Nuo patikrinimų iki BDAR – kaip Trusona nori apsaugoti jūsų asmens tapatybės dokumentą

Kaip įrodyti, kad esi toks, koks esi? Į šį klausimą gali atrodyti lengva atsakyti, tačiau pasaulyje, kuriame gali būti asmeniškiausia jūsų asmeninė informacija nuimtas iš jūsų kredito agentūros arba socialinio tinklo paskyra, kad lengvumas yra problema. Sukčiai ir nusikaltėliai taip pat gali įrodyti, kad tai jūs, naudodami stebėtinai mažai informacijos.

Tai galvosūkis, kurį Ori Eisen tikisi išspręsti su Trusona autentifikavimas be slaptažodžio sistema. Ji siūlo tarpinio žmogaus patvirtinimo paslaugas įmonėms visame pasaulyje, tikėdamasi pagerinti kiekvieno skaitmeninių duomenų apsaugą. Jis naudojasi 20 metų patirtimi^th amžiaus sukčiai, tokie kaip Frank Abagnale, garsiai pavaizduotas filme Pagauk mane, jei gali, kad sustiprintume šiuolaikinę skaitmeninę apsaugą nuo klasikinės socialinės inžinerijos taktikos.

Skaitmeninės tendencijos: Franką Abagnale'ą tikriausiai dauguma žino kaip 2002 m. filmo temą Pagauk mane, jei gali

Ori Eisen: Trumpa versija – kol dirbau vienoje didžiausių kredito kortelių kompanijų, manęs paprašė papildomai prie interneto įsipareigojimų, sužinoti viską apie kortelių padirbinėjimą, kurio aš nieko nežinojau apie. Nėra knygos ar universiteto diplomo šia tema, todėl paklausiau, kas gali mane išmokyti? Franko Abagnale'o vardas skambėjo vėl ir vėl, tiesiog jis nepriima naujų studentų.

Apsilankę „Pinigų vyrai“. @FairFX -su vieninteliu Frank Abagnale. Leisk #NoPasswords Prasideda revoliucija. @trusona_incpic.twitter.com/soAYZ3Vn7u

— Ori Eisen (@orieisen) 2017 m. gruodžio 7 d

Mėnesius ir mėnesius maldavau jo susitikti su manimi ir man padėti, nes per mane jis galėtų padėti pažaboti nusikalstamumą, nes pasiimsiu jo žinias ir eisiu nugalėti blogiukus. Galiausiai jis sutiko susitikti ir nuo to laiko dirbame kartu.

Nors šiandien Abagnale veikia konsultacinė įmonė, jo patirtis kilusi iš tų laikų, kai kompiuteriai buvo neįtikėtinai reti ir nepalyginami su skaitmeniniu būdu patobulintu pasauliu, kuriuo džiaugiamės šiandien. Kuo jo indėlis naudingas šiuolaikiniame amžiuje?

Žodis „Trusona“ yra „True“ ir „Persona“ sintezė, todėl norėdami sužinoti, kas yra tikroji asmenybė, turite atlikti procesą, vadinamą tapatybės tikrinimu. Pirmiausia išsiaiškinkime, kas esate kaip asmuo [nes...] nėra tapatybės patvirtinimo be tapatybės patvirtinimo. Kaip galiu patvirtinti, kad tai jūs, jei iš pradžių neįrodysiu, kad tai jūs?

Frankas tikrai puikiai padeda mums tuo metu, kai atliekate tapatybės tikrinimą, pagalvoti, kaip aptikti padirbtą dokumentą. Kaip blogiukas pakeistų Franko nuotrauką Steveno Spielbergo nuotrauka. Kaip nugalėtumėte sertifikatą arba kaip įveiktumėte juodą rašalą ant dokumento ar visą smulkų mikrospaudinį. Jis tikrai daug žino apie tuos dokumentus, nes vyriausybės juos naudoja tame procese.

Kurdamas būdą išsiaiškinti, kas yra tikroji asmenybė, daugeliu atvejų, kai būtume sugalvoję sprendimą, jis iš esmės parodė, kaip galite lengvai ją įveikti. Taigi tai buvo panašu į žaidimą šachmatais, kol pasieksite tašką, kai jis negalėjo įveikti to, ką mes darėme.

Kokias sistemas sukūrėte, kurios buvo apsaugotos nuo socialinės inžinerijos atakų, kurias taip efektyviai įgyvendina Frankas Abagnale'as?

Kai „Trusona“ debiutavo, paleidome kreivę, nurodančią, ką jūs bandote apsaugoti, ir tai yra mūsų teikiamų paslaugų lygis. Visuose juose nebus jokio slaptažodžio.

Skirtingi paslaugų lygiai reikalauja skirtingų atskleidimo lygių. Mūsų pagrindinis lygis, vadinamas „Esminiu“, yra tik jūsų prašymas pateikti el. pašto adresą, kurį siunčiame el. laišką, kad patvirtintume, jog tikrai turite prieigą prie jo. Nėra jokių dokumentų, nuotraukų, nieko panašaus. Tai gali susieti jus su paskyra, transliuoti mediją ar panašiai. Nes tai pakankamai gerai. Jis vis dar naudoja mūsų anti-replay technologiją, todėl net jei blogi vaikinai jos klausytų, jie negalėtų jos panaudoti pakartotinai.

Kitas mūsų lygis yra „vykdomasis“. Šiame lygyje sakoma: „Gerai, jūs vis tiek galite būti savo namuose, bet be jūsų el. pašto, noriu, kad nuskaitytumėte nuotoliniu būdu, pasą arba vairuotojo pažymėjimą. Partneriai. Taigi, jūs bandote ką nors padaryti su savo banku arba ką nors daryti su savo sveikatos priežiūra, o mes tai darome jų vardu. Trusona nesaugo jokių šių duomenų, nes nenorime tapti kita karšta bulve blogiui.

Trečiasis lygis vadinamas „Elite“ ir jame prašoma el. laiško, nuskaityti dokumentą nuotoliniu būdu ir parodyti save asmeniškai. Prašome tai padaryti tik vieną kartą, kad sujungtume jus su labai stipriu įgaliojimu. Tai nėra taip, kad kiekvieną kartą jums reikia padaryti asmenukę ar vaizdo įrašą, nes tai yra vienintelis lygis, kurį draudėjas apdraus. Tai ne masinei rinkai, o unikalioms situacijoms, tačiau tai yra vienintelis būdas pažinti tikrąją asmenybę, o tai ir yra mūsų verslas.

O kaip dėl augimo Deepfakes ir AI valdoma vaizdo manipuliavimo programinė įranga tai leidžia sukurti tikrovišką vaizdo įrašą ir skrendančių žmonių vaizdus? Ar tai kelia grėsmę jūsų „elitiniam“ lygiui?

Tokios įmonės kaip „Adobe“ išleido „Photoshop“ atitikmenį tiesioginiam vaizdo įrašui. Jis gali imituoti balsą ir veidą […] Norėdami tai padaryti, turėtumėte pradėti nuo asmeninės tapatybės įrodymas, o tai reiškia, kad man reikia susitikti su jumis realiame gyvenime ir su jūsų dokumentais, kad įsitikinčiau, jog taip yra tu. Jūs negalite to padaryti nuotoliniu būdu. Tačiau ne kiekvienu naudojimo atveju to reikia. Tai tikrai priklauso nuo to, ką bandote apsaugoti. Jei HBO nori leisti jums žiūrėti filmą, jiems tokio saugumo lygio nereikia. Tačiau jei „Goldman Sachs“ norėtų pervesti 50 mln. USD už Steveną Spielbergą, jiems gali prireikti tokio saugumo lygio.

Ar kada nors Frankas Abagnale'as bandė dirbti socialiniu inžinieriumi „Trusona“ darbuotojus?

Norėdami tapti pirmąja pasaulyje patvirtinta įmone – niekas kitas šių žingsnių nesiėmė, nes tai nėra paprasta – pirmiausia turime apsaugoti savo duomenis nuo savo darbuotojų. O kas, jei pagrobtumėte vieną iš jų ir pasakytumėte mums: „Išleisiu juos tik tuo atveju, jei suteiksite man prieigą prie raktų?“

Nuo pat pradžių praleidome metus slaptuoju režimu ir sukūrėme sistemą, kuri net jei prisėstų ginklą man prie galvos, aš negaliu tau padėti. Tai apima mūsų inžinerijos vadovą ir visus kitus, kurie sukūrė sistemą, nes aš jiems paaiškinau, norėdami apsaugoti pasaulį nuo blogiukų, mes negalime būti silpniausia grandinės grandis ir jie suprasti. Štai kodėl turime priimti labai ypatingus žmones, kad galėtume dalyvauti šioje misijoje.

Mes taip pat nelaikome karštų bulvių. Jei šiandien įsilaužėte į mus ir mes atlikome daug rašiklio testų su skirtingomis įmonėmis, viskas, ką gausite, yra tik vienos krypties duomenų maiša. Jei paėmiau jūsų el. laišką, tai viena iš būdų maišyti. Jei paėmiau ką nors apie operaciją, tai yra viena iš būdų maišyti, todėl niekada negalite grąžinti duomenų į duomenis, nes nežinome, kokia yra neapdorota vertė.

Jei mus nulaužtų nacionalinė valstybė, o tai, tikiuosi, įvyks bet kurią dieną, jie rastų kažką, kas buvo nenaudinga. Apie draudimą paskelbėme 2016 m. gegužės 6 d. – prieš dvejus metus. Nuo to laiko 13 procentų mūsų žiniatinklio hitų atkeliauja iš Rusijos. Ir mes ten neturime nei vieno kliento, nei vieno pardavėjo. Tai daug žmonėms, su kuriais mes nedarome verslo!

Trečia – treniruotės. Galiu pasakyti, kad net mūsų pagalbos vaikinas, kuris priima pagalbos skambučius, moko juos priimti skambučius iš tokių žmonių kaip „Donaldas“. Trumpas.“ Mes labai įgudę apsimesti telefono skambučiais ir padaryti juos tikrai teisėtais, kad atrodytų, jog skambina prezidentas tu. Mes žinome, kaip tai padaryti, nes esame įsilaužėliai. Žingsniai, klausimai, o ne tik „taip“ pasakymas viskam, daro mus kuo stipresnius. Kadangi suprantame, kad kuo labiau plintamės, tuo labiau tampame taikiniu.

O kaip dėl teisėtų vyriausybinių agentūrų reikalavimų? Ar Trusonos duomenys apsaugoti nuo tikrojo Donaldo Trumpo?

Turėjome daug reikalų su trimis laiškų agentūromis, bet dizainas toks, kad aš negaliu to padaryti, net jei jūs to norėtumėte. Nežinau, kokie tai duomenys. Galite šiandien man iškviesti teismo šaukimą ir pasakyti, kad duočiau visus duomenis apie [klientą]. Gerai, aš gausiu teismo šaukimą ir atsakysiu, jei galite pasakyti, kurie iš mūsų įrašų yra jų, tada galite jį gauti, bet aš nežinau.

Pastaraisiais metais viena daugiausiai diskusijų apie skaitmenines sistemas blockchain technologija. Šiandien ją naudoja vyriausybės ir organizacijos, siekdamos apsaugoti duomenų tikrumą. Ar tai taip pat veiksminga priemonė privatumui ir duomenų apsaugai gerinti?

Blockchain technologija yra vienas nuostabiausių mūsų laikų išradimų, hard stop. Tačiau daugelis žmonių mano, kad jei tai matematiškai teisinga, jie yra nekintantys realiame gyvenime ir čia Frankas Abagnale'as tik juoksis iš jūsų.

Jei sudarau suklastotą Jono Martindale'o dokumentą ir einu į banką ir su juo kreipsiuosi, o jie įtrauks į blokų grandinę, iki Kai išsiaiškinsite, kad tai ne jūs, ir bandysite tai anuliuoti, kaip tai pašalinsite iš blockchain? Tai „GIGO“ principas, šiukšlės šiukšlėse.

Sukurti matematiškai tobulą technologiją yra nuostabu. Tiesą sakant, manau, kad kiekvienas, kuris perka namą, turėtų turėti jį „blockchain“, kad niekada neprarastumėte savo namų. Tam yra daug gerų programų, tačiau teigti, kad tai išspręs pagrindinę tapatybės problemą, yra klaidinga. Problema niekada nebuvo susijusi su duomenų saugojimu, tai buvo: kaip sužinoti, kas yra kas zoologijos sode?

Vykstant tiek daug didelių įsilaužimų ir duomenų vagysčių, žmonės gali lengvai jaustis bejėgiai apsaugoti savo duomenis. Ar turite kokių nors saugumo rekomendacijų mūsų skaitytojams, kuriomis jie galėtų apsisaugoti?

Aš jiems duosiu labai paprastą patarimą. Kol gyvename pasaulyje be slaptažodžių, vienintelis patarimas yra pakeisti slaptažodžius. Jums tai nieko nekainuoja. Net jei slaptažodžiai buvo pavogti vakar, juos pakeisti prilygsta durų spynos pakeitimui. Įveskite kalendoriaus įrašą apie svarbiausius savo gyvenimo dalykus, o bankas – sveikatos priežiūrą ir kas mėnesį, kas ketvirtį, bent kartą per metus keiskite slaptažodžius. Tai, kad mes esame įpročio padarai, veikia prieš mus.