Onomkeerbare stappen

De strijd tegen fraude en namaak zal in de toekomst alleen maar zwaarder worden. Elke keer dat een aanvaller een beveiligingsniveau overschrijdt, worden we gedwongen een nieuw wapen te gebruiken om hem te stoppen. En deze keer moeten we een beroep doen op het "biometrische" arsenaal.

De essentie van de strijd tegen fraude en namaak is dat wanneer we een magisch zwaard trekken, de aanvaller het niet mag kunnen neutraliseren. Het onmiddellijke effect zal zeker werken, maar om het effect op de lange termijn te behouden, is een zorgvuldige strategie vereist.

Online fraude wordt steeds geavanceerder. De toevoeging van biometrie aan de beveiliging is een teken dat de strijd hevig zal zijn. Er zullen vele niveaus in het biometrie-arsenaal zijn, en elke keer dat je een hoger niveau moet gebruiken, is dat een "onomkeerbare" stap. En als het niveau geleidelijk blijft stijgen, tot het punt waarop genetische gegevens worden gebruikt, is dat de laatste stap, en als je verliest, zijn er geen andere wapens meer over.

Nu moeten we echte, realtime beelden gebruiken om transacties te bevestigen. Natuurlijk zullen er enorme datawarehouses nodig zijn om beelden en biometrische gegevens op te slaan voor matching en authenticatie. Echte beelden worden uiteraard via informatiekanalen verzonden. Wat gebeurt er als deze datawarehouses worden aangevallen en transmissielijnen of terminals worden gehackt? Kwaadwillenden krijgen dan weer alle gebruikersgegevens. En wat zorgt ervoor dat kwaadwillenden, met steeds krachtigere AI-tools, de nieuwe authenticatiemuur niet kunnen doorbreken?

We verzamelen steeds meer persoonlijke gegevens. Hoewel we de oude gegevens niet kunnen beschermen, wat garandeert dat we de nieuwe enorme hoeveelheid gegevens die is en zal worden verzameld, wel zullen beschermen? Nog gevaarlijker is dat als criminelen toegang krijgen tot de beeld- en biometrische gegevens, ze zich niet alleen voor bankauthenticatie, maar ook voor vele andere doeleinden die niets met bankieren te maken hebben, kunnen voordoen als ons. Ze kunnen een nepwereld van wie we zijn creëren die we niet kunnen controleren en waarvan we niet kunnen bewijzen dat we worden geïmiteerd.

Het eerste is dat mensen zich ervan bewust moeten zijn dat ze bescherming voor zichzelf eisen. De beheersinstantie is verantwoordelijk voor de bescherming van biometrische gegevens, zodat deze niet in verkeerde handen vallen.

Wanneer banken een onomkeerbare stap zetten, moeten er verantwoordelijkheden en wetten komen om mensen te beschermen. Dit komt door de ineffectieve technische maatregelen om persoonsgegevens te beschermen en het oppervlakkige beleid om verantwoordelijkheid voor het openbaar maken van gegevens toe te wijzen. Daardoor kunnen criminelen de beschermingsmaatregelen gemakkelijk omzeilen en de controle over het systeem geleidelijk uitschakelen.

Om persoonlijke gegevens daadwerkelijk te beschermen, moeten de staat en de banken zich vóór het verzamelen van deze gegevens committeren aan en duidelijk maken:

- Wat is de verantwoordelijkheid van de bank als biometrische gegevens lekken? Wie, welke specifieke eenheid is verantwoordelijk en wat zijn de sancties?

- Welke beveiligingsmaatregelen heeft het systeem om te garanderen dat individuele schakels geen toegang hebben tot vertrouwelijke gegevens? Het technische systeem moet ervoor zorgen dat zelfs als bankmedewerkers (inclusief managers) gemanipuleerd worden, ze nog steeds geen toegang hebben tot persoonlijke gegevens en deze niet kunnen verkopen.

Gegevensbeveiliging is een enorm en complex probleem; zelfs de meest getalenteerde IT'ers kunnen niet alle kwetsbaarheden voorzien. Het opleggen van een deadline van 1 juli zou banken kunnen dwingen om zwakke, ongeteste systemen te gebruiken die gemakkelijk door criminelen kunnen worden gekraakt, en de gevolgen zouden onvoorspelbaar zijn. We moeten zeer zorgvuldig te werk gaan en het gebruik van beperkte stappen testen, zodat we pas wanneer maximale beveiliging is bereikt, nieuwe methoden breed kunnen toepassen.

We moeten ook van de wereld leren op het gebied van databeveiliging. We kunnen bijvoorbeeld kijken naar de ervaringen van China. Na een periode van wijdverbreide dataverzameling hebben ze de ernst van het vrijgeven van persoonsgegevens ingezien en hebben ze duidelijke wetten om alle eenheden die gegevens vrijgeven, uiterst strikt aan te pakken. Hoe belangrijker de gegevens, hoe groter de verantwoordelijkheid. Wanneer de verantwoordelijkheid tot een zeer hoog niveau wordt opgeschroefd, kan niemand die negeren.

Alle eenheden die persoonsgegevens bezitten, zullen technische beveiligingsoplossingen op het hoogste niveau serieus moeten implementeren. Vanuit die behoefte hebben zich bedrijven die gespecialiseerd zijn in beveiligingsbeoordeling en de implementatie van beveiligingsmaatregelen sterk ontwikkeld, en zijn er veel "unicorn"-bedrijven opgericht die een dynamische digitale beveiligingseconomie bevorderen, met een zeer hoge kwaliteit volgens de door de staat zorgvuldig gecontroleerde beveiligingsnormen.

Een goed functionerend systeem is een systeem dat de bescherming van de persoonlijke gegevens van mensen maximaliseert, terwijl er slechts minimale persoonlijke gegevens van mensen worden verzameld.