ჩეკებიდან GDPR-მდე – როგორ სურს ტრუსონას თქვენი პირადობის მოწმობის დაცვა

ტრუსონა საუკეთესო შოუში გაიმარჯვებს Finovate 2018-ზე

როგორ დაამტკიცო, რომ ხარ ის, ვინც ამბობ, რომ ხარ? შეიძლება ჩანდეს, რომ პასუხის გაცემა მარტივია, მაგრამ სამყაროში, სადაც შეიძლება იყოს თქვენი ყველაზე პირადი პირადი ინფორმაცია მოსავალი თქვენი საკრედიტო სააგენტოდან ან სოციალური ქსელის ანგარიში, ეს სიმარტივე პრობლემაა. თაღლითებს და კრიმინალებს ასევე შეუძლიათ დაამტკიცონ, რომ თქვენ ხართ, საოცრად მცირე ინფორმაციის გამოყენებით.

ეს არის თავსატეხი, რომელსაც ორი ეიზენი იმედოვნებს, რომ ამოხსნას Trusona პაროლის გარეშე ავთენტიფიკაცია სისტემა. ის სთავაზობს საშუალო კაცის ვალიდაციის სერვისებს კომპანიებს მთელ მსოფლიოში, ყველას ციფრული მონაცემების დაცვის გაუმჯობესების იმედით. ის იყენებს 20-ის გამოცდილებას საუკუნის თაღლითები, როგორიცაა ფრენკ აბანალე, რომელიც ცნობილია ფილმში Დამიჭირე თუ შეგიძლია, გავაძლიეროთ ჩვენი თანამედროვე ციფრული დაცვა კლასიკური სოციალური ინჟინერიის ტაქტიკებისგან.

რეკომენდებული ვიდეოები

ციფრული ტენდენციები: ფრენკ აბანალეს, ალბათ, ყველაზე მეტად იცნობენ, როგორც 2002 წლის ფილმის თემას Დამიჭირე თუ შეგიძლია

ეფუძნება მის გაქცევას 60-იან წლებში ჩეკების გაყალბებითა და პიროვნების უფლებით. როგორ მოხვდით თქვენ ორივე ერთად?

ორი ეიზენი: მოკლე ვერსია არის ის, რომ სანამ მე ვმუშაობდი საკრედიტო ბარათების ერთ-ერთ უმსხვილეს კომპანიაში, დამატებით მკითხეს ჩემი ინტერნეტ პასუხისმგებლობით, გამეგო ყველაფერი ბარათების გაყალბების შესახებ, რაც მე არაფერი ვიცოდი შესახებ. არ არსებობს წიგნი ან უნივერსიტეტის დიპლომი ამ თემაზე, ამიტომ ვკითხე, ვის შეუძლია მასწავლოს? სახელი Frank Abagnale ისევ და ისევ გაჩნდა, უბრალოდ ის არ იღებს ახალ სტუდენტებს.

სტუმრად "ფულის კაცები". @FairFX -ერთ და ერთადერთ ფრენკ აბანალესთან. დაე #არაპაროლები დაიწყო რევოლუცია. @trusona_incpic.twitter.com/soAYZ3Vn7u

— ორი ეიზენი (@orieisen) 2017 წლის 7 დეკემბერი

თვეების და თვეების განმავლობაში ვეხვეწებოდი, შემხვედროდა და დამეხმარა, რადგან ჩემი მეშვეობით მას შეეძლო დაეხმარა დანაშაულის აღკვეთაში, რადგან მის ცოდნას ვიღებდი და წავიდოდი და ცუდ ბიჭებს ვცემდი. საბოლოოდ ის დათანხმდა შეხვედრას და მას შემდეგ ერთად ვმუშაობთ.

მიუხედავად იმისა, რომ დღეს Abagnale მართავს საკონსულტაციო ფირმას, მისი გამოცდილება მოდის იმ დროიდან, როდესაც კომპიუტერები წარმოუდგენლად იშვიათი და შეუდარებელი იყო ციფრულად გაუმჯობესებულ სამყაროსთან, რომელსაც დღეს ვტკბებით. რამდენად სასარგებლოა მისი წვდომა თანამედროვე ეპოქაში?

სიტყვა "ტრუსონა" არის True-სა და Persona-ს შერწყმა და იმისათვის, რომ იცოდეთ ვინ არის ნამდვილი პერსონა, თქვენ უნდა გაიაროთ პროცესი, რომელსაც ეწოდება პირადობის დადასტურება. ჯერ დავადგინოთ ვინ ხართ თქვენ, როგორც პიროვნება [რადგან…] არ არსებობს ავთენტიფიკაცია პირადობის დადასტურების გარეშე. როგორ შემიძლია დავამტკიცო, რომ ეს შენ ხარ, თუ თავიდანვე არ დავამტკიცო, რომ შენ ხარ?

”არ არსებობს ავთენტიფიკაცია პირადობის დადასტურების გარეშე.”

ფრენკი ნამდვილად კარგად გვეხმარება იმ მომენტში, როცა პირადობის დამადასტურებელ დოკუმენტს ატარებთ, კარგად ვიფიქროთ, როგორ ამოვიცნოთ ყალბი დოკუმენტი. როგორ ჩაანაცვლებდა ცუდი ბიჭი ფრენკის სურათს სტივენ სპილბერგის სურათით. როგორ დაამარცხებდი სერთიფიკატს ან როგორ დაამარცხებდი შავ მელანს დოკუმენტზე ან ყველა წვრილ მიკროპრინტს. მან მართლაც ბევრი რამ იცის ამ დოკუმენტების შესახებ, რადგან მთავრობები მათ ამ პროცესში იყენებენ.

მოგზაურობის დროს, რათა გამოეკვლიათ ვინ არის ნამდვილი პერსონა, ხშირ შემთხვევაში, როცა გამოსავალს მოვიფიქრებდით, მან ძირითადად გვაჩვენა, როგორ შეგეძლოთ მისი დამარცხება ძალიან მარტივად. ასე რომ, ჭადრაკის თამაშივით იყო, სანამ არ მიხვალ იქამდე, რომ მან ვერ დაამარცხა ის, რასაც ჩვენ ვაკეთებდით.

რა სახის სისტემები შექმენით, რომლებიც დაცული იყო სოციალური ინჟინერიის შეტევებისგან, რომელთა განხორციელებაშიც ფრენკ აბანალე ასე ეფექტურია?

როდესაც Trusona-ს დებიუტი შედგა, ჩვენ გამოვიმუშავეთ მრუდი, რომელიც ამბობს, რისი დაცვას ცდილობთ და ეს არის მომსახურების დონე, რომელსაც ჩვენ გთავაზობთ. ყველა მათგანში არ იქნება რაიმე სახის პაროლი.

მომსახურების სხვადასხვა დონე მოითხოვს სხვადასხვა დონის გამოვლენას. ჩვენი საბაზისო დონე, სახელწოდებით „არსებითი“, მხოლოდ გთხოვთ მოგვაწოდოთ ელ.ფოსტის მისამართი, რომლითაც ჩვენ გამოგიგზავნით ელ.წერილს იმის დასადასტურებლად, რომ ნამდვილად გაქვთ მასზე წვდომა. არ არის ჩართული დოკუმენტები, სურათები, არაფერი მსგავსი. ამან შეიძლება დაგაკავშიროთ ანგარიშთან, მედიის სტრიმინგისთვის ან მსგავსი. იმიტომ რომ საკმარისად კარგია. ის კვლავ იყენებს ჩვენს ანტი-გამეორების ტექნოლოგიას, ასე რომ, თუნდაც ცუდი ბიჭები უსმენდნენ მას, მათ არ შეეძლოთ მისი ხელახლა გამოყენება.

ტრუსონას გამეორების საწინააღმდეგო ტექნოლოგია

ჩვენი შემდეგი დონე არის "აღმასრულებელი". ეს დონე ამბობს: „კარგი, თქვენ კვლავ შეგიძლიათ იყოთ თქვენს სახლში, მაგრამ თქვენი ელ. ფოსტის გარდა, მინდა, რომ დაასკანიროთ დისტანციურად, ან პასპორტი ან მართვის მოწმობა. ტრუსონა არ გეუბნებათ ამის გაკეთებას, ჩვენ მხოლოდ ჩვენი თხოვნას ვასრულებთ. პარტნიორები. ასე რომ, თქვენ ცდილობთ რაიმე გააკეთოთ თქვენს ბანკთან ან რაიმე გააკეთოთ თქვენს ჯანდაცვის სფეროში და მათი სახელით ჩვენ ამას ვაკეთებთ. ტრუსონა არ ინახავს არცერთ ამ მონაცემს, რადგან ჩვენ არ გვინდა გავხდეთ შემდეგი ცხელი კარტოფილი ცუდი ბიჭისთვის.

მესამე დონეს ჰქვია "ელიტა" და ის გთხოვს ელ.წერილს და დისტანციურად სკანირებს დოკუმენტს და პირადად გამოაჩენს თავს. ჩვენ მხოლოდ ერთხელ გთხოვთ ამის გაკეთებას, რათა დაგიკავშირდეთ ძალიან ძლიერ რწმუნებულებასთან. ეს არ არის ის, რომ ყოველ ჯერზე გჭირდებათ სელფის ან ვიდეოს გადაღება, რადგან ეს არის ერთადერთი დონე, რომელსაც ანდერრაიტერი დააზღვევს. ეს არ არის მასობრივი ბაზრისთვის, ეს არის უნიკალური სიტუაციებისთვის, მაგრამ ეს არის ერთადერთი გზა, რომ შევიცნოთ ნამდვილი პერსონა, რაც არის ჩვენი ბიზნესი.

რაც შეეხება ზრდას deepfakes და AI-ზე ორიენტირებული ვიდეო მანიპულირების პროგრამული უზრუნველყოფა რაც შესაძლებელს ხდის შექმნას ცოცხალი ვიდეო და ადამიანების სურათები? ეს საფრთხეს უქმნის თქვენს "ელიტის" დონეს?

კომპანიებმა, როგორიცაა Adobe, გამოუშვეს Photoshop-ის ექვივალენტი ცოცხალი ვიდეოსთვის. მას შეუძლია ხმის და სახის მიბაძვა […] ამის მიღმა რომ წახვიდეთ, თქვენ უნდა დაიწყოთ პირადი იდენტობით მტკიცებულება, რაც იმას ნიშნავს, რომ მე მჭირდება თქვენთან შეხვედრა რეალურ ცხოვრებაში და თქვენი დოკუმენტებით, რათა დავამტკიცოთ, რომ ეს ასეა შენ. თქვენ არ შეგიძლიათ ამის გაკეთება დისტანციურად. მაგრამ ყველა გამოყენების შემთხვევა ამას არ მოითხოვს. ეს ნამდვილად დამოკიდებულია იმაზე, თუ რის დაცვას ცდილობთ. თუ HBO-ს სურს მოგცეთ ფილმის ყურების უფლება, მათ არ სჭირდებათ უსაფრთხოების ეს დონე. მაგრამ თუ Goldman Sachs-ს სურს 50 მილიონი დოლარის გადატანა სტივენ სპილბერგისთვის, მას შეიძლება დასჭირდეს უსაფრთხოების ეს დონე.

ოდესმე გიცდიათ ფრენკ აბანალეს სოციალური ინჟინერი ტრუსონას თანამშრომლებისთვის?

იმისათვის, რომ გავხდეთ მსოფლიოში პირველი ავთენტიფიცირებული კომპანია - არავის გადაუდგამს ეს ნაბიჯები, რადგან ეს მარტივი არ არის - ჩვენ ჯერ უნდა დავიცვათ საკუთარი მონაცემები ჩვენივე თანამშრომლებისგან. რა მოხდება, თუ ერთ-ერთი მათგანი გაიტაცეს და გვითხრას: „მათ მხოლოდ იმ შემთხვევაში გავუშვებ, თუ გასაღებებზე წვდომას მომცემთ?“

თავიდანვე, ჩვენ გავატარეთ ერთი წელი სტელსის რეჟიმში და შევქმენით სისტემა, რომელიც თოფს რომც დამიდო თავში, ვერ დაგეხმარები. ეს მოიცავს ჩვენს ინჟინერიის ხელმძღვანელს და ყველას, ვინც ააშენა სისტემა, რადგან ავუხსენი მათ, იმისთვის, რომ სამყარო დავიცვათ ცუდი ბიჭებისგან, ჩვენ არ შეგვიძლია ვიყოთ ჯაჭვის ყველაზე სუსტი რგოლი და ისინი გაგება. ამიტომ ჩვენ უნდა მივიღოთ ძალიან განსაკუთრებული ადამიანები, რომ დარეგისტრირდნენ ამ მისიაში.

„[ჩვენ] შევქმენით სისტემა, სადაც იარაღსაც რომ დამიდო თავში, მე ვერ დაგეხმარები“

ჩვენ ასევე არ ვინახავთ ცხელ კარტოფილს. თუ დღეს გაგვატეხეთ და ჩვენ ბევრი ტესტი ჩავატარეთ სხვადასხვა კომპანიებთან, ყველაფერი რაც თქვენ მიიღებთ არის მონაცემების ცალმხრივი ჰაშიში. თუ მე ავიღე თქვენი ელ.წერილი, ეს არის ცალმხრივი ჰეში. თუ მე რაიმე ავიღე ტრანზაქციის შესახებ, ეს არის ცალმხრივი ჰეშირებული, ასე რომ თქვენ ვერასოდეს დააბრუნებთ მას მონაცემებზე, რადგან ჩვენ არ ვიცით რა არის ნედლეული მნიშვნელობა.

ჩვენ რომ გაგვტეხეს ნაციონალურმა სახელმწიფომ, რაც მე ველოდები, რომ ახლა მოხდება, ისინი იპოვიან რაღაც უსარგებლო. დაზღვევა გამოვაცხადეთ 2016 წლის 6 მაისს - ორი წლის წინ. მას შემდეგ ჩვენი ვებ ჰიტების 13 პროცენტი რუსეთიდან მოდის. იქ არც ერთი მომხმარებელი არ გვყავს, არც ერთი გამყიდველი არ გვყავს. ეს ბევრია იმ ადამიანებისთვის, ვისთანაც არ ვაწარმოებთ ბიზნესს!

მესამე არის ვარჯიში. შემიძლია გითხრათ, რომ თუნდაც ჩვენი მხარდაჭერის ბიჭის, რომელიც იღებს მხარდაჭერის ზარებს […] ჩვენ ვავარჯიშებთ მათ, რომ მიიღონ ზარები ისეთი ადამიანებისგან, როგორიცაა „დონალდი“. ტრამპი.“ ჩვენ ძალიან დახელოვნებულნი ვართ სატელეფონო ზარების გაყალბებაში და მას ნამდვილად ლეგიტიმურად ვაქცევთ, რათა ჩანდეს, რომ პრეზიდენტი რეკავს. შენ. ჩვენ ვიცით როგორ გავაკეთოთ ეს, რადგან ჩვენ ვართ ჰაკერები. ეს არის ნაბიჯები, კითხვები და არა მხოლოდ ყველაფერზე დიახ, რაც გვაიძულებს ვიყოთ. იმიტომ, რომ ჩვენ ვაცნობიერებთ, რომ რაც უფრო ფართოდ ვხდებით, ჩვენ თვითონ ვხდებით სამიზნე.

რაც შეეხება სამთავრობო უწყებების ლეგიტიმურ მოთხოვნებს? დაცულია თუ არა ტრუსონას მონაცემები ნამდვილი დონალდ ტრამპისგან?

ჩვენ ბევრი საქმე გვქონდა სამ წერილობით სააგენტოსთან, მაგრამ დიზაინი ისეთია, რომ არ შემიძლია ამის გაკეთება, თუნდაც გინდოდეს. არ ვიცი რა მონაცემებია. შეგიძლიათ დღეს დამიბაროთ და მითხრათ, რომ მოგცეთ ყველა მონაცემი [კლიენტზე]. კარგი, მივიღებ გამოძახებას და გიპასუხებთ, თუ შეგიძლიათ მითხრათ, რომელი ჩვენი ჩანაწერია მათი, მაშინ შეგიძლიათ, მაგრამ არ ვიცი.

ბოლო წლების ერთ-ერთი ყველაზე პოპულარული ციფრული სისტემა იყო ბლოკჩეინის ტექნოლოგია. დღეს მას იყენებენ მთავრობები და ორგანიზაციები მონაცემების სისწორის დასაცავად. არის თუ არა ის ეფექტური ინსტრუმენტი კონფიდენციალურობისა და მონაცემთა დაცვის გასაუმჯობესებლად?

ბლოკჩეინის ტექნოლოგია ჩვენი დროის ერთ-ერთი ყველაზე საოცარი გამოგონებაა, მძიმე გაჩერება. თუმცა, ბევრი ადამიანი აკეთებს ბმულს, რომ თუ ეს მათემატიკურად სწორია, ისინი უცვლელი არიან რეალურ ცხოვრებაში და სწორედ აქ გაგეცინებათ ფრენკ აბანალე.

მონაცემთა უსაფრთხოება ვერ ხერხდება და უკეთესი სისტემა უნდა არსებობდეს. ბლოკჩეინი ქმნის უსაფრთხო, უცვლელ საჯარო ჩანაწერს და მზად არის მკვეთრად გააუმჯობესოს თქვენს გარშემო არსებული სამყარო, ხმის მიცემის სისტემებიდან დაწყებული ქირავნობის კონტრაქტებამდე.

თუ მე გავაკეთებ ჯონ მარტინდეილის ყალბ დოკუმენტს და მივალ ბანკში და მივმართავ მას და ისინი ჩადებენ ბლოკჩეინში, როცა მიხვდები, რომ ეს შენ არ იყავი და ცდილობ გააუქმო ის, როგორ გაასუფთავებ მას ბლოკჩეინი? ეს არის "GIGO" პრინციპი, ნაგავი ნაგვის გარეთ.

ტექნოლოგიის შექმნა, რომელიც მათემატიკურად სრულყოფილია, მშვენიერია. მე რეალურად ვფიქრობ, რომ ყველას, ვინც ყიდულობს სახლს, უნდა ჰქონდეს ის ბლოკჩეინზე, რათა არასოდეს დაკარგოთ სახლი. ამისთვის ბევრი კარგი აპლიკაციაა, მაგრამ იმის თქმა, რომ ეს გადაჭრის იდენტობის მთავარ პრობლემას, სიცრუეა. პრობლემა არასოდეს ყოფილა მონაცემების შენახვა, ეს იყო: როგორ გავიგო ვინ ვინ არის ზოოპარკში?

ამდენი ძირითადი ჰაკითა და მონაცემთა ქურდობით, ადამიანებისთვის ადვილია თავი იგრძნონ უძლურებად თავიანთი მონაცემების დაცვაში. გაქვთ რაიმე უსაფრთხოების რეკომენდაცია ჩვენი მკითხველებისთვის, რომელიც მათ შეუძლიათ გამოიყენონ საკუთარი თავის დასაცავად?

არის ძალიან მარტივი რჩევა, რომელსაც მათ მივცემ. სანამ ჩვენ ვცხოვრობთ სამყაროში პაროლების გარეშე, ჩემი ერთადერთი რჩევაა შეცვალოთ თქვენი პაროლები. ეს არ დაგიჯდებათ არაფერი. მაშინაც კი, თუ პაროლები გუშინ მოიპარეს, მათი შეცვლა კარის საკეტის შეცვლას ჰგავს. თქვენს ცხოვრებაში ყველაზე მნიშვნელოვანი რამ, თქვენი ბანკი, თქვენი ჯანდაცვა, ჩაწერეთ კალენდარული ჩანაწერი და ყოველთვიურად, ყოველ კვარტალში, მინიმუმ წელიწადში ერთხელ, შეცვალეთ თქვენი პაროლები. ის ფაქტი, რომ ჩვენ ჩვევის არსებები ვართ, ჩვენს წინააღმდეგ მუშაობს.

კატეგორიები

Ბოლო