישה נוספת במחשב iPad. באמצעות אימות מתקדם של הזהות בערוצים מרובים, אישר הבנק של הלקוח את העסקה שבוצעה בהצגת כרטיס עם "שבב וקוד סודי", ציין שהלקוח נמצא בבריטניה, והחל לעקוב אחר עסקאות נוספות שבוצעו בערוצים אחרים, על בסיס העסקה הראשונה שאושרה במלון. על החישוב של רמת הסיכון משפיעים התשובה לשאלה אם הלקוח השתמש בעבר באותו מחשב נישא ובאותו מחשב iPad - או לא, וכן השווי והסוג של התשלומים. אם מנסים לבצע רכישה באותו יום במוסקבה, למשל, יתגלה המיקום במסגרת האימות המתקדם של של הזהות, ומאחר והלקוח אינו יכול להיות בו-זמנית בשני מקומות, העסקה לא תאושר.
אחד הפתרונות הפופולאריים ביותר שבהם מיושמות שיטות אלה הוא CA Advanced Authentication, אשר מסייע לצמצם סיכונים באמצעות יישום של השיטות המתאימות לאימות חזק של הזהות ומניעת הונאות. הפתרונות של CA Technologies לאימות זהות מסופקים במתכונת מקומית או כשירות, משלבים בין שימוש קל לבין אבטחה חזקה, ומגינים על יותר מ-150 מיליון זהויות ברחבי העולם. כך ניתן לצמצם הונאות, להעניק למשתמשים חוויה ברמה הגבוהה ביותר, לצמצם את עלות הבעלות הכוללת (TCO) ולהגן על המשתמשים כשהם עורכים קניות במקוון, מבצעים פעולות בנקאיות באינטרנט, או ניגשים מהבית לרשת האינטראנט של החברה. היכולת של CA Technologies להבין את התנהגות המשתמשים בכל הערוצים ולספק אימות הולם ופרופורציונלי של הזהות, באופן שנתפס על ידי המשתמשים בצורה אינטואיטיבית, היא אחת הסיבות לכך שיותר מ-10,000 ארגונים משתמשים בטכנולוגיה זו, במופעים רבים, מבלי שהמשתמשים מבחינים בכלל ברמה הגבוהה של ההגנה.
כאשר מופעלים על הארגונים שמספקים שירותים פיננסיים לחצים חזקים מאי פעם להעריך את פתרונות האבטחה ואת אופן היישום שלהם, מייצג האימות המתקדם של הזהות שיפור חשוב ומשמעותי בשקיפות, בנוחות ובעלות החסכונית של האבטחה. בעסקאות מקוונות שנערכות במכשירי בנק אוטומטיים, במחשבים נישאים, בטלפונים סלולריים ופנים אל פנים - הוא מסייע לחסום את הרעים ולהרחיק אותם מבעוד מועד.