数字化入职流程中的网络安全

作者: 阿伦Beganovic, CISA, CISM, CGEIT, CDPSE
发表日期: 2021年2月22日

使用数字渠道(如移动应用程序)而不需要实体存在来获取新客户是一个被称为数字入职的过程. 与传统的面对面入职相比，数字入职的一个关键好处是获得新客户的能力增强, 提供额外的服务，并以较低的成本缩短处理时间. 数字入职可以完全自动化或由训练有素的注册官监督.

数字入职流程中的网络安全控制

尽管它有很多好处, 数字入职可能会带来诸如深度造假之类的威胁, 演变的照片, 假的文件, 网络钓鱼或中间人攻击. 全自动数字入职的风险更大, 但是，如果在整个入职过程中实施网络安全控制，则可以缓解这种情况. 这里检查的网络安全控制与移动应用程序有关.

以下是数码入职流程的关键步骤:¹

属性和证据收集-必须使用安全的移动应用程序，以启用安全属性和证据收集功能. 基本的网络安全控制包括:
- 端到端加密，确保完整性和机密性
- 加密安全符合行业安全标准
- 静态移动应用程序保护(i.e.(加密、混淆)和应用程序代码的文件完整性
- 加密的本地存储数据
- 个人识别号码(PIN)保护(i.e.，使用动态[随机]键盘，不存储在手机上)
- 定期的应用程序渗透测试

最佳实践表明，移动应用程序应该在文档扫描过程中引导客户端，以确保可接受的扫描质量.

属性和证据验证-在身份证明文件(e.g.(护照或身份证)扫描后，移动应用程序必须验证:
- 身份证的视觉安全特性
- 更改身分证(例如.g.(更换照片)
- 序列号
- 有效期
- 该类身份证的标准有效时间
- 数字、代码的正字法，这是该类型文档的标准(可选)

另外, 该文件应在参考数据库中核实，以确保所出示的身份证没有被盗或报失. 减少欺诈的可能性, 应用程序应提供详细的说明，以便客户拍摄高质量的照片.

与客户端绑定-与个体绑定有两个关键组成部分:面部描述和面部比较. 面部描述的例子如下:
- 面部几何(e).g.(眼睛、鼻子、嘴巴)
- 年龄
- 性
- 三维(3D)头部姿势
- 面部毛发
- 笑声强度

面部描述的结果是一个面部描述符，该描述符基于已为给定客户端分配的属性. 人脸比较是从至少2个来源(e.g.、身份证及个人照片). 可接受的面部比较包含上述属性中的至少3个.

机器活动检测是强制性的. 对于有监督的数字入职，人类活动检测可作为可选功能. 活体检测方法的例子包括:

使用上述活动检测方法的组合可以创建额外的屏障来阻止潜在的攻击者. 这可以通过训练有素的注册人员或移动应用程序来实现.

反欺诈措施很重要，当数字入职完全自动化时更是如此. 数字化入职, 第一次观察客户端后, 安全从业人员可以依赖全球威胁情报，而不是从该客户收集的历史数据.

图1反欺诈指标示例

没有100%准确的反欺诈指标. 使用多个指标可以提供更准确的欺诈检测. 如果在入职的任何阶段发现可疑行为, 建议停止完全自动化的流程，并将客户端重定向到另一个入职流程.

图2 -由训练有素的注册主任数位入职vs. 全自动上岗

全自动数字入职比有监督的数字入职面临更多威胁. 根据美国国家标准与技术研究院(NIST)的数字身份指南, 全自动数字入职可以达到2级身份保证和3级监督.²

全自动数字入职的优势包括:

尽管越来越多地采用全自动数字入职, 法规仍然落后于实施. 结果是, 完全自动化的数字入职不符合法规，例如目前欧盟关于防止将金融系统用于洗钱或恐怖主义融资目的的法规.³

数字入职不再是未来的概念——它现在正在发生. 尽管全自动数字入职最初比有监督的数字入职风险更大, 通过实施网络安全控制，可以显著降低风险. 在未来, 从降低风险的角度来看，可以期待更多创新的全自动数字入职流程的实施.

是否具有20年以上IT和安全经验的安全顾问. Beganovic是以太网信息技术, 提供网络安全的IT组织, 安全风险管理和安全合规服务. 在担任现职之前, 他在克罗地亚最大的银行担任了12年的首席安全官(CSO).

前一篇文章

下一篇文章