0
0
Pattie Dillon se lembra de uma história de seu tempo como consultora antes de se tornar gerente de produto de soluções antifraude na SpyCloud. Naquela época, seu cliente de call center usava a tecnologia de reconhecimento de voz para identificar um chamador que estava fingindo ser outra pessoa.
“Foi um pouco cômico porque era um cavalheiro que estava ligando para tentar soar como uma mulher”, lembra Dillon. “Coincidentemente, eles tiveram vários desses telefonemas desse mesmo indivíduo, e [o software] foi realmente capaz de encontrar esses padrões de voz e identificá-los como a mesma pessoa.”
A autenticação biométrica, como identificação facial, biometria de voz, impressões digitais ou alguma combinação delas, está se tornando uma parte essencial da caixa de ferramentas de segurança cibernética à medida que as organizações tentam impedir que adversários assumam contas on-line e evitar fraudes. No entanto, as empresas devem proteger os dados biométricos para evitar que sejam explorados ou roubados.
Como Proteger Dados Biométricos
Embora a autenticação biométrica possa ser fácil de usar, sua falha crítica é que os dados biométricos não podem ser atualizados uma vez comprometidos, diz Gerald Alston, parceiro associado e líder da prática de segurança dos EUA da Infosys Consulting. Senhas, PINs e outros métodos de identificação podem ser substituídos, mas não há como substituir uma impressão digital, por exemplo, uma vez comprometida, ele diz — que é outra razão pela qual proteger esse tipo de dados é tão importante.
Tradicionalmente, as equipes de TI e segurança cibernética armazenam imagens contendo dados biométricos em um só lugar depois de capturá-las, mas algumas estão começando a explorar a tokenização. A tokenização é um processo no qual as imagens são divididas e mantidas em diferentes locais, reunindo-as de seus respectivos bancos de dados quando o método de autenticação biométrica é usado, explica Alston. Se um intruso não autorizado entrar no sistema, eles precisam encontrar onde estão os outros componentes das imagens biométricas, mas isso só atrasa a inevitável violação, diz ele.
Para proteger melhor os dados tokenizados, a Alston sugere implementar um sistema maduro de gerenciamento de chaves de criptografia, instituindo disciplina de dados e sabendo onde você usa atualmente a tokenização. Em outras palavras, certifique-se de ter estabelecido processos e procedimentos para suas chaves de criptografia, fique a par de onde estão seus dados e entenda quais dados você tokenizou e onde eles estão armazenados, diz ele.
Até esse ponto, outra questão a ser considerada é onde os dados são armazenados. A FIDO Alliance descreve como coletar, armazenar e transmitir amostras biométricas com segurança entre dispositivos ou servidores, diz o CTO da Mitek Systems, Stephen Ritter. Em vez de apenas salvar a imagem biométrica diretamente no dispositivo ou enviá-la para um servidor central, a abordagem FIDO gera um par de chaves criptográficas exclusivo. Quando o dispositivo é configurado para autenticação biométrica, a chave privada é salva no dispositivo, geralmente no enclave seguro do dispositivo, para que não possa ser prontamente roubada por atacantes. A chave pública é registrada no aplicativo ou serviço. Durante a autenticação, o dispositivo cliente assina a ação — fornecendo uma impressão digital ou tirando uma selfie, por exemplo — com a chave privada para verificar sua validade. O enclave seguro foi projetado para proteger o espaço do resto do dispositivo, e seu conteúdo não é facilmente acessível do lado de fora.
Requisitos Legais e Comerciais
Além de seguir as diretrizes do setor, Ritter também recomenda que as equipes de TI e segurança cibernética observem os regulamentos de privacidade de dados, incluindo o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Privacidade de Informações Biométricas (BIPA) em Illinois.
O BIPA contém regras para a retenção, divulgação, coleta e destruição de dados biométricos. A CCPA exige que as empresas que coletam informações pessoais dos consumidores, incluindo dados biométricos, divulguem e controlem o uso dos dados coletados. O Conselho Europeu de Proteção de Dados, que facilita a aplicação consistente do GDPR, está solicitando comentários públicos sobre as diretrizes para o uso do reconhecimento facial na aplicação da lei.
“Sempre que você for coletar dados biométricos e usá-los para autenticação, você precisa ser muito claro para o usuário, antes que ele se inscreva nesse serviço, é isso que você vai fazer. E você tem que obter o consentimento deles por escrito”, diz Ritter.
Fornecedores terceirizados que lidam com autenticação biométrica terceirizada são um hub centralizado para “montanhas de dados de identidade”, tornando-os um alvo maduro para os atores de ameaças, diz Ritter. As empresas devem avaliar os fornecedores para garantir que os dados sejam protegidos adequadamente na medida em que se sintam confortáveis. A Mitek celebra acordos de proteção de dados com seus clientes, está em conformidade com os padrões ISO 27001, gera relatórios de Controles de Sistema e Organização 2 Tipo 2 e oferece análises de código-fonte, acrescenta ele.
“É preciso trabalho para identificar o fornecedor certo e garantir que eles tenham a segurança e o controle certos, mas isso é quase sempre melhor do que construir essas coisas por conta própria”, diz Ritter.
FONTE: DARK READING